Половина инвестиций в кибербезопасность делается наугад

Половина всех мировых инвестиций в кибербезопасность производится вслепую. Об этом заявил главный консультант по безопасности компании F-Secure Том Ван де Виеле (Tom Van de Wiele), по мнению которого многие предприятия вкладывают средства в ИБ-продукты наугад, не зная толком, в чем их реальные слабости и насколько эффективны представленные на рынке современные средства защиты.

«Около 50% инвестиций в кибербезопасность неэффективны или даже неуместны, а большинство организаций не знают, на что направлены их вложения. Это является следствием такого подхода к обеспечению безопасности, который просто не работает», – заявил аналитик, критикуя общепринятые нормы определения ИБ-приоритетов.

По мнению эксперта, организации должны сначала определиться со своими критическими и конфиденциальными данными, понять, кто ими владеет и управляет, кому разрешен доступ к ним и откуда. Ответов на эти вопросы в большинстве предприятий, по мнению Ван де Виеле, просто нет.

Компании по всему миру грешат неэффективными или даже неуместными инвестициями в ИБ

«При оценке рисков в обеспечении кибербезопасности организациям стоит начать с оценки ценности и критичности информационных активов, определить текущую модель доступа к ним. Понятная модель угроз для организации позволит принять соответствующие меры для минимизации возможных негативных последствий для организации, выявить источники угроз, какие существуют уязвимости в информационной системе, каким образом угрозы могут быть эксплуатированы, размер возможного ущерба», – считает системный инженер Fortinet Чингис Талтаев.

ИБ-департаменты должны проходить тестирование

Еще одним важным шагом, по мнению экспертов, должно стать проведение тренировок и упражнений с сотрудниками ИБ-департаментов. Они должны помочь с определением сильных и слабых сторон, повышением скорости реагировании на атаки.

«Популярный cпособ испытания киберзащиты организации путем проникновения (pentest) позволяет организациям лучше понять слабые места в реализации защитных мер. Бизнесу не стоит забывать и про людей, которые также участвуют в процессе обеспечения безопасности. Зачастую методы социальной инженерии делают из людей самое слабое звено, серьезно уменьшая общую эффективность принятых защитных мер», – напоминает Чингис Талтаев.

Источник: CNews