По данным нового исследования, предприятия, вкладывающие средства в специализированные продукты, больше внимания уделяют угрозам, а не собственным данным.
Опубликованное во вторник исследование показало, что предприятия больше внимания уделяют угрозам, а не защите своих данных.
Исследование компании Varonis Systems The Data Security Money Pit: Expense In Depth Hinders Maturity (Неэффективное вложение средств в защиту данных: расходы на проработку деталей не приводят к повышению уровня безопасности), проведенное исследовательским центром Forrester Research, демонстрирует, что предприятия, вкладывающие средства в специализированные продукты, тем самым больше внимания уделяют угрозам, а не собственным данным.
В исследовании ставится вопрос: в чем состоит ценность защиты данных? Большинство компаний оценивают это понятие с точки зрения рисков, затрат и соблюдения нормативных требований. «Однако, когда конкурентное преимущество заключается в способе использования компанией цифровых технологий с целью создания новой потребительской ценности, повышения адаптивности для удовлетворения потребностей клиентов, а также для формирования цифровых экосистем, образующих совершенно новые потоки поступления дохода, защита и конфиденциальность данных становятся чем-то гораздо большим, чем просто оптимизация затрат. В действительности они являются фактором роста доходов и компании в целом», — объясняется в исследовании.
Ключевые показатели исследования компании Varonis
• 62 % респондентов не имеют ни малейшего представления о том, где хранятся конфиденциальные неструктурированные данные компании.
• 66 % не могут дать правильное определение таким данным.
• 59 % не настаивают на использовании модели получения доступа к таким данным по принципу предоставления минимальных прав.
• 63 % не проверяют, как используются такие данные, и не имеют системы оповещения в случае их неправильного использования.
В соответствии с данными отчета компании Varonis проблема состоит в том, что в настоящее время компании зависят от определенного набора средств обеспечения безопасности для защиты своих сетей, снижения затрат и рационализации производственных процессов. Однако, как указывается в отчете, защита данных все еще представляет собой набор разрозненных процессов.
В сентябре 2016 года по поручению компании Varonis исследовательский центр Forrester проверил положение дел и оценил необходимость создания платформы для защиты данных. Центром Forrester опрошено 150 представителей американских и канадских компаний, отвечающих за принятие решений в области защиты данных, в различных отраслях экономики. При этом было обнаружено, что «в случае перехода от использования продуктов к использованию платформы понятие защиты данных для компаний изменится».
В исследовании содержится три основных вывода.
Вложение средств в продукты для защиты данных не приводит к повышению уровня защиты. Большинство компаний используют различные технологические решения для обеспечения защиты данных. Тем не менее вложения в решения с высоким уровнем безопасности не повышают уровень защиты данных, а также не обеспечивают внедрение единой стратегии обеспечения безопасности.
Отсутствие повышения уровня защиты данных проявляется при возникновении проблем. Несмотря на все уверения в высоком уровне защиты, подавляющее большинство компаний сталкиваются с техническими и организационными проблемами при защите данных, больше внимания уделяют угрозам, а не своим данным, а также не разбираются в понятии конфиденциальности данных и не знают, как обеспечить управление ими на должном уровне.
Существует потребность в единой платформе для защиты данных. Единая платформа для защиты данных позволит оптимизировать стратегию защиты данных, обеспечив их доступность и управление ими на должном уровне. При этом компании смогут контролировать расходы и решать проблемы, связанные с интеграцией.
В качестве заключения в исследовании указано следующее: «Единая платформа для защиты данных обеспечивает основные возможности для компаний. При этом они получают надежную технологическую основу для собственной стратегии защиты данных. Кроме того, создаются условия для повышения уровня безопасности компании и повышения эффективности ее деятельности в целом. Ключевым принципом является интеграция с существующей инфраструктурой. Пора положить конец расходам на проработку деталей и мучениям с наспех созданными возможностями в разнородных продуктах».
Как сказал во вторник Дэвид Гибсон (David Gibson), вице-президент по стратегическому развитию и расширению рынка компании Varonis, издательству SC Media: «В результате нашумевших взломов мы столкнулись с большим числом ответных срочных расходов, которые не привели к желаемым результатам и не помогли повысить уровень безопасности в целом. Можно вкладывать средства в несметное количество специализированных решений, которые позволяют снизить риски от определенных угроз или выполнить конкретные задачи, но зачастую они не помогают защитить непосредственно сами данные».
Данные необходимо рассматривать более согласованно, в виде определенного актива. И, по словам Д. Гибсона, у его компании имеется более внимательный подход к их защите, при котором важными становятся следующие вопросы: данные какого типа собираются, создаются и хранятся, где они располагаются, кто имеет к ним доступ, как они используются, а также как администратор может узнать, что кто-то уничтожает и похищает данные или нарушает их целостность?
Гибсон утверждает, что «компании, которые хорошо продумывают свои действия, уделяют должное внимание данным и более внимательно относятся к их защите (аналогично защите своих финансовых активов): они размещают данные в надежном месте, предоставляют доступ только по мере необходимости, а также отслеживают все операции с данными с целью выявления мошенничества или неправомерного использования».
Как сказала во вторник аналитик центра Forrester Хайди Шей (Heidi Shey) изданию SC Media, очень легко попасться на крючок, уделяя внимание только угрозам и атакам. Именно так компании попадают на первые полосы, после того как их данные взломаны. «Чтобы защитить свои данные, нужно понимать, что именно ты защищаешь и почему. Кроме того, чтобы сформировать стратегию защиты таких данных, нужно знать, как они используются».
По словам Х. Шей, именно в этот момент создается подход, ориентированный на данные. При этом данные идентифицируются на основании уровня конфиденциальности, важности и других контекстных сведений. Таким образом пользователи могут прийти к пониманию того, какие средства контроля им требуются, и приблизить эти средства к данным с целью обеспечения защиты на любом этапе жизненного цикла.
Автор: Alexandra_Varonis