Многие российские компании используют устаревшее программное обеспечение

По Вашему мнению, с чем связан высокий процент компаний, которые не обновляют ПО? Как их можно стимулировать делать ИТ-системы безопасными?

1. Высокий процент компаний, не обновляющих ПО, связан с экономией денежных средств. Несколько видов экономии приводит к подобным результатам:
   1. экономия на расходах сервисной поддержки используемой в компании ПО. Зачастую обновления программного обеспечения предоставляются, только в рамках действующих соглашений (при соответствующей оплате) о сервисной поддержке. Компании частенько на этом экономят;
   2. экономия на персонале. Компании сокращают финансирование ИТ и в первую очередь постоянные расходы. К сожалению, заработная плата входит в эту категорию расходов. Почти всегда в средних и крупных компаниях не хватает ресурсов ИТ-персонала. Перегрузка персонала и низкая квалификация "недорогих" ИТ-сотрудников выливается в игнорирование базовых принципов поддержки жизненного цикла ИТ-систем. Все это, в конечном счёте, приводит к плачевному состоянию вопросов безопасности;
   3. менталитет руководства подобных компаний. Безопасность ИТ неосязаема для многих людей, не связанных с ИТ-технологиями. Выделять существенные денежные средства ввиду этого достаточно сложно, психологически.
   Однако следует отметить, что "перегрев" темы обязательности обновлений приводит к отсутствию понимания вопросов информационной безопасности в целом. Выполнение обновлений является "одной из тысяч" задач, на которые необходимо обращать пристальное внимание при защите ИТ-систем.
2. Стимуляция компаний, игнорирующих вопросы безопасности, - "вопрос" весьма абстрактный. Все дело в том, что существует прямая связь между зависимостью бизнеса от ИТ и желанием бизнеса заниматься вопросами безопасности. Другими словами, чем больше компания зависит от своих компьютерных систем, тем вероятнее, что эта компания будет заниматься вопросами ИТ-безопасности. Весьма заметный рост доли "ИТ-зависимых" компаний за последние 10 лет является тем самым естественным, стимулирующим фактором.
   Попытки искусственной/насильственной стимуляции приводят к обесцениванию самой темы информационной безопасности. Выполнение формальных требований различных стандартов по ИБ приводит в "формальному" выполнению этих требований. Реальная защита от актуальных киберугроз выходит далеко за рамки стимулирующих воздействий. Мотивация приходит от знаний или в результате приобретения собственного "печального" опыта.