Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах Пользователи Компании Лента заказов Курс по ITSM

Принципы нетворкинга в информационной безопасности

Принципы нетворкинга в информационной безопасности

Нетворкинг — наука о создании полезных знакомств. Из фундаментальных принципов нетворкинга можно извлечь массу полезных уроков. Попробуем соотнести 12 принципов нетворкинга и их следствия с реализацией систем информационной безопасности.

Принцип №1: Он должен работать. Независимо от того, какие именно средства защиты информации, вы используете, будь то технологические решения или политика ИТ-безопасности, они должны работать, т.е. успешно снижать риски, а не просто создавать ложное ощущение безопасности.

Принцип №2: Как не старайтесь, вы не сможете увеличить скорость света. Следствие: Ваши попытки ускорить этот процесс могут сделать его еще медленнее. Некоторые элементы системы безопасности можно успешно реализовать только в определенном темпе. Например, если ввести строгий контроль раньше, чем сложится информационная культура компании, это почти наверняка приведет к недовольству и саботажу со стороны пользователей. Реализовать технологию защиты информации от внутренних угроз и утечек (DLP) можно только после того, как компания определит свои наиболее важные информационные активы и их местоположение. Иначе решение не даст ожидаемого результата, а его реализация обойдется дороже, чем могла бы.

Принцип №3: При наличии хорошего двигателя летают даже свиньи, но неизвестно, когда они приземляться, да и опасно, когда они пролетают над головой. Насаждение политики ИТ-безопасности независимо от готовности сотрудников и попытки заставить работать решения независимо от их совместимости с корпоративными ИТ-системами часто дают плачевные результаты. Это может подтолкнуть пользователей начать действовать в обход систем безопасности, делая их бесполезными.

Принцип №4: Некоторые вещи нельзя понять, не испытав на себе. Ваше понимание рисков безопасности конкретных действий или преимуществ конкретного решения вовсе не означает, что все сотрудники компании так же ясно представляют себе эти риски и преимущества. Для обучения основам безопасной работы и формирования информационной культуры может потребоваться какое-то время. С другой стороны, если вы ничего не знаете о бизнес-процессах, о повседневной работе пользователей и о том, как политика ИТ-безопасности сказывается на их деятельности, вы не сможете понять, почему они сопротивляются.

Принцип №5: Несколько отдельных задач всегда можно объединить в единое комплексное решение, но это плохая идея. Комплексные решения проблем безопасности, как правило, очень трудно поддерживать в долгосрочной перспективе. Кроме того, они часто приводят к неожиданным последствиям (например, к появлению обходных путей) и негативному отношению пользователей. При проектировании систем безопасности основным принципом должна быть простота.

Принцип №6: Гораздо проще обойти проблему, чем решить ее. Следствие: Всегда можно добавить еще один уровень абстракции. Не путайте причину и следствие. Невозможно одной установкой технического решения автоматически устранить все проблемы безопасности. В компании должна быть сформирована информационная культура и внедрена политика ИТ-безопасности.

Принцип №7: Всегда приходится чем-то жертвовать. Следствие: Хорошо, быстро или дешево: выберите любые два (все сразу вы никогда не получите). Этот принцип применим почти ко всем ИТ-проектам, и его всегда нужно иметь в виду при определении ожиданий от внедрения систем безопасности. Быстрая и недорогая реализация обычно чревата отсутствием необходимых функций или низкой производительностью.

Принцип №8: Это сложнее, чем вы думаете. При внедрении нового технического решения или политики ИТ-безопасности вы обязательно столкнетесь с влиянием различных негативных факторов (технических, культурных и политических). Помочь преодолеть эти препятствия может содействие руководства, обучение персонала, тщательное планирование и тестирование систем безопасности.

Принцип №9: Ресурсов никогда не хватает. Следствие: Решение проблем всегда занимает больше времени, чем ожидалось. Устранение или сведение к минимуму рисков безопасности может оказаться сложной задачей и потребовать больше времени и средств, чем изначально планировалось. Но, не смотря на возникающие трудности, не меняйте курс на реализацию надежного решения. В долгосрочной перспективе все это окупится и не раз.

Принцип №10: Все люди разные. Именно поэтому так важны правильное планирование и проектирование систем безопасности. При определении приоритетов в реализации систем безопасности необходимо учитывать информационную культуру компании, риски, с которыми она сталкивается, и ее внутреннюю политику.

Принцип №11: Старые идеи возвращаются независимо от того, работают они или нет. Следствие: См. принцип №6. Вендоры всегда включают в свои новые продукты «инновационные» технологии, так же как и злоумышленники используют более «творческие» методы. Однако часто обе стороны просто пользуются старыми идеями в новой «упаковке». Будьте внимательны и тогда вы сможете отличить старые идеи от по-настоящему новых концепций.

Принцип №12: Совершенство – это не когда нечего добавить, а когда нечего отнять. В области информационной безопасности совершенства можно достичь, если контроль безопасности осуществляется прозрачно и ненавязчиво. Тогда компания сможет безопасно осуществлять свою деятельность с минимальными рисками.

По материалам techrepublic.com

Дополнительные материалы

Комментарии (0)