Найти в Дзене
D I V I T Y
209 подписчиков

Управление инцидентами безопасности. Исследование ASIS.

4
12 мин
Ниже я приведу свой разбор 60-страничного отчёта Security Incident Management in 2025 (ASIS International, при поддержке VOLT). Я объясню, что именно измеряли исследователи, какие выводы сделали, где в данных спрятаны «узкие места» и что практически нужно/можно менять в процессах и технологиях. По тексту я буду приводить ключевые цифры из отчёта. Но, для начала о тех, кто этот отчёт написал:
- ASIS (American Society for Industrial Security) это глобальное сообщество, объединяющее более 34 000 специалистов по безопасности из разных отраслей и стран. Основана в 1955 году, штаб-квартира находится в Александрии, штат Вирджиния, США. Занимаются в основном образованием и исследованиями в области безопасности.
- VOLT о партнёре поддержавшем данное исследование известно не много, есть информация о том, что это может быть поставщик аналитических решений для служб безопасности. В конце лета 2024 года ASIS провела глобальный опрос специалистов по безопасности, чтобы понять, как организации готовя
Оглавление

Ниже я приведу свой разбор 60-страничного отчёта Security Incident Management in 2025 (ASIS International, при поддержке VOLT). Я объясню, что именно измеряли исследователи, какие выводы сделали, где в данных спрятаны «узкие места» и что практически нужно/можно менять в процессах и технологиях. По тексту я буду приводить ключевые цифры из отчёта. Но, для начала о тех, кто этот отчёт написал:
- ASIS (American Society for Industrial Security) это глобальное сообщество, объединяющее более 34 000 специалистов по безопасности из разных отраслей и стран. Основана в 1955 году, штаб-квартира находится в Александрии, штат Вирджиния, США. Занимаются в основном образованием и исследованиями в области безопасности.
- VOLT о партнёре поддержавшем данное исследование известно не много, есть информация о том, что это может быть поставщик аналитических решений для служб безопасности.

О чём документ?

В конце лета 2024 года ASIS провела глобальный опрос специалистов по безопасности, чтобы понять, как организации готовятся к инцидентам, как их обнаруживают, реагируют и справляются с последствиями. Исследование не ограничивалось только одной отраслью: отвечали производственные компании, ритейл, нефтегазовый сектор, госсектор, транспорт, безопасность и другие. Всего 618 респондентов ответили хотя бы на часть вопросов; 433 прошли опрос до конца. Погрешность выборки ±5% при доверительной вероятности 95%.

Чтобы сравнения были корректными между очень разными организациями, авторам пришлось работать не с перечнем конкретных инцидентов, а с тремя уровнями последствий:

  • Низкое влияние: требует реакции, но почти не влияет на операции/финансы/благополучие людей.
  • Среднее влияние: может нарушить краткосрочные операции, заметно сказаться на финансах или благополучии.
  • Высокое влияние: часто требует кризисного управления, заметно бьёт по операциям/прибыльности/безопасности людей.

Ключевые находки (и почему они важны)

1) Готовность к «тяжёлым» инцидентам заметно ниже, чем к лёгким и средним
Большинство специалистов считают, что ресурсов хватает в целом. Но если разложить по уровням, то картина меняется: на реагирование на инциденты с низким влиянием ресурсов хватает у 81% респондентов, на средние у 78%, а вот на высокие только у 68% опрошенных. Ещё хуже со временем: 23% признают, что не могут уделить достаточно времени инцидентам с высоким влиянием (против 7% и 12% для низких и средних). Это можно назвать как «разрыв готовности», который вытекает в кризис.

2) Компании лучше реагируют и восстанавливаются, чем предугадывают и готовятся
Если разложить устойчивость на четыре ступени
- anticipation (предвосхищение)
- preparation (подготовка)
- response (реакция)
- recovery (восстановление)
то «реакция» у большинства развита лучше всего, «восстановление» на втором месте, а «предвосхищение» и «подготовка» отстают. Это логично (реагировать проще, чем заранее угадать сценарий), но опасно: чем слабее предвосхищение и подготовка, тем тяжелее каждая реакция.

3) Почти все хотят ускориться
Почти 9 из 10 специалистов по безопасности признают, что им нужны заметные или хотя бы постепенные улучшения в скорости обнаружения и реакции. Лишь 13% считают, что работают быстро, и любые улучшения будут только «косметикой».

4) Лучшая готовность — к вторжениям и фишингу; худшая — к похищению топ-менеджера
По ранжированию типов инцидентов организации лучше всего умеют обнаруживать нарушителей периметра/зон/территорий и фишинг/социальную инженерию. Слабее всего со сценарием похищение первого или влиятельного лица компании: почти половина признали, что готовы к нему «слабо или никак». Активный стрелок тоже в аутсайдерах по уверенности.

5) Отчет об инциденте — must-have
90% организаций делают пост-инцидентные отчёты, и 88% из них приводили к реальным изменениям:
- материалы по осведомлённости/тренинги (73%)
- перераспределение сил (58%)
- обоснование инвестиций в технологии/штат (52%)
- укрепление связей с правоохранителями (47%).
Это не «бумага ради бумаги», а инструмент изменений.

6) Четыре фактора, которые статистически связаны с эффективностью
1 - Инвестиции в технологии (контроль доступа, видеонаблюдение, сигнализация)
2 - Ускорение обнаружения/реакции
3 - Круглосуточный (24/7) SOC - security operations center - центр обеспечения безопасности
4 - Системные after-action (пост-инцидентные) отчёты и их практическое использование.

Бенчмарки времени и ресурсов

  • Время на разбор отчётов: 71% тратят до 30 минут в день; 11% — более часа. Это стабильно для компаний любых размеров и должностей.
  • Ресурсы по уровням: хватает на то чтобы справиться с инцидентами с низким влиянием (81%) и средним (78%), просадка на высоких (68%).
  • Дефицит времени: каждый четвёртый (23%) не успевает уделять достаточно внимания инцидентам с высоким влиянием.

Этот «перекос» означает, что повседневная рутина съедает фокус внимания и силы, а на высокие (и редкие) риски остаётся остаточный ресурс. Пока "жареный петух не клюнет".

-2

Тактики и их эффект: что реально работает

Исследователи сравнили пять популярных тактик и спросили, кто их использует и насколько они влияют на предотвращение/реакцию:

  • 24/7 SOC (security operations center - центр обеспечения безопасности): применяют ≈81%; 69% из пользователей оценивают эффект как «значительный/высокий».
  • CPTED (crime prevention through environmental design - предотвращение преступлений через обстановку - свет, ограждения, барьеры и др.): применяют ≈93%; «значительный/высокий» эффект у 59%.
  • Детекция оружия/запрещённых материалов на входах: применяют порядка 38–41%; «значительный/высокий» эффект ≈57–58%.
  • AI-видеообработка для аномалий/эскалации: применяют 52%; «значительный/высокий» эффект ≈57%.
  • AI-видеообработка для распознавания оружия/опасных предметов: внедрено реже (около 41–52%), но эффект у большинства тоже высокий.

Тренд очевиден: классика (SOC, CPTED) внедрена почти у всех, AI-инструменты пока частично, но когда их внедряют, эффект высокий.

Организационная устойчивость: где «болит» сильнее

На вопрос «что у вас получается хорошо?» респонденты чаще всего отмечали Реагирование (~57%), далее Разбор/Восстановление (~51%), а Предупреждение и Подготовка — примерно по 47%. То есть реагировать умеем лучше, чем предвосхищать и готовиться, а именно на первых двух стадиях строится скорость третьей.

Готовность по сценариям (взвешенная оценка 1–5):

  1. Нарушитель в закрытой зоне — 3,55
  2. Фишинг/социнженерия — 3,45
  3. Внутреннее воровство — 3,28
  4. Катаклизм/сбой инфраструктуры — 3,26
  5. Массовые беспорядки — 3,24
  6. Угроза взрыва — 3,22
  7. Активный" стрелок — 3,14
  8. Похищение топ-менеджера — 2,65

Перекрывающиеся инциденты (когда организации приходится одновременно реагировать сразу на несколько разных событий безопасности):
56% частота «примерно та же»
26% частота снизилась
18% частота выросла
Но когда совпадения происходят, 44% говорят о сложности в перераспределении ресурсов и возрастании уязвимости к новым угрозам,43% о стрессе у сотрудников снижающем эффективность, в отдельных случаях даже о повышении "текучки" среди персонала. Однако одновременно с этим 54% используют такие моменты, чтобы показать ценность безопасности и продвинуть инвестиции (техника — 36%, персонал — 30%).

Роль систем безопасности: текущее состояние и апгрейды

На вопрос «насколько ваши системы современны» ответы таковы:

  • СКУД: 17% «самое современное», 44% «хватает», 39% «нужен апгрейд».
  • СВН: 22% «самое современное», 41% «хватает», 37% «нужен апгрейд».
  • ОПС: 13% «самое современное», 50% «хватает», 37% «нужен апгрейд».

Апгрейды за 18 месяцев: СКУД 51%, СВН 57%, ОПС 29%. Но важнее не сам апгрейд, а чего он помог добиться:

  • Около 30% сказали, что апгрейд не просто позволил догнать средние показатели по отрасли или устранить отставание, а выйти в лидеры. Технологии, процессы и готовность к инцидентам оказываются выше, чем у большинства коллег по отрасли. то есть апгрейд дал не только обновление ради обновления, а конкурентное преимущество.
  • 43–48% — просто позволил «не отстать».
  • 22–28% — «помог, но мы всё ещё позади».

Это честная оценка возможностей: обновляться необходимо, чтобы не отставать, а «рывки вперёд» удаются далеко не всегда.

Учимся на инцидентах: как именно используют отчёты

AAR (after-action report - отчёт по результатам инцидента): в 73% случаев отчёты пишут на все средние и высокие инциденты; 24% только на высокие.
Кто пишет: 39% аналитик/мидл-менеджер безопасности; 32% старший руководитель безопасности; 6% другой руководитель; 2% сотрудник вне службы безопасности; в 21% «по-разному».
Кому показывают: 58% ответственным за риски; 36% CEO; 34% исполнительной группе; 19% совету директоров; 12% всем сотрудникам.
Как показывают: 52% отчёт + презентация; 31% только отчёт; 3% только презентация; 9% «почти не выводим за границы службы безопасности».

-3

Что отличает «эффективных» от «остальных»

Исследователи сопоставили самооценку эффективности («насколько ваша организация эффективна в управлении инцидентами?») с множеством других ответов. Корреляции получились яркими.

1) Инвестиции в технологии = выше общая эффективность

Если система ваша система безопасности "на пике технологий", то доля тех, кто считает свою организацию «очень» или «в основном» эффективной составляет 79–86% (в зависимости от класса технологии). Если система «нуждается в апгрейде», доля падает ниже 50%. Другими словами, технологическое отставание почти гарантированно тянет вниз восприятие эффективности.

2) Скорость — главный маркер зрелости

Среди тех, кто «и так быстр» (улучшения будут незначительными), 93% считают свою организацию «очень/в основном» эффективной. Среди тех, кому нужны существенные ускорения лишь примерно 33%. Для «средних» (хотим постепенных улучшений) ≈62%. Ускорение детекции/реагирования - самый мощный маркер.

3) 24/7 SOC заметно увеличивает уверенность

В компаниях с круглосуточным SOC 59% оценивают общую эффективность как «очень/в основном высокую», без SOC 38%. Плюс, по отдельной шкале, 24/7 SOC набирает максимальный «вес влияния» среди тактик обеспечения безопасности.

4) After-action отчёты — не просто «хроника», а ускоритель изменений

Если отчёты вообще делаются, доля «верящих в эффективность» 54–64%; если не делаются то 36%. И чем чаще отчёты приводят к реальным действиям (тренингам, перераспределению ресурсов, инвестициям, работе с правоохранителями), тем выше эта доля.

Практические выводы и рекомендации

  1. Закрывайте «разрыв готовности»
    Проведите инвентаризацию времени/ресурсов по уровням последствий. Если «тяжёлые» недофинансированы или недооценены по времени пересоберите и автоматизируйте рутину у инцидентов с низким и средним влиянием . Цель освободить ресурсы на инциденты с высоким влиянием.
  2. Сделайте скорость KPI №1
    Введите метрики MTTD/MTTR для физической безопасности (вместе с ИБ). Систематически отрабатывайте снижение задержек в обнаружении и подтверждении событий от настройки триггеров в VMS/ACS (СВН/СКД) до регламентов эскалации.
    *MTTD (Mean Time To Detect) - среднее время обнаружения, сколько в среднем проходит от момента возникновения инцидента до его выявления, чем меньше MTTD, тем быстрее ваша система замечает проблему. Среднее время по всем инцидентам и будет вашим MTTD.
    *MTTR (Mean Time To Respond / Resolve / Recover) - среднее время до реакции/устранения/восстановления, сколько в среднем проходит от момента обнаружения до полного закрытия инцидента (реакция и устранение последствий). Пример: вы заметили проникновение на территорию в 00:00, в 0:10 включили план реагирования, в 2:30 устранили последствия и восстановили работу всех систем. Тогда MTTR = 2 ч 30 мин.
    Почему это важно для безопасности? MTTD = как быстро вы узнаёте о проблеме (камеры, датчики, мониторинг). MTTR = как быстро вы справляетесь после того, как узнали (процедуры, обучение, координация). В отчёте ASIS как раз подчёркивается: у большинства организаций «реакция и восстановление» прокачаны лучше, чем «предвосхищение и подготовка». А MTTD/MTTR это метрики, которые позволяют объективно замерить, где вы реально сильны, а где слабее.
  3. Усильте предвосхищение и подготовку
    Ответственность за «предвосхищение/подготовку» должна быть так же осязаема, как за «реагирование». Чек-листы, сценарные тренировки, регулярные проверки по сценариям и стратегические сессии по сценариям «похищение топ-менеджера», «активный стрелок», «катаклизм/длинный простой» — именно там у большинства наихудшие оценки готовности.
  4. Доведите SOC до 24/7 (или замените моделью «виртуального SOC»)
    Даже если полный круглосуточный SOC пока не по карману, соберите гибрид: дежурства, смены-по-вызову, аутсорсинг/делегирование на ночи/выходные специализированным компаниям предоставляющим услуги, автоматизированные тревожные пакеты алгоритмов для дежурного руководителя. Корреляция с эффективностью слишком сильна, чтобы её игнорировать.
  5. Обновляйте технологии не «чтобы было на чём бюджет освоить», а под целевые эффекты
    В отчёте видно: апгрейд часто лишь удерживает от отставания. Задайте для проекта обновления критерии успеха: на сколько % снизим MTTR? Какие инциденты перестанут эскалировать? Что уйдёт в автоматизацию? И держите этот фокус при поиске и выборе любых решений.
  6. After-action отчёты сделайте «механикой изменений»
    Порог запуска - для всех инцидентов со средним и высоким влиянием. Формат - отчёт + презентация (не только PowerPoint, но и объяснение) для ответственных за риск/CEO/исполнительный директор.
    Обязательные блоки:
    - что сработало
    - где задержки
    - что меняем в процессах/топологии/штате
    - какие решения «убили» время реакции.
    Включите туда обоснование инвестиций и у вас не будет проблем в будущем, ведь у половины компаний это уже работает.
  7. План на перекрывающиеся инциденты
    Пропишите «режим перегрузки»: приоритеты, кого и откуда снимаем, какие функции временно консервируем, как автоматизируем уведомления. И — как конвертируем такой эпизод в     демонстрацию ценности безопасности. Это реально работает у каждой второй компании.

Методологические заметки (почему этому можно верить)

ASIS - крупнейшее профильное сообщество, и его выборки близки к реалиям не только рынка безопасности, но и отраслевой проблематике. В опросе представлены разные регионы, отрасли, масштабы, роли от сотрудников передней линии до директоров по безопасности. Это даёт хорошие бенчмарки для самопроверки, но требует помнить: определения low/medium/high (степени влияния инцидентов) участники применяли в собственном контексте; значит, сопоставляйте с вашей шкалой последствий, а не переносите проценты «как есть».

Итог

  1. Слабое звено не реакция, а предвосхищение/подготовка.
  2. Самый сильный параметр это скорость обнаружения и реакции (и всё, что её ускоряет: SOC 24/7, тренировочные циклы, технологические апгрейды под конкретные KPI).
  3. After-action отчёты двигатель изменений и эффективных инвестиций.
  4. Ресурсно-временной перекос в пользу «мелочи» оставляет «тяжёлые» инциденты вне зоны фокуса это нужно исправлять структурно.

Если сводить «рецепт эффективности» к одному предложению, он будет таким: инвестируйте в скорость и осмысляйте каждую минуту задержки от архитектуры систем и SOC до сценариев, тренировок и управленческих решений после инцидента. Именно это, по данным ASIS, отличает тех, кто считает свою работу действительно эффективной.

*сам отчёт у меня есть в оригинале, если нужно - обращайтесь.

Безопасность и правопорядок
95,2 тыс интересуются