ИТ-решения

  • Увеличить размер шрифта
  • Размер шрифта по умолчанию
  • Уменьшить размер шрифта
Главная страница Статьи Безопасность 6 ошибок в сфере безопасности

6 ошибок в сфере безопасности

6 типичных ошибок при обеспечении безопасности ИТ: как их избежать


Автор Сэмюэл Грингард (Samuel Greengard)

Когда речь заходит об обеспечении безопасности информационных технологий (ИТ), разница между успехом и провалом часто заключается в том, способна ли компания заблаговременно принять меры для защиты от угроз.

"Многие компании вообще не задумываются о необходимости обучения или считают, что в любом случае непродуктивно срывать сотрудников с рабочих мест."
Джозеф Фейман,
вице-президент по исследованиям,
Gartner

Краткое содержание


Вопрос обеспечения безопасности должен рассматриваться как один из важнейших, в том числе при разработке бюджета.

Разрабатывайте политики, процедуры и планы для реагирования на угрозы безопасности и контроля за ежедневными событиями.

Используйте методы тестирования и убедитесь, что ваша среда безопасности обеспечивает максимальную защиту.

Слишком много компаний безответственно относятся к безопасности ИТ — в результате злоумышленники, мошенники и недовольные сотрудники имеют прямой доступ к системам и данным. Вот самые распространенные ошибки, которые совершают предприятия, и способы уменьшения риска.

1. Недостаток внимания к вопросам безопасности. Несмотря на огромное количество сообщений в СМИ о нарушении безопасности и различных неисправностях, многие компании по-прежнему не уделяют этим вопросам серьезного внимания. «Обеспечение безопасности требует больших расходов и не кажется приоритетным направлением, — отмечает Мэтью Грин (Matthew Green), аналитик Центра независимых оценщиков безопасности в Балтиморе. — На обеспечение безопасности приходится тратить деньги, предназначенные для других целей».

Руководители часто не понимают, как они рискуют, до тех пор пока мошенники не украдут клиентские данные или не дискредитируют веб-узел. Андреа Галацци (Andrea Gallazzi), президент компании Krisopea, которая является сертифицированным партнером корпорации «Майкрософт» в северной Италии и специализируется на инфраструктуре и безопасности, утверждает, что самые частые нарушения вызваны отсутствием исправлений, устаревшими конфигурациями систем и — в целом — недостатком внимания к вопросам безопасности.

Решение. Воспринимайте серьезно угрозы безопасности и выделяйте должное время и средства на защиту ИТ-среды. Для этого необходимо пойти дальше основных требований закона Сарбейнса-Оксли и других правительственных проектов США. Безусловно, каждое предприятие должно самостоятельно определить, какое место занимает обеспечение безопасности среди финансируемых проектов, однако средний уровень вложений в 2006 году составлял от 8 до 12% общего бюджета на ИТ, согласно оценкам консалтинговой фирмы META Group. Грамотные компании создают модель для решения проблем безопасности путем анализа сведений, полученных в различных отделах, и используют эти сведения при финансировании проектов в области безопасности.

2. Неадекватная стратегия реагирования. Когда возникает угроза безопасности и никто не может взять на себя инициативу, задержки и нерешительность могут уничтожить любой эффективный план. «Сегодня многие компании способны определить случаи нарушения безопасности внутри своей ИТ-среды, но они не могут быстро и эффективно среагировать на возникающие угрозы», — заявляет Кен Дунхам (Ken Dunham), директор команды быстрого реагирования VeriSign iDefense в Даллесе (Вирджиния).

Решение. Заблаговременное планирование должно выполняться с участием представителей различных отделов, сторонних консультантов и сотрудников служб безопасности, отслеживающих последние угрозы и предоставляющих эту информацию заказчикам. Найдите человека, который владеет информацией о безопасности, внутри или за пределами ИТ-отдела, чтобы он мог решать проблемы, организовать команду быстрого реагирования, которая работала бы 24 часа в сутки 7 дней в неделю, и разработать четкий набор политик и процедур для реагирования на угрозы или проблемы. Команда реагирования должна состоять из сотрудников разных отделов, включая отдел кадров, юридический, финансовый и операционный отделы.

3. Плохо интегрированная система безопасности. Вследствие постоянного изменения характера угроз многим компаниям приходится иметь дело с огромным числом приложений, настроек оборудования, внутренних администраторов, фрагментов программного кода и консультантов, что неизбежно снижает эффективность любой системы защиты. «В какой-то момент все полностью рушится, и компании приходится разбираться с этим хаосом», — говорит г-н Галацци.

Решение. Лучшим решением является проверка ИТ-среды (не реже раза в год), а также интеграция, консолидация и регулярное тестирование систем. Большинство новейших предложений, включая линейку интегрированных приложений по обеспечению безопасности Microsoft Forefront, могут унифицировать и упростить администрирование и улучшить защиту. Несмотря на то что стоимость и сложность управления и тестирования обновлений системы безопасности могут быть внушительными, компании, которые идут в обход правил, платят гораздо большую цену в случае значительных нарушений безопасности. Результатом подобного инцидента может служить подорванная репутация, недовольство акционеров, возможные выплаты штрафов и потеря доходов.

4. Необходимость обучения персонала. Увеличивающийся поток угроз направлен на самое слабое звено системы безопасности: сотрудников организации. В частности, серьезный ущерб наносят методы социального инжиниринга, такие как фишинг и направленный фишинг (последний ориентирован на определенного человека или малую группу людей). «Многие компании вообще не задумываются о необходимости обучения или считают, что в любом случае непродуктивно срывать сотрудников с рабочих мест», — говорит Джозеф Фейман (Joseph Feiman), вице-президент по исследованиям фирмы Gartner (Стэмфорд, штат Коннектикут), занимающейся исследованиями и консалтингом в области ИТ.

Решение. Базовая подготовка к использованию паролей, безопасной работе в интернете, мгновенному обмену сообщениями и работе с электронной почтой может значительно помочь обеспечению безопасности системы. Не стоит углубляться в настройки межсетевых экранов и систем обнаружения вторжений. Сосредоточьтесь на безопасной работе с компьютером и других рабочих моментах. Часто бывает достаточно выделять 10—20 минут на корпоративные презентации или на обязательные ежемесячные тренинги через интернет (или более продолжительные занятия каждый квартал). Регулярно рассылайте советы по работе с электронной почтой или краткие ежемесячные бюллетени.

5. Неэффективные правила и процедуры. Несложно среагировать на угрозу, блокируя службу мгновенных сообщений или запрещая флэш-накопители USB (на которых можно переносить данные на другие устройства за пределами офиса). Можно также создать иллюзию более высокой безопасности, попросив сотрудников менять пароль каждый месяц. К сожалению, обременительные правила могут снизить продуктивность или просто заставить сотрудников находить обходные пути. «Плохие политики могут стать помехой в работе и увеличить риск нарушения безопасности», — говорит г-н Дунхам.

Решение. Попробуйте сбалансировать безопасность и продуктивность. Надежная защита обязательна (обязательно, например, шифрование важных данных на переносных компьютерах), но она должна быть простой и безболезненной при получении доступа к системам компании законными пользователями. Например, некоторые современные компьютеры имеют встроенный биометрический считыватель отпечатков пальцев, который автоматически регистрирует пользователя или расшифровывает файл. Наконец, не отбрасывайте политики и процедуры, пытаясь успеть выполнить работу в срок. Требуйте согласованности и установите штрафные санкции за несоблюдение.

6. Внутренние угрозы. Несмотря на все разговоры о злоумышленниках и незаконных пользователях, большинство нарушений системы безопасности происходят внутри компании. Недовольные или нечестные сотрудники являются постоянной угрозой, а небрежность может быть угрожающей, в частности, среди мобильных сотрудников с портативными ПК и карманными компьютерами. Руководителей высшего ранга и администраторов с неограниченным доступом вообще практически невозможно контролировать, а сотрудники службы доставки, временные работники и даже швейцары зачастую свободно перемещаются по помещениям компании.

Решение. Нет способа обеспечить полную защиту, однако можно предпринять некоторые шаги для уменьшения риска. Во-первых, распределите системы и полномочия таким образом, чтобы никто не получил слишком большой контроль. Во-вторых, узнайте, где хранятся резервные копии, архивы и копии данных, используемые для тестирования и отладки. В-третьих, тщательно записывайте, кто использует мобильные компьютерные устройства, и убедитесь, что сотрудники знают, как защитить устройства и данные, находясь в пути. И наконец, не позволяйте посторонним перемещаться внутри компании без присмотра.

Сэмюэл Грингард (Samuel Greengard) живет в Вест-Линн (Орегон). Его статьи были опубликованы в AARP, American Way, Arrive, Business Finance, IndustryWeek и Wired. Он является бывшим президентом Американского общества журналистов и писателей.

 

6 ошибок в сфере безопасности - Microsoft

 

Войти

Поиск по сайту

Реклама