Более половины (52%) опрошенных российских компаний принимают ключевые решения с учетом ИБ-рисков. Особенно часто на риски обращают внимание крупный и средний бизнес, в то время как госсектор менее вовлечен в вопросы их анализа и оценки. Это следует из результатов исследования риск-менеджмента ИБ в организациях, проведенного группой компаний «Солар».
В исследовании приняли участие 157 представителей российских компаний из Москвы, Санкт-Петербурга, а также ряда городов РФ с населением более 500 тыс. человек. 47% опрошенных компаний представляют сегмент среднего бизнеса (с выручкой от 800 млн до 5 млрд рублей в год), 26% — крупного (с выручкой от 5 млрд до 60 млрд рублей в год), 15% — госсектор и 12% — Enterprise (с выручкой от 60 млрд рублей в год). Среднее количество сотрудников в компаниях-респондентах составило 2570 человек.
Согласно исследованию, 60% компаний сегмента среднего бизнеса большую часть ключевых решений принимают с учетом рисков. Среди крупных компаний эта доля составляет 46%, а в госсекторе и Enterprise — по 41%. При этом в госсегменте компаний, принимающих ключевые решения без учета рисков, больше, чем в других отраслях — их доля составляет 32% от опрошенных госкомпаний. Для сравнения, в сегментах Enterprise и в среднем бизнесе таких организаций почти в два раза меньше (18%), а в крупном бизнесе их доля не превышает 17%.
Лишь в 12% опрошенных компаний риск-менеджмент находится на стадии формирования, в других он реализован и работает в той или иной степени. По уровню зрелости в вопросах оценки и анализа рисков лидирует Enterprise: в 18% компаний этого сегмента наиболее развитые и продвинутые системы риск-менеджмента, а почти в половине случаев он существенно влияет на работу организации. На втором месте по уровню зрелости находится крупный бизнес (7% от общего числа компаний данного сегмента), на третьем — госсектор (5%), на последнем — средний бизнес (3%).
Примерно в половине организаций анализ рисков происходит не реже одного раза в год, и лишь в 17% он происходит ситуативно — в случае крупных изменений, после наступления инцидентов и т.д. Средний период пересмотра модели рисков и угроз составляет полтора года.
После внедрения анализа рисков большая часть компаний (40%) отмечают сокращение количества инцидентов в ИБ, 33% — сокращение потерь от инцидентов, и еще 28% — снижение расходов на ликвидацию последствий инцидентов.
«Стоит подчеркнуть, что практически все (95%) российские компании анализируют риски для значимых цифровых и бизнес-изменений. Анализ и оценка рисков ИБ являются важной и востребованной процедурой, обеспечивающей полноценное функционирование компании и ее эффективное развитие. Бизнес это понимает, однако ему еще предстоит проделать немалый путь, чтобы выйти на достаточный уровень зрелости», — комментирует руководитель направления аналитики киберугроз ГК «Солар» Дарья Кошкина.