Эксперты сходятся во мнении, что вопросы информационной безопасности еще долго будут возглавлять список приоритетов ИТ-директоров. Вопрос лишь в том, как верно расставить акценты, с помощью ограниченных средств обеспечив выполнение наиболее важных задач. Своими взглядами на наиболее актуальные проблемы делится Андрей Вышлов, глава российского представительства Symantec.
/2014-01/01_14/13154571/Direktor_informacionnoj_sluzhby_(CIO.RU)_DSC_0074_(7854).png) |
| Андрей Вышлов, глава российского представительства Symantec |
Аналитик Gartner Джон Джирар, выступая на конференции Gartner Security & Risk Management Summit в Сиднее, сравнил инвестиции в компьютерную безопасность с финансовой пирамидой: все начинается с небольших разумных вложений, а затем раскручивается сильнее и сильнее. Насколько справедлива такая оценка?
Сравнение с финансовой пирамидой носит отрицательный характер, в то время как инвестиции в безопасность направлены на благое дело. Поэтому я бы скорее сравнил эти инвестиции с великими изобретениями, которые в корне меняют устоявшиеся представления о мире. Если рассматривать информационную безопасность только как обеспечивающую функцию, то она действительно может показаться обременяющей. Но ИБ уже давно вышла на новый уровень, она позволяет использовать новые возможности технологий, которые в отрыве от нее не могли бы применяться — ведь тогда компании подвергались бы слишком высоким рискам. Хороший пример — это адаптация мобильных решений или облаков, позволяющих сотрудникам выполнять свою работу в любое время и из любой точки мира. Естественно, «впускать» их к себе без оглядки на безопасность не стоит. С этой точки зрения безопасность не является тяжкой ношей — наоборот, на нее можно смотреть, как на скафандр, позволяющий выйти в открытый космос или погрузиться на дно океана.
Аналитики не рекомендуют распылять свои инвестиции: основная масса средств, выделяемых на компьютерную безопасность, должна быть пущена на решение главных задач — прежде всего на усиление защиты от проникновения в корпоративную сеть и на регистрацию попыток доступа. В какие еще направления компьютерной безопасности разумно вкладывать деньги, учитывая угрозы сегодняшнего дня?
Я бы смотрел на шаг вперед. Возможно преодолеть любую защиту — все зависит от средств и времени, потраченных на эту задачу. Гораздо важнее, что будет, когда злоумышленник проникнет в инфраструктуру компании.
В настоящее время одним из самых дорогих активов является информация, поэтому мы рекомендуем инвестировать в различные средства ее защиты — контроль использования, защиту от утечек, шифрование и т. д.
Также не следует забывать о том, что основными задачами ИБ сейчас являются безопасность ИТ-инфраструктур, позволяющая им становиться двигателем бизнеса, а также управление ИТ-рисками, снижающее вероятность возникновения нежелательных для компаний ситуаций. Таким образом, второй класс решений, о которых хочется упомянуть, — это решения по управлению рисками.
Другое немаловажное направление — это повышение осведомленности сотрудников. Касаться оно должно как ИТ-департаментов и служб информационной безопасности, так и всех остальных подразделений. Ведь дело в том, что самые эффективные атаки — атаки, направленные на человеческий ресурс; обмануть человека значительно проще, чем ИТ-систему. Важно тренировать у специалистов способность компетентно реагировать на возникающие непредвиденные ситуации. Практика показывает, что сотрудники не всегда готовы посмотреть на ситуацию шире, чем описывают регламенты. Не любую ситуацию можно заранее предвидеть, и поэтому реагирование в действительно критических ситуациях оставляет желать лучшего.
Какие принципиально важные шаги нужны, чтобы определить области бизнеса, которые действительно требуют компьютерной защиты в конкретной компании или организации?
Начинать нужно именно с выявления рисков, которые для каждой компании будут уникальными. Только после понимания степени влияния рисков на те или иные процессы в компании можно говорить о выборе средств для минимизации рисков, в том числе с помощью средств информационной безопасности.
Один важный момент, о котором точно не следует забывать, — это повышение уровня знаний сотрудников о потенциальных проблемах. Не нужно думать, что, настроив современные средства защиты, компания автоматически становится защищенной на 100%. Люди, не принимающие базовых мер к обеспечению безопасности, могут сделать бессильными самые сложные технические средства защиты. И напротив — правильно построенные процессы в совокупности с повышением осведомленности могут творить чудеса, естественно, не без помощи современных технических средств защиты.