2010 год продемонстрировал организациям новые угрозы для личных данных и частной жизни, при этом до сих пор бюджет ИТ-инфраструктуры, направленный на повышение безопасности, оставался весьма ограниченным. В 2011 и 2012 году ситуация в этой сфере, по мнению Gartner, будет только усугубляться, при этом хроническая нехватка средств никуда не денется.

Облачные вычисления, локализованные услуги (базирующиеся на определении местоположения пользователя) и новые нормативные документы государственного уровня заставят как минимум половину всех организаций пересмотреть свою политику безопасности еще до конца 2012 года. Gartner считает, что наибольшего внимания потребуют следующие вопросы:

1. Утечка данных, которая по-прежнему является главной проблемой. В списке приоритетов службы безопасности эту проблему обычно можно найти среди первых, благодаря ее наглядности. Создание более или менее надежного щита обычно не является проблемой; также примерно понятно, что делать после обнаружения нарушения. Поэтому данная тема не должна отнимать более 10% времени отдела или сотрудников, ответственных за ИТ-безопасность в целом.

Необходимо разделять личную и конфиденциальную информацию, ограничивать доступ, применять шифрование при передаче данных на портативные устройства или посредством публичных сетей, а также при использовании хранилищ, куда могут хотя бы теоретически получить доступ посторонние.

2. Сервисы, принцип работы которых основан на определении местоположения пользователей (с помощью GPS, координат ближайшей сотовой вышки или точки беспроводного доступа, положения в помещении, скорости, высоты и IP-адреса), могут непредсказуемым образом использовать персональную информацию. Число служб, собирающих эту информацию, непрерывно растет, и в определенных случаях они могут неожиданно создать брешь в системе безопасности. К примеру, смартфон может использовать больше персональной информации, чем того ожидает пользователь.

Многие производители ПО пока находятся на стадии «сбора» этой информации, не очень хорошо представляя, что с ней потом делать. Это нарушает принцип неприкосновенности частной жизни и может стать угрозой для безопасности организации. В зависимости от сферы деятельности организации, этот вопрос будет отнимать от 5 до 25 % времени людей, ответственных за корпоративную ИТ-безопасность.

3. Облачные вычисления ставят новые задачи перед традиционными правовыми и технологическими способами защиты. В целом облачные вычисления рождены в конфликте с принципом неприкосновенности частной жизни. Принцип и законы относятся к одной стране, а облако в идеальном случае не имеет никакого политического отношения. Это не значит, что следует изначально отказываться от обработки данных в таком облаке «без гражданства». Обычно законы о неприкосновенности частной жизни имеют определенную гибкость, поэтому во многих случаях можно найти юридически приемлемое решение (особенно, если сосредоточиться на законодательстве страны пребывания поставщика услуг, а не физических центров обработки данных). При этом имеет смысл смотреть в сторону только действительно безопасных решений. Выбор и оценка этих решений будут отнимать от 20 до 30% времени сотрудников, отвечающих за ИТ-безопасность.

4. Значимость конфиденциальности в контексте данного бизнеса определяет необходимую защиту, но не поддается количественной оценке. Без этого контекста правильных и неправильных решений не существует. И поиск баланса между недостаточной и избыточной защитой – это непрерывный процесс, в котором недостаточно руководствоваться только законодательством, ведь оно опаздывает за техническими инновациями на несколько лет. Следует определить заинтересованные стороны в процессе сохранения личной информации, выявить требования и на их основе построить политику безопасности. Эта задача отнимает около 10% времени специалиста по ИТ-безопасности.

5. Изменения нормативных документов, регулирующих ИТ-безопаность, неизбежны. Но они обычно имеют среднесрочную или даже долгосрочную перспективу воздействия на отрасль, поэтому нет смысла сосредотачивать все свое внимание только на них. При отсутствии нормативных документов в определенных отраслях можно экстраполировать на эти сферы существующую государственную политику. Мониторинг изменений нормативно-правовой базы должен отнимать у специалиста по корпоративной ИТ-безопасности порядка 5 – 10% времени.

К слову, если суммировать время, необходимое на решение этих 5 вопросов, окажется, что специалисты загружены не на 100%. Оставшееся время Gartner предлагает потратить на внедрение разработанной политики и ее регулярный пересмотр.

По материалам Gartner.

Дополнительные материалы

• Информационная безопасность, NDA и пользователи
• 6 услуг в рамках обеспечения информационной безопасности заказчика
• Обеспечение ИТ-безопасности — средства мимо цели?