Поиск по сайту

bit.samag.ru

Web

Рассылка Subscribe.ru

подписаться письмом

Вход в систему


Запомнить меня
Регистрация Забыли пароль?

О журнале

Ваше мнение

Статьи

Общие тенденции и тренды

Архив

Мероприятия

Календарь мероприятий

сентябрь

2024

показать все

Новости партнеров

27.09.2024

На GIS DAYS: всё, что нужно знать о надёжной электронной подписи

24.09.2024

РДТЕХ и «Хи-квадрат» начали массовое обучение ИТ-специалистов технологии импортозамещения Oracle Apex / Oracle Forms

20.09.2024

LDM.CSP 1.9: отчеты, интеграция с Р7 и новые функции конструктора

20.09.2024

На форуме GIS DAYS 2024 предскажут будущее кибербеза

20.09.2024

Компания «Газинформсервис» совместно с СКБ «Контур» развивает ЭДО между Россией и Китаем

показать все

Статьи

28.09.2024

Чем страшен ИИ, и с чем его едят

18.09.2024

Готов ли рынок АСУ ТП к переменам?

12.09.2024

Отрыв длиной в год. Российские ИИ-решения незначительно уступают иностранным аналогам

09.09.2024

Лейсан Чистая: «КулибИТ для каждого из нас это больше, чем просто проект – это наша миссия»

13.08.2024

Оптимизация продаж лизинговых услуг с ИИ для ГК Альфа-Лизинг с платформой ValueAI

13.06.2024

Взгляд в перспективу: что будет двигать отрасль информационной безопасности

18.04.2024

5 способов повысить безопасность электронной подписи

18.04.2024

Как искусственный интеллект изменит экономику

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

показать все

Взгляд в перспективу: что будет двигать отрасль информационной безопасности

Главная / Архив номеров / 2024 / Выпуск №04 (137) / Взгляд в перспективу: что будет двигать отрасль информационной безопасности

Рубрика: Безопасность

Олег Симаков, директор по развитию AKTIV.CONSULTING

Взгляд в перспективу:
что будет двигать отрасль информационной безопасности

AKTIV.CONSULTING – направление Компании «Актив», которое специализируется на оказании консалтинговых услуг в сфере информационной безопасности (далее – ИБ). Наши консультанты обладают экспертизой для решения широкого спектра задач, для поддержания которой постоянно следят за актуальными текущими трендами в области ИБ.

Сегодня мы выделяем следующие ключевые тренды, которые значительно повлияют на развитие ИБ в ближайшие три-пять лет: управление рисками, безопасность ПО и аутсорсинг компетенций.

Управление рисками

За последние непростые годы количество событий и инцидентов ИБ в целом мире и в нашей стране кратно выросло и продолжает неуклонно увеличиваться. Частные и государственные компании несут немалые потери, и для руководителей организаций становится очевидным, что выстраивание процессов по управлению рисками ИБ – это уже жизненная необходимость. Поэтому в обозримой перспективе руководители служб ИБ все чаще будут инициировать перестройку и внедрение систем и процессов управления рисками в организациях и лидировать в данном направлении.

Очевидно, что подобные изменения потребуют участия служб ИТ и топ-менеджмента, что в свою очередь будет способствовать выстраиванию диалога и гармонизации отношений между руководством и этими подразделениями.

Безопасность программного обеспечения

Информационная безопасность организаций в эпоху цифровой трансформации главным образом связана с безопасностью автоматизированных и информационных систем, которые оказывают все большее влияние на развитие и непрерывность бизнеса.

В то же время основой любого бизнес-приложения выступает программное обеспечение, безопасность которого определяет безопасность системы в целом. При этом, в случае, когда разработку ПО выполняет сторонний разработчик, число инцидентов, обусловленных атаками на цепочки поставок, может быть потенциально больше. Конечно, различного рода проверки безопасности при вводе программных продуктов в коммерческую или промышленную эксплуатацию снижают риски ИБ на этапах использования систем. Однако, они могут критически влиять на сроки запуска систем и ключевой для разработчиков и бизнеса показатель Time-To-Market.

Для разработчиков, в свою очередь, может возникать непредвиденная потребность в дополнительных трудозатратах по устранению дефектов и уязвимостей ПО, что серьезно влияет на себестоимость разработки.

Внедрение процессов безопасной разработки ПО (БРПО) во-многом снимает описанные риски, а также дает преимущества по сокращению количества релизов, повышению управляемости процессами разработки, дополнительной мотивации членов команд.

Правда, о массовом внедрении практик безопасной разработки говорить еще рано. Этому мешает уровень зрелости компаний и дефицит компетенций в данной сфере. Но мы наблюдаем все большее распространение практик БРПО в компаниях, и отчасти этому способствует появление соответствующей регуляторики, например, в финансовой сфере и КИИ. К тому же, требования к безопасности программных продуктов стали привычными для разработчиков средств защиты информации в рамках их сертификации.

Поддерживают идею внедрения БРПО и сами компании-заказчики ПО. Ведь надежность и безопасность приложений и сервисов напрямую влияет на бизнес, а несколько минут простоя или ИБ инциденты могут грозить прямыми денежными потерями и нанесением большого урона репутации компании, что также негативно может сказаться на ее доходах.

Что мешает массовому внедрению подходов безопасной разработки? Прежде всего это нехватка ресурсов, отсутствие компетенций, внутреннее сопротивление команд разработки перестройке уже выстроенных процессов. При этом, мы видим, что интерес к данному подходу растет с каждым годом, в том числе среди наших клиентов. Уверены, что данная тема будет развиваться.

Аутсорсинг компетенций

Кадровый голод становится одним из ключевых сдерживающих факторов для развития практических всех отраслей экономики России. Этот вопрос все чаще поднимается на самом высоком уровне в государственных и частных структурах. В сфере информационной безопасности нехватка квалифицированных кадров усугубляется также недостатком профильных кафедр в высших и средних учебных заведениях, программ профессиональной переподготовки и повышения квалификации.

Под давлением регуляторной нагрузки и собственных потребностей организации рассматривают альтернативные варианты по привлечению компетенций, к которым традиционно относились с большой настороженностью. Внешним сервисным компаниям передаются как отдельные задачи ИБ, так и, в отдельных случаях, вся функция ИБ целиком, включая управление данной функцией.

Отвечая на растущую потребность, игроки рынка ИБ собирают у себя дефицитных ИБ-экспертов и разворачивают необходимые инструменты и инфраструктуру, предоставляя, таким образом, возможность разделить эти ресурсы для удовлетворения нужд достаточно большого количества заинтересованных организаций. Это помогает преодолеть дефицит специалистов и дает возможность заказчику получить дополнительные преимущества: решить задачи, затрачивая меньше денежных и временных ресурсов.

Опираясь на наш опыт, можно утверждать, что все больше компаний осознанно выносят основную часть непрофильных функций на аутсорсинг, чтобы сосредоточиться на ключевых задачах бизнеса.

Конечно, в случае аутсорсинга компетенций по ИБ огромное внимание уделяется согласованию SLA и управления рисками как на стороне заказчика данных услуг, так и на стороне подрядчика. Но эти вопросы разрешимы, и мы уверены, что с развитием данного направления будут наработаны лучшие практики и в этой области, как в свое время они были наработаны для рынка SOC или облачных сервисов.

В заключении хочу отметить, что сейчас мы наблюдаем кардинальные изменения в отношении к задачам информационной безопасности со стороны государства, бизнеса и граждан. Под влиянием внутренних и внешних факторов высшее руководство организаций начинает понимать влияние функции информационной безопасности на бизнес и достижение его целей. Как результат, данному направлению уделяется большее внимание, выделяются ресурсы на его развитие, меняются процессы и подходы.

Одновременно растет и осведомленность граждан в отношении потенциальных информационных угроз. Немаловажную роль в этом просвещении играют сегодня СМИ и ИБ эксперты, осознающие социальную значимость образовательных инициатив.

Ключевые слова: безопасная разработка, аутсорсинг компетенций, управление рисками, безопасность ПО, рынок ИБ.

Подпишитесь на журнал

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи