Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах Пользователи Компании Лента заказов Курс по ITSM

Половина организаций к концу 2012 года будут вынуждены пересмотреть политику безопасности

Половина организаций к концу 2012 года будут вынуждены пересмотреть политику безопасности

2010 год продемонстрировал организациям новые угрозы для личных данных и частной жизни, при этом до сих пор бюджет ИТ-инфраструктуры, направленный на повышение безопасности, оставался весьма ограниченным. В 2011 и 2012 году ситуация в этой сфере, по мнению Gartner, будет только усугубляться, при этом хроническая нехватка средств никуда не денется.

Облачные вычисления, локализованные услуги (базирующиеся на определении местоположения пользователя) и новые нормативные документы государственного уровня заставят как минимум половину всех организаций пересмотреть свою политику безопасности еще до конца 2012 года. Gartner считает, что наибольшего внимания потребуют следующие вопросы:

1. Утечка данных, которая по-прежнему является главной проблемой. В списке приоритетов службы безопасности эту проблему обычно можно найти среди первых, благодаря ее наглядности. Создание более или менее надежного щита обычно не является проблемой; также примерно понятно, что делать после обнаружения нарушения. Поэтому данная тема не должна отнимать более 10% времени отдела или сотрудников, ответственных за ИТ-безопасность в целом.

Необходимо разделять личную и конфиденциальную информацию, ограничивать доступ, применять шифрование при передаче данных на портативные устройства или посредством публичных сетей, а также при использовании хранилищ, куда могут хотя бы теоретически получить доступ посторонние.

2. Сервисы, принцип работы которых основан на определении местоположения пользователей (с помощью GPS, координат ближайшей сотовой вышки или точки беспроводного доступа, положения в помещении, скорости, высоты и IP-адреса), могут непредсказуемым образом использовать персональную информацию. Число служб, собирающих эту информацию, непрерывно растет, и в определенных случаях они могут неожиданно создать брешь в системе безопасности. К примеру, смартфон может использовать больше персональной информации, чем того ожидает пользователь.

Многие производители ПО пока находятся на стадии «сбора» этой информации, не очень хорошо представляя, что с ней потом делать. Это нарушает принцип неприкосновенности частной жизни и может стать угрозой для безопасности организации. В зависимости от сферы деятельности организации, этот вопрос будет отнимать от 5 до 25 % времени людей, ответственных за корпоративную ИТ-безопасность.

3. Облачные вычисления ставят новые задачи перед традиционными правовыми и технологическими способами защиты. В целом облачные вычисления рождены в конфликте с принципом неприкосновенности частной жизни. Принцип и законы относятся к одной стране, а облако в идеальном случае не имеет никакого политического отношения. Это не значит, что следует изначально отказываться от обработки данных в таком облаке «без гражданства». Обычно законы о неприкосновенности частной жизни имеют определенную гибкость, поэтому во многих случаях можно найти юридически приемлемое решение (особенно, если сосредоточиться на законодательстве страны пребывания поставщика услуг, а не физических центров обработки данных). При этом имеет смысл смотреть в сторону только действительно безопасных решений. Выбор и оценка этих решений будут отнимать от 20 до 30% времени сотрудников, отвечающих за ИТ-безопасность.

4. Значимость конфиденциальности в контексте данного бизнеса определяет необходимую защиту, но не поддается количественной оценке. Без этого контекста правильных и неправильных решений не существует. И поиск баланса между недостаточной и избыточной защитой – это непрерывный процесс, в котором недостаточно руководствоваться только законодательством, ведь оно опаздывает за техническими инновациями на несколько лет. Следует определить заинтересованные стороны в процессе сохранения личной информации, выявить требования и на их основе построить политику безопасности. Эта задача отнимает около 10% времени специалиста по ИТ-безопасности.

5. Изменения нормативных документов, регулирующих ИТ-безопаность, неизбежны. Но они обычно имеют среднесрочную или даже долгосрочную перспективу воздействия на отрасль, поэтому нет смысла сосредотачивать все свое внимание только на них. При отсутствии нормативных документов в определенных отраслях можно экстраполировать на эти сферы существующую государственную политику. Мониторинг изменений нормативно-правовой базы должен отнимать у специалиста по корпоративной ИТ-безопасности порядка 5 – 10% времени.

К слову, если суммировать время, необходимое на решение этих 5 вопросов, окажется, что специалисты загружены не на 100%. Оставшееся время Gartner предлагает потратить на внедрение разработанной политики и ее регулярный пересмотр.

По материалам Gartner.

Дополнительные материалы

Комментарии (4)

  • Аватар

    Труфанов Евгений Фёдорович [trufanov], 01 сентября 2011, 16:10

    0
    Сказанное верно для иностранных/столичных крупных компаний. Вряд ли эта волна дойдёт до реионов.
    • Аватар

      Бычков Валерий [vbychkov], 02 сентября 2011, 09:25

      0
      У нас в регионах много, например, нефтегазовых компаний, у которых безопасники - просто маньяки. Какие там инфраструктуры создают... Ну а поскольку персонал мигрирует между работодателями, то и лучшие практики они за собой приносят, например, в ритейл (тут тоже ИТ-безопасностью серьезно увлекаются) и т.д. Это я к тому, что не стоит особо компании делить по региональному признаку - скорее тут речь может идти об уровне зрелости ИТ (а он постепенно растет у многих компаний) и размере компаний (малый бизнес не связанный с ИТ и технологиями традиционно не вкладывается в безопасность, да и в ИТ тоже).
      • Аватар

        Труфанов Евгений Фёдорович [trufanov], 02 сентября 2011, 12:27

        0
        Согласен касательно критерия "зрелости". У нас даже сегментация есть "по управленческой зрелости" (отсутствует крен в сторону IT). Региональный критерий я использую потому, что нахожусь в депрессивном регионе с профильным агротехническим профилем, низким уровнем развития промышленности.
  • Аватар

    Алёхин Владимир [avv], 06 сентября 2011, 10:54

    0
    Помимо нефтянников в регионах услугами интеграторов ИБ активно пользуются энергетики, местные банки, реже - местные операторы связи. Сейчас в свете 152-ФЗ муниципальные и региональные органы исполнительной власти и медицинские учреждения. Но за каждого из них приходится очень серьезно бороться - конкуренция имеет место быть.
    Хотя стоимость проектов в Сибирском ФО оставляет желать лучшего - я имею в виду тендеры, которые объявляют госучреждения... На более-менее приличные суммы устраиваются не открытые аукционы, а конкурсы, в которых решение предопределено.