«С тех пор, как началась цифровизация, организации осознали ценность своей информации», — сказал доктор Хусейн Чавушоглу, ведущий автор исследования и доцент кафедры информационных систем в UT Dallas. В последнее время из-за зависимости от Интернета организациям стало сложно обеспечить безопасность и защиту этого актива.По его словам, защита информации изначально рассматривалась как проблема, связанная с технологиями, и была решена путем инвестирования в технологические решения.
«Но с годами стало ясно, что технологические решения не являются надежными и недостаточными», — сказал Чавушоглу, исследователь управления безопасностью в Школе менеджмента Навина Джиндала. «В свете этого наблюдения мы были заинтересованы в определении согласованного набора организационных ресурсов для средств управления информационной безопасностью, в которые организации должны инвестировать для защиты своих информационных активов».Для исследования, опубликованного в июньском выпуске Information Менеджмент, исследователи опросили ИТ-менеджеров высшего и среднего звена о методах и операциях информационной безопасности в их организациях. Анализ был основан на ответах 241 организации различных отраслей и размеров.
Исследование показало, что организациям следует инвестировать в три различных ресурса для лучшей защиты своей информации: технологии безопасности, квалифицированный персонал по информационной безопасности и осведомленность пользователей организации о безопасности.Технологии безопасности — превентивные и обнаруживающие технические решения для устранения уязвимостей в ИТ-структуре, в которой находятся критически важные информационные активы.Квалифицированный персонал по информационной безопасности — профессиональные сотрудники, которые могут определять, выполнять и поддерживать программу информационной безопасности организации.Осведомленность пользователей организации о безопасности — сотрудники, взаимодействующие с информационными активами организации, полностью информированы, хорошо обучены и осведомлены о проблемах, связанных с безопасностью, и считают безопасность своей повседневной обязанностью.
Поскольку организации по-разному воспринимают риски безопасности, они вкладывают средства в средства управления информационной безопасностью на разных уровнях.
Исследователи также изучили движущие силы этих инвестиций.«Мы обнаружили, что принудительное давление — проистекающее из деловых партнеров или отраслевых и государственных постановлений — и нормативное давление — коренится в методах обеспечения информационной безопасности партнеров, а также в том, что фирма знакомится с передовыми методами безопасности через профессиональные организации, выставки, конференции. и публикации по безопасности — в значительной степени влияют на инвестиции фирм в ресурсы контроля безопасности », — сказал Чавушоглу.Чавушоглу сказал, что результаты имеют несколько значений для государственных политиков, поставщиков средств безопасности и отдельных организаций.
В исследовании государственным политикам рекомендуется продолжать поддерживать группы безопасности, спонсируемые государством, и тесно сотрудничать с профессиональными ассоциациями и советами по вопросам безопасности для разработки нормативных правил безопасности и продвижения передовых методов обеспечения безопасности.Чавушоглу сказал, что исследование показывает, что информационная безопасность — это не только технология, и что для предотвращения угроз безопасности организациям следует инвестировать как в технологические решения, так и в активы, основанные на знаниях.В исследовании организациям рекомендуется рассматривать информационную безопасность как проблему, которой можно управлять с помощью комбинированного портфеля механизмов контроля, состоящего из технологий информационной безопасности, квалифицированного персонала по информационной безопасности и осведомленности пользователей организации о безопасности.
«Сотрудники должны понимать, что они играют важную роль в защите информационных активов своих организаций и должны быть в курсе современных угроз безопасности», — сказал Чавушоглу. «Компании должны уделять пристальное внимание обучению в области безопасности, которое может превратить сотрудников из самого слабого звена в сфере безопасности в самую большую гарантию безопасности».