Против взлома нет приема? За год расходы на безопасность выросли до 15% IT-бюджетов

Чтобы понять, как обстоит дело с кибербезопасностью на самом деле, Office Life обратился к исследованию Accenture — глобальной консалтинговой компании, специализирующейся в области стратегии, цифровых сервисов и оптимизации операционной деятельности. Аналитики Accenture в самых общих чертах формулируют выводы, сделанные в результате этого исследования, так: «Наш отчет по кибербезопасности показывает, что кибератаки участились, инвестиции в безопасность продолжают расти, а облако (облачные технологии. — Прим. ред.) по-прежнему в сложных отношениях с безопасностью».

Четыре линии обороны

Опрашиваемые компании и, соответственно, уровни киберустойчивости Accenture для удобства распределила по четырем категориям: 1) киберчемпионы; 2) защищенные; 3) осознающие киберриски; 4) уязвимые. Исследование признает, что киберчемпионы лидируют — входят в 30% лидеров по крайней мере по трем из четырех критериев устойчивости к киберугрозам и согласуют бизнес-стратегию с кибербезопасностью. А кто бы сомневался!

По понятным соображениям отчет Accenture крутится вокруг статуса и функционала директоров по информационной безопасности — CISO (Chief Information Security Officer), хотя адресован не только им. Главным адресатом являются иные категории директоров, каковым предложено активнее допускать CISO в сферу принятия решений: «Для успеха организациям необходимо предоставить CISO место за главным столом, быть ориентированными на угрозы и бизнес-ориентированными и получать максимальную отдачу от безопасного облака». В этом месте изучающий исследование топ-менеджер должен понимающе улыбнуться: наверняка он за IT-безопасность, но насчет статуса и функционала CISO у него имеются свои соображения.

Ну вы поняли: кибербезопасность стоит дорого, а первичный рефлекс любого топ-менеджера — сэкономить. Тем более что, похоже, в 2020-м на панической волне пандемии пополам с цифровизацией крупные компании серьезно потратились на защиту бизнеса от цифровых угроз. Резкий скачок доли экономящих на безопасности и «постоянной борьбе» руководителей — очень характерный симптом.

«Облака с неба спрятались...»

Характерно, что, невзирая на рост бюджетов на IT-безопасность, следом за ними растет не только скепсис директоров, но и количество кибератак. Такая корреляция заставляет задуматься, насколько верны стратегии большинства компаний в области киберустойчивости.

Традиционно Accenture уделяет повышенное внимание рискам, связанным с облачными технологиями. «У облака по-прежнему сложные отношения с безопасностью», — признается в исследовании. С одной стороны, большинство респондентов верят в безопасное облако, с другой — 32% говорят, что безопасность с самого начала не являлась для них предметом обсуждения при использовании облачных технологий. И сейчас они пытаются наверстать упущенное.

Рецепт для киберчемпионов

Как ощутить себя киберчемпионом? Ну или хотя бы стать немножечко похожим на него? Если изучить, как организации-лидеры решают проблемы киберустойчивости, то выяснится, что их реакция на киберугрозы характеризуется следующими чертами: 1) они останавливают больше атак; 2) быстрее находят и устраняют нарушения; 3) снижают влияние нарушений на деятельность компании. Киберчемпион в терминологии Accenture — организация, которая одновременно демонстрирует киберустойчивость в отношении цифровых угроз и успешно реализует свою бизнес-стратегию, достигая при этом наилучших результатов.

«На кону деньги, — напоминает Accenture. — Организации могут снизить убытки от нарушений кибербезопасности на 48–71%, если повысят производительность до уровня киберчемпиона». С точки зрения авторов исследования, организации, сосредоточенные исключительно на бизнес-целях, упускают преимущества киберустойчивости. Проще говоря, в современных условиях киберустойчивость означает минимальные гарантии того, что бизнес-цели будут достигнуты, а бизнес-стратегия — реализована.