Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах Пользователи Компании Лента заказов Курс по ITSM

Gartner призывает честно поговорить об ИТ-безопасности

Gartner призывает честно поговорить об ИТ-безопасности

В рамках масштабного мероприятия Gartner Security & Risk Management Summit, проходившего с 10 по 13 июня этого года, аналитики Gartner занялись развенчанием основных мифов, связанных с ИТ-безопасностью в бизнесе. Хотя специалисты компании больше говорят о европейском рынке, а также рынке США, эти мифы, на мой взгляд, актуальны и для нашей страны. Благо причиной многих, по мнению аналитика Gartner, является либо желание серьезно реагировать на новые незнакомые ситуации, либо классические попытки переложить ответственность на плечи кого-то другого. Наша ИТ-отрасль, обладая теми же «человеческими» качествами, вынуждена сталкиваться и с теми же мифами, что и зарубежные коллеги, естественно, влекущими за собой те же риски и проблемы.

А в вашей организации дело обстоит похожим образом?

Миф 10. Шифрование – лучший способ сохранить конфиденциальные данные

Нельзя спорить с фактом, что, если шифрование внедрено и настроено – оно действительно работает. К сожалению, попытки выбирать криптографические решения без должного опыта обычно напоминают потуги схватиться за соломинку, чтобы удержаться на воде. С одной стороны, решения не всегда выбираются верно. А с другой - остается множество брешей там, где криптография не может защитить данные.

Миф 9. В любой непонятной ситуации – обсуждаем и принимаем политику

Организации склонны переоценивать силу такого инструмента, как политика безопасности для какого-то конкретного случая. На самом деле, работу с рисками начинать-то надо с административной ответственности, а также оценки, за безопасность чего именно действительно стоит бороться.

Миф 8. Есть инструмент, который решит все проблемы

В сегменте безопасности активно культивируется стремление найти «идеальное решение» для всех проблем. В чем-то это напоминает медицину, где также находится много желающих поверить в чудодейственное исцеление с помощью «волшебной таблетки». Источник мифа в том, что решение о покупке принимается теми, кто не разбирается во всех аспектах безопасности – именно под них менеджеры по продажам «затачивают» свои умения убеждать.

Решением проблемы, как считают в Gartner, должен стать стратегический подход к вопросам безопасности, включающий многолетний план ее развития в рамках организации. Правда, о многолетних планах в ИТ, учитывая скорость развития сегмента, говорить пока тяжело.

Миф 7. Безопасность касается только ИТ

К сожалению, руководители компаний часто хотят переложить ответственность за безопасность информационной среды на кого-то другого: руководителя ИТ-отдела или даже выделенный под безопасность департамент. Проблема заключается в том, что обычно бизнес-руководители не очень-то охотно принимают советы от назначенного «крайнего». А ведь проблема безопасности должна касаться всех уровней предприятия.

Миф 6. Реструктуризация ИТ (и департамента по безопасности) решит проблему

Как западные, так и российские компании верят в чудодейственную силу реструктуризации (оптимизации управленческих функций). Условно к этой категории «решений» можно отнести и передачу некоторых функций на аутсорсинг. По их мнению, реструктуризация положительно должна сказываться не только на управляемости, но и на общей безопасности среды. Но на деле, говоря о безопасности, следует анализировать именно недостатки и потребности программ защиты ИТ-инфраструктуры.

Миф 5. Уменьшение срока действия пароля и его сложность снижают риски

Система контроля доступа с помощью пароля – не эффективна сама по себе. Но в силу инерции, многие организации цепляются за нее, считая, что ее защищенности будет более чем достаточно. Заставляя сотрудников придумать и заучивать 25-значные пароли, менять их раз в месяц, организации стремятся повысить защищенность своих данных. На деле же для серьезного улучшения безопасности необходимо отказаться от паролей.

Миф 4. Мы внедрили SSL и знаем, что данные в полной безопасности

Источником этого мифа, как и в случае с пунктом 8, является недостаточное понимание архитектуры системы безопасности. Как считают аналитики Gartner, проблему может решить некий отраслевой стандарт для коммерческих компаний, где будут прописаны технологии, адекватные для того или иного уровня «критичности» данных.

Миф 3. ИТ-безопасность можно измерить количественно

Существует культура оценки чего бы то ни было с помощью денег. Основная иллюзия здесь кроется в том, что специалисты по безопасности считают, будто могут получить необходимые бюджеты, только лишь представив сухую табличку с численными данными. К сожалению, далеко не всегда риски можно однозначно оценить количественно.

Миф 2. Бюджет ИТ-безопасности – 10% от общих трат на ИТ

Этот миф – один из ярчайших примеров попытки выдать желаемое за действительное. Анализ Gartner показывает, что реальные бюджеты ИТ-безопасности находятся на уровне 5% от расходов на ИТ. Тем, кто выделяет деньги, следует основываться на реальных данных.

Миф 1. Инциденты не коснуться моей компании

Как считают аналитики, в большинстве случаев подобное мышление просто эквивалентно тому, что руководитель не хочет платить за ИТ-безопасность. Бороться с ним приходится сбором убедительных бизнес-доказательств.

 

Полную версию PDF от Gartner «Top 10 Security Myths» можно найти на сайте компании. К сожалению, доступна для скачивания она только после регистрации. Публичная версия есть на страницах англоязычных изданий.

 

Дополнительные материалы:

Информационная безопасность, NDA и пользователи

6 услуг в рамках обеспечения информационной безопасности заказчика

Новое веяние в сфере ИТ-безопасности: в России начнут готовить хакеров

Информационная безопасность. Часть 1. Основы

Комментарии (4)

  • Аватар

    Яковлев Андрей Михайлович [swtws], 19 июня 2013, 06:51

    0
    Единственное, что убивает риски ИТ-безопасности, смешаны с рисками ИБ. То есть, миф №7 не технический и очень близок к истине. Дело в том, что ИБ касается всего предприятия. Роль ИТ не последняя, но и не основная. Пара примеров: 1. Любой сервер может быть "вскрыт", если добраться до него физически, то есть доступ в помещение должен быть ограничен; спорная политика "clear desk" : не держать документы вне ящиков, сейфов и т д. Но самая главная проблема ИБ - это то, что часто она свою роль не выполняет, несмотря на затратность своего существовыния. Проблема очень простая - самый замечательный потребитель систем управления ИБ обычно богатенький и ИБ используется управленцами для подковерной борьбы. При этом они сами ее нарушают, что в разы опаснее, нарушений какой-нибудь секретарши.
  • Аватар

    Tarkashvili Valeri [vtar], 19 июня 2013, 13:28

    0
    То как реализованна безопасность в большинстве компаний - это средство самоуспокоения. Чего стоит хотябы полный доступ к Интернету для руководящего звена, у которго и есть на компьютеррах самая критичная информация, и запрет всего и вся для рядового состава.
    • Аватар

      Чумаевский Александр _ [inkara.ru], 20 июня 2013, 00:11

      0

      Для рядового состава запрет чтоб в игрушки на рабочем месте не играли ибо нефиг ) И можно безопасностью объяснить все что угодно.

    • Аватар

      Яковлев Андрей Михайлович [swtws], 22 июня 2013, 02:26

      0
      В теории ИБ есть понятие "Ответственность менеджмента". Просто в этих вумных теориях много букв. Сам наблюдал, как пыжащиеся в обычное время менеджеры ИТ компании, говорившие подчиненным о "безопасности" на каждом шагу не могли понять слов консультанта об оценке рисков и принятия решения об управлении рисками. Как школьники, невыучившие урок. Льготы у них должны быть, это статус, но и отвественность они свою тоже должны осознавать.