По мнению аналитиков, многие средства безопасности еще долго не пригодятся
Число технологий защиты, предлагаемых на рынке, настолько велико, что знать все, пусть даже поверхностно, не под силу даже самым опытным ИТ-менеджерам. Аналитики Gartner полагают, что для правильного выбора небесполезно иметь представление, какие из них могут вовсе не понадобиться. Этим знанием представители компании поделились на недавней конференции IT Security Summit.
Список технологий защиты, которые с большой вероятностью не понадобятся компаниям в ближайшие пять лет, возглавляют персональные цифровые подписи, обмен частичными ключами, пассивные средства обнаружения вторжения, различные системы биометрической защиты, защита от шума (позволяющая предотвратить распространение, или, вернее сказать, «эманацию» поддающихся расшифровке данных устройствами), пароли по умолчанию, управление цифровыми правами корпоративного уровня. Так полагает Виктор Уитман, вице-президент компании Gartner.
«Необходимо правильно оценивать технологии, вокруг которых создается наибольший ажиотаж. Персональные цифровые подписи не нужны, поскольку в подавляющем большинстве случаев достаточно обычного механизма ЭЦП, и никакие биометрические системы не нужны, если только вашу компанию не возглавляют те, кто не в состоянии запомнить свои пароли», — убежден Уитман.
ИТ-менеджеры должны стараться заглянуть как можно дальше вперед, когда речь заходит о внедрении систем, и прежде всего добиваться их корректной работы, а не тратить время и деньги на исправление ошибок. Программное обеспечение не должно иметь изъянов, и задача ИТ-менедежеров — стимулировать производителей к выпуску надежных программ, иначе расходы на защиту будут расти.
«Можно сказать, что весь мир участвует в самом грандиозном бета-тестировании в истории, и это тестирование все продолжается и продолжа?ется, — заметил Уитман. — Нетрудно догадаться, о чем идет речь — о Windows. С выпуском Longhorn некоторые проблемы будут решены, но и это решение не будет полным. Наши исследования показывают, что устранять дефекты в программных продуктах после их выпуска обходится в три-пять раз дороже, чем при разработке».
Предприятия должны требовать подтверждения, что программны, которые они покупают, защищены, и производитель проанализировал код с учетом требований безопасности.
По прогнозам Gartner, в 2006 году компании будут тратить 4-5% бюджета, выделяемого на ИТ, на защиту аппаратных и программных систем. Если учесть риски, связанные, например, с аутсорсингом, этот показатель может вырасти до 6-9%. Однако лучше защищена не та компания, которая вкладывает в защиту больше, а та, которая делает это более рационально.
В то же время, Мартин Смит, управляющий директор консалтинговой компании The Security Company, специализирующейся на вопросах защиты, заявил, что Уитман, пожалуй, слишком спешит, сбрасывая со счетов вопросы просвещения в сфере защиты, поскольку пользователям нужны четкие и понятные инструкции. Он согласился с Уитманом в том, что ИТ-менеджеры должны задавать ориентиры, которые гарантировали бы безопасность информационных систем.
Возможно, наиболее важно в этой связи, чтобы ИТ-менеджеры разъясняли высшему руководству, как наилучшим образом использовать возможности уже развернутых систем. «Сейчас катастрофически не хватает показателей качества управления. Если бы проблему можно было оценить действительно адекватно, это решило бы все, — полагает Смит. — Без поддержки на высшем уровне предприятий ничего не сдвинется с места».
Койер, консультант по вопросам инфраструктуры голландской компании Wegener ICT Kranten, подчеркнула, что тратит массу времени на то, чтобы отсеять многочисленные средства защиты, предоставляющие самые разнообразные и ненужные функции.
В то же время она отметила, что для ИТ-менеджера как никогда важно выработать умение находить общий язык с руководством компании.
«Конечно, нужно, чтобы голос технических специалистов был услышан, но и они, со своей стороны, должны найти способ донести до руководства ту или иную информацию так, чтобы она была услышана и получила поддержку», — убеждена Койер.
Ernst & Young: компании знают об угрозах, но не предпринимают адекватных мер
Результаты очередного ежегодного исследования, проведенного аудиторской и консультационной компанией Ernst & Young, показали, что, несмотря на хорошую осведомленность руководителей компаний о рисках, которым подвергается информационная безопасность со стороны сотрудников их организаций, они не предпринимают адекватных мер.
По мере того, как предприятия берут на вооружение все более децентрализованные бизнес-модели, делегируя некоторые функции внешним подрядчикам, им становится все труднее контролировать безопасность своей информации, а руководителям все труднее оценивать уровень риска. Между тем, по словам Мишель Мур, руководителя отдела услуг в области ИТ и компьютерной безопасности отделения Ernst & Young в России и СНГ, в нашей стране редки случаи делегирования функций обеспечения информационной безопасности внешним подрядчикам из-за отсутствия доверия к ним. Между тем отечественные компании сталкиваются с такими же проблемами в области безопасности — недостаточным вниманием со стороны высшего руководства, нерегулярным проведением оценки рисков и недостатком либо полным отсутствием инвестиций в работу по снижению рисков, связанных с человеческим фактором.
Исследование Ernst & Young указывает на то, что организации по-прежнему уделяют основное внимание таким внешним угрозам, как вирусы, в то время как серьезность внутренних угроз постоянно недооценивается. Компании охотно идут на закупки технических средств, но не готовы относить кадровые проблемы к разряду приоритетных.