Vanson Bourne: Исследование выявило поразительно низкий уровень уверенности руководителей в способности предотвратить незапланированные простои, инциденты безопасности и потерю данных

Корпорация EMC опубликовала результаты независимого исследования, целью которого было изучить мнение руководителей организаций об ИТ-стратегиях и инфраструктурах, внедренных в компаниях и государственных учреждениях. Данные были получены в результате глобального опроса руководителей высшего звена. Наиболее заметным является поразительное и характерное для организаций во всем мире отсутствие уверенности высшего руководства, особенно в тех аспектах, которые касаются непрерывной доступности, расширенной безопасности и интегрированного резервного копирования и восстановления. Сокращение инвестиций в эти критически важные области ставит под угрозу способность ИТ-инфраструктур справляться с инцидентами, связанными с внеплановыми отключениями, нарушениями безопасности и потерей данных, и быстро восстанавливаться после них. Такое положение дел делает исключительно актуальным внедрение прогрессивных стратегий построения надежных ИТ-инфраструктур.

В опросе «Global IT Trust Curve», проведенном исследовательской компанией Vanson Bourne, приняли участие 3200 респондентов из 16 стран и 10 отраслей. Наивысшую оценку по уровню ИТ-зрелости получил Китай: именно респонденты из Китая сообщают о внедрении наибольшего числа передовых технологий обеспечения непрерывной доступности, расширенной безопасности и интегрированного резервного копирования и восстановления. Второе место по уровню ИТ-зрелости в исследовании «IT Trust Curve» получили США. Три из четырех первых мест заняли страны БРИКС — Китай, ЮАР и Бразилия, что подчеркивает их стремление расширить свое влияние в мире за счет быстрых и агрессивных инвестиций в технологии. Последнее место в списке из 16 стран занимает Япония.

Вот как прокомментировал результаты опроса Дэвид Голден (David Goulden), президент и главный операционный директор EMC: «Сейчас в информационных технологиях бурно развиваются четыре мощных тренда — облачные технологии, большие данные, социальные сети и мобильные устройства. Чтобы внедрять и совершенствовать эти технологии, мы должны быть уверены в том, что наша информация в облаке надежно защищена, что наши данные не будут украдены или потеряны, что наша ИТ-инфраструктура будет работать без сбоев в нужный момент (а в сегодняшнем контексте это значит: всегда). Чем выше уровень доверия, который мы сможем создать и гарантировать, тем больше и быстрее будет ощущаться влияние этих технологий. И наоборот, чем меньше доверия будут вызывать эти технологии, тем более ограниченными будут их влияние и распространение. Если отдельные страны занимают невысокое положение в рейтинге по уровню зрелости IT Trust Curve , это может отразиться на их конкурентоспособности в целом».

Основные выводы исследования

Невысокий уровень зрелости по IT Trust Curve имеет глобальное распространение.

o Более половины (57%) всех респондентов попали в категорию с низким уровнем зрелости, в то врем, как только 8% оказались в категории лидеров.

o Чем выше положение организаций в кривой зрелости, тем выше вероятность, что они уже внедрили самые новые и стратегически важные технологии (например, аналитику больших данных).

• Недостаток уверенности в технологической инфраструктуре.

o Почти половина (45%) глобальных респондентов сообщила, что руководители их организаций не уверены в наличии у них достаточных возможностей обеспечения доступности, безопасности и резервного копирования и восстановления. В России этот показатель возрастает до 51%.

o На вопрос об уровне уверенности высших руководителей, процент всех респондентов в каждой категории, которые сообщили, что их руководители уверены, что их организация имеет соответствующий уровень надежности, безопасности, резервного копирования и восстановления, составил: 39% в сегменте «Отстающие», 51% в сегменте «Оценка», 65% в сегменте «Внедрение» и 81% в сегменте «Лидеры». В России процент респондентов, отметивших высокую степень уверенности руководства составил 35% в сегменте «Отстающие», 48% в сегменте «Оценка», 53% в сегменте «Внедрение» и 75% в сегменте «Лидеры».

o Самый низкий процент респондентов, отметивших высокую степень уверенности своего руководства, зафиксирован в Японии (31%), а самый высокий — в Германии (66%).

o 19% респондентов по всему миру (почти каждый пятый) отмечают общий недостаток доверия своей технологической инфраструктуре. В России этот показатель возрастает до 22%.

Существенные различия заметны в том, как ИТ-руководители и бизнес-руководители воспринимают улучшения. o 70% ИТ-руководителей по всему миру считают, что ИТ-отдел играет роль мотиватора/движущей силы развития надежной и безопасной ИТ-инфраструктуры. Только 50% бизнес-руководителей разделяют эту точку зрения. Аналогичные показатели для России составляют 56% и 33% соответственно. o Такое же различие восприятия заметно и в других аспектах, включенных в опрос, например, в сфере безопасности. За последние 12 месяцев инциденты безопасности возникали у 27% ИТ-руководителей и всего 19% бизнес-руководителей. Это означает, что последние не располагают информацией обо всех технологических инцидентах, влияющих на бизнес. Средний показатель (23%) повышается в России до 26% — именно такой процент российских сотрудников ИТ сообщили о том, что их организации становились жертвами инцидентов.

Организации с более высоким уровнем зрелости успешно избегают инцидентов, связанных со сбоями в работе ИТ-систем, и восстанавливаются после них быстрее и с существенно менее серьёзными последствиями.

o 53% организаций из сегмента «Лидеры» сообщили, что в их инфраструктурах время восстановления данных для критически важных приложений составляет несколько минут или менее. В остальных сегментах это значение падает до 27%.

o 76% компаний в сегменте «Лидеры» считают, что они могут восстановить 100% потерянных данных в каждом случае, в то время как аналогичный показатель в сегменте «Отстающие» составляет всего 44%.

o В целом, организации из самого низкого сегмента рейтинга («Отстающие») потеряли за последние 12 месяцев в 1,5 раза больше денег в результате простоев, чем организации в самом верхнем сегменте («Лидеры»).

o Дороже всего организациям обходятся нарушения безопасности: по оценкам всех респондентов, в среднем финансовые потери за последние 12 месяцев составили 860 273 долларов из-за нарушений безопасности, 585 892 долларов из-за потери данных и 494 037 долларов из-за простоев. Для России средние цифры составили 518 500 долларов для нарушений безопасности, 267 000 долларов для потери данных и 268 851 долларов для простоев.

Незапланированные простои, инциденты безопасности и потеря данных распространены повсеместно. o 61% компаний всех респондентов за последние 12 месяцев хотя бы один раз сталкивались по крайней мере с одним из следующих инцидентов: незапланированные простои (37%), инциденты безопасности (23%) или потеря данных (29%). В России эти показатели несколько выше: незапланированные простои (41%), инциденты безопасности (26%) и потеря данных (30%) за последние 12 месяцев, причем, по крайней мере с одним из таких событий сталкивались 65% респондентов.

o В целом четырьмя основными последствиями для организаций, столкнувшихся по крайней мере с одним из указанных выше событий за последние 12 месяцев, стали падение производительности работы сотрудников (45%), потеря прибыли (39%), потеря доверия/лояльности заказчиков (32%) и упущенные потенциальные сделки (27%). В России список выглядит несколько иначе: падение производительности работы сотрудников (48%), потеря прибыли (48%), потеря заказчиков (31%) и уменьшение объемов бизнеса в результате перехода заказчиков к конкурентам (27%).

• Ограниченный бюджет (52%) стал общепризнанным препятствием № 1 при внедрении решений для обеспечения непрерывной доступности, расширенной безопасности и интегрированного резервного копирования и восстановления. Список четырех основных препятствий продолжают ограничения в связи с ресурсами и/или рабочей нагрузкой (35%), плохим планированием (33%) и недостатком знаний и навыков (32%). Китай оказался единственной страной, в которой респонденты назвали препятствием № 1 не ограниченный бюджет, а поиск ресурсов и/или ограниченную рабочую нагрузку (50%). Респонденты в России считают основными препятствиями бюджет (62%), недостаток знаний и навыков (27%), ограничения в связи с ресурсами и/или рабочей нагрузкой (26%) и недостаток поддержки со стороны руководства/администрации (25%).

• Основными проблемами безопасности для респондентов в целом являются доступ сторонних приложений (43%) и защита интеллектуальной собственности (42%), что указывает на потребность в более совершенных технологиях и интеллектуальных моделях:

o Сохраняется доминирующее влияние средств безопасности на основе методик предотвращения: на это указывает тот факт, что более 80% всех респондентов используют антивирусные программы и брандмауэры как наиболее популярные решения для обеспечения безопасности.

o Всего 18% от числа всех респондентов используют средства управления информацией о безопасности и событиями (SIEM), а еще меньше (11%) внедрили решения для стратегического управления, управления рисками и соответствия требованиям регуляторов (GRC), которые предоставляют необходимые возможности мониторинга и реагирования для защиты от угроз повышенной сложности.

• По всему миру отрасли со строгим нормативным регулированием демонстрируют более высокие уровни развития ИТ. o Помимо ИТ и технологических отраслей (№ 3), в пятерку наиболее высокоразвитых в отношении ИТ отраслей вошли строго регулируемые отрасли: финансовые услуги (№ 1), медико-биологические науки (№ 2), здравоохранение (№ 4) и сектор госуслуг (№ 5).

Мнения руководителей и аналитиков

Ирина Симмонс (Irina Simmons), начальник службы управления рисками EMC

«Большинство практикующих ИТ-специалистов делают всё возможное и используют все доступные средства, чтобы обеспечить безопасность своего предприятия. Нестыковки могут возникнуть на уровне общения с бизнес-руководителями, администрацией, советами директоров и аудиторами. Мы постоянно слышим это от советов директоров. Практикующие ИТ-специалисты должны иметь возможность продемонстрировать руководству компании имеющиеся процессы управления и тем самым вселить уверенность, что управление рисками успешно осуществляется в соответствии с набором и профилем рисков для данной организации. Успешное предотвращение отдельной угрозы — это не случайная удача, а результат надежного процесса постоянного мониторинга и предотвращения новых рисков и угроз, с которыми сталкивается предприятие».

Дейв Мартин (Dave Martin), руководитель службы безопасности EMC

«Пришло время, когда наша отрасль должна сделать ход конем. Невозможно обеспечить расширенную безопасность, если нет надежного фундамента. Мы не можем обеспечить безопасность организации, если у нас нет предсказуемой среды, нет понимания состояния наших активов и нет возможности различать нюансы и распознавать аномалии поведения. Такой надежный фундамент — абсолютно необходимое условие эффективной безопасности и создания общего доверия».

Кристиан Кристиансен (Christian Christiansen), вице-президент по программам подразделения Security Products and Services компании IDC

«Среди многих важных выводов, которые проистекают из этого исследования, как настораживающий и — увы! — закономерный знак нашего времени выделяется вопиющее отсутствие уверенности у руководителей предприятий. Почти половина респондентов отмечают нулевую уверенность своих руководителей в том, что их организации располагают адекватными возможностями обеспечения доступности, безопасности и резервного копирования и восстановления. Уже один этот поразительный факт должен послужить толчком для акционеров к инвестированию в предотвращение внутренних и внешних инцидентов и угроз для их ИТ-систем и данных».