Что бывает после инцидента ИБ?

Что бывает после инцидента ИБ?.. Вопрос непраздный и интересный, но мало кто на него может дать универсальный ответ. На первый взгляд все очевидно. Надо извлечь уроки и устранить причины инцидентов. Но это только на первый взгляд. На самом деле статистика немного иная. В 2011-м году Forrester провел опрос около двух с половиной тысяч руководителей ИТ-подразделений и людей, принимающих решения, и задал им простой вопрос: «Если вы сталкивались с инцидентами ИБ, то какие изменения они повлекли за собой за последние 12 месяцев?». Ответы были неожиданными.

С самым распространенным ответом все вроде бы понятно. Впечатляет второй по распространенности ответ — «ничего не поменялось». В трети случаев (по оси абсцисс отложены проценты ответивших) фиксация инцидента не приводила ни к чему! Можно конечно предположить, что инциденты были несерьезные и в процесс их анализа было принято решение не тратить свои усилия на борьбу с ними, но в это верится с трудом. Увеличение затрат на защитные технологии, рост затрат на программу реагирования на инциденты — ответы тоже очевидные.

То, что удар по репутации в результате инцидента возможен — это вещь бесспорная, а вот то, что это происходит в 9% случаев — цифра интересная. Хотя тут было бы интересно посмотреть на то, как респонденты оценивали удар по репутации. Только ли по факту публикации в СМИ или еще какими-то методами пользовались; с привязкой к бизнес-показателям. Число тех, кто решил сменить поставщика продуктов или услуг достаточно велико — тоже интересный результат.

А вот чисто «бизнесовые» результаты (потеря заказчиков, партнеров или рост сложности  привлечения новых заказчиков) показывают, что инциденты ИБ либо мало (практически в рамках погрешности) влияют на бизнес-показатели, которые интересны руководству компаний (и которые могли бы вовлечь его в решение вопросов ИБ), либо мало кто реально оценивает и увязывает результаты инцидентов ИБ с бизнесом своей компании. Причем, как мне кажется, верны оба утверждения.