 |
|
|
|
Работаем без опасностей. Часть 4
На вопросы «БИТа» отвечают эксперты ведущих ИТ-компаний. Опрос. Окончание. Работаем без опасностей На вопросы «БИТа» отвечают эксперты ведущих ИТ-компаний
Максим Захаренко, генеральный директор компании «Облакотека» 1. Если задача ИТ – сделать информацию доступнее и прозрачнее, то ИБ – ограничить распространение информации и сделать ее более контролируемой. Арбитром выступает бизнес. По краям спектра находятся, с одной стороны, компании, в которых превалирует ИТ с минимально необходимой ИБ, с другой стороны, ультраконсервативные компании, где ИБ определяет возможность применения тех или иных приложений или технологий. Бизнес всегда ищет баланс.Однако приоритет не всегда устанавливается объективными потребностями, очень часто главную роль играет авторитет личности или близость руководителя ИТ или ИБ к директору. 2. Нарушения ИБ чаще всего происходят не по злому умыслу, а по незнанию. Очень мало внимания уделяется «психологии безопасности», в том числе объяснению важности и необходимости соблюдения правил ИБ. Тогда соблюдение безопасности стало бы не нагрузкой, а естественным и, может, в какой-то степени «приятным» процессом. 3. Действия при ЧП на ИТ-объекте похожи на действия при пожаре. Службы ИБ должны иметь модели возможных угроз и заготовленные меры по их предотвращению, а также ликвидации последствий, проводить инструктаж и учения, чтобы каждое подразделение знало свои задачи и работало слаженно в случае кризисной ситуации. Если налажен мониторинг ИБ и о ЧП вовремя стало известно, то это уже очень хорошо. Устраняют ЧП обычно те подразделения, в чьей зоне ответственности находится пострадавший ИТ-объект. С DDoS и прочими внешними вторжениями сетевики борются самостоятельно. 4. Директору в любом случае приходится кому-то доверяться. Это либо специалист по ИБ в штате, либо поддержка системы ИБ внешними компаниями. Человека довольно сложно привлечь к ответственности, особенно если в трудовом контракте не прописаны все детали, и другого независимого взгляда, как устроена ИБ и все ли в порядке с безопасностью, в компании просто не существует. Соответственно трудно проверить эффективность и качество используемых методов обеспечения безопасности. У организации обычно работа более отлажена и стандартизирована, но и количество сотрудников, имеющих доступ к обеспечению безопасности клиента, большое. С другой стороны, тут проще разбираться в случае ЧП. 5. Сейчас самая больная тема ИБ – полная «мобилизация» сотрудников, BYOD. Контур безопасности размывается. В этом случае помогают различные контролируемые службой ИБ облачные решения. Вторая тема – «серые ИТ», когда сотрудники организации, имея выход в Интернет, самостоятельно используют какие-либо SaaS-решения и облачные хранилища без привлечения ИТ-службы своей организации. Так бизнес-данные расползаются по всему миру. Еще одна угроза конфиденциальности – социальные сети. 6. Хочется, чтобы была внесена ясность в отношении требований к небольшим компаниям и системам по обеспечению защиты персональных данных 152-ФЗ. Также необходимо избавиться от навязывания методик защиты, повысив взамен ответственность в случае инцидентов. Необходимо контролировать не процесс защиты, а его результат. Кроме этого, отсутствуют требования к облачным платформам по безопасности, что существенно замедляет использование внешних облаков для «ответственных» систем.
|
Комментарии отсутствуют
|
