Рекомендации по обеспечению безопасности для фирм, оказывающих профессиональные услуги
Автор Брюс Хоард (Bruce Hoard)
Компании, оказывающие профессиональные услуги, принимают решения в области безопасности в условиях ограничения бюджета на ИТ, постоянно возрастающего объема содержимого и нехватки персонала, занимающегося обеспечением безопасности. Для защиты данных в фирмах, оказывающих профессиональные услуги, может потребоваться сочетание технологий и служб. В этой статье приведены некоторые инструкции, которые будут вам полезны.
Краткое содержание
Фирмы среднего размера, оказывающие профессиональные услуги, должны осознать свои самые важные потребности в области безопасности.
Им необходимо изучить управляемые услуги для создания безопасной среды.
Они также должны воспользоваться преимуществами недорогих средств защиты и провести глубокое исследование перед приобретением продуктов или услуг.
Для фирм, оказывающих профессиональные услуги, к которым относятся юридические фирмы, рекламные агентства, строительные и консалтинговые компании, работа в условиях ограниченных ресурсов не является чем-то новым. Эти фирмы привыкли достигать больших результатов с малым количеством ресурсов.
В своей деятельности по обеспечению безопасности такие фирмы вынуждены постоянно считаться с необходимостью учитывать бюджетные ограничения и сложности, связанные с поддержкой как офисных, так и мобильных пользователей. Шаги, предложенные ниже, могут помочь в решении этих задач.
К началу страницы
1. Определите критически важные потребности организации
Прежде чем подумать о стратегии безопасности, изучите основные факторы роста компании и обеспечения высокого уровня обслуживания клиентов в вашей отрасли или секторе.
Для юридических фирм важнейшее значение имеет конфиденциальность информации клиентов, поэтому нельзя экономить на обеспечении безопасного доступа и конфиденциальности данных. По словам Грэга Янга (Greg Young), вице-президента по исследованиям корпорации Gartner, юридические фирмы, которые всегда предъявляют высокие требования к мобильности, должны уделить внимание средствам для надежного контроля доступа и аудита. Внедрение этих технологий означает, что только санкционированные сотрудники смогут получить доступ к данным и выполнять изменения в сети, например, добавлять программное обеспечение или новых пользователей.
Джон Грин (John Green) является директором по ИТ юридической фирмы Baker Donelson в Мемфисе (Теннеси), штат которой составляет 1000 человек. Для г-на Грина, который изучает способы повышения безопасности, включая возможности шифрования данных, безопасность переносных компьютеров стоит на первом месте. Он с нетерпением ждет появления на рынке ОС Windows Vista: «Я не могу дождаться того момента, когда смогу попробовать ОС Vista, в которой есть множество средств обеспечения безопасности, недоступных в XP, в том числе возможность шифрования жестких дисков. Это все очень многообещающе». Бейкер Донелсон (Baker Donelson) выполняет шифрование сообщений электронной почты для некоторых клиентов.
Проблемы обеспечения безопасности в рекламных агентствах требуют управления большими объемами данных, насыщенных графикой, и работы с удаленными сотрудниками, которые часто нервничают, когда какие-то меры нарушают привычный для них процесс. По словам Кевина Бивера (Kevin Beaver), основателя и главного консультанта консалтинговой фирмы в области безопасности Principle Logic в Атланте, люди творческих профессий могут использовать преимущества безопасной удаленной связи без каких-либо технических препятствий с помощью возможностей частной виртуальной сети (VPN), встроенных в большинство межсетевых экранов. «Я думаю, этого более чем достаточно, — говорит г-н Бивер о встроенных технологиях. — Это может предотвратить взлом злоумышленником? Нет. Но ведь абсолютной безопасности не существует».
К началу страницы
2. Оцените работу с внешними ресурсами
Рассел Морган (Russell Morgan), основатель и президент компании Technology Solution Providers Alliance, которая обслуживает предприятия малого и среднего бизнеса, говорит, что в строительных фирмах среднего размера самые конфиденциальные данные обычно хранятся в системах совершения платежей. В результате все большее количество строительных фирм стало обращаться к внешним поставщикам платежных систем. По словам г-на Рассела, компаниям необходимо полностью доверять сторонним фирмам, чтобы поручить им критически важные данные, однако можно обеспечить безопасность путем включения соответствующих пунктов в контракт. Он также добавляет: «Практически во всех ситуациях фирмы, которые используют управляемые услуги, хотят подписать контракт, в котором будут оговорены уровни обслуживания и производительности».
Предприятия среднего бизнеса, оказывающие профессиональные услуги, все чаще используют преимущества служб обеспечения безопасности сторонних поставщиков, так как это позволяет им передать решение сложных проблем с безопасностью экспертам в этой области. Поставщики управляемых услуг сейчас, в результате роста спроса на рынке, ориентированы на предприятия среднего бизнеса. Несмотря на то что существуют различные уровни обеспечения безопасности, наиболее распространенные пакеты услуг включают в себя наблюдение, настройку межсетевого экрана и системы обнаружения и предотвращения вторжения.
Нелегко сравнивать стоимость внешних ресурсов для обеспечения безопасности и систем для самостоятельного управления ею. «Организации, предоставляющие управляемые услуги, обычно берут плату за каждое устройство, например межсетевой экран или шлюз, что отличается от системы оплаты при наличии штатного сотрудника», — объясняет г-н Янг. К счастью, цены на внешние услуги по обеспечению безопасности становятся более стандартными, что облегчает их использование для предприятий среднего бизнеса. Г-н Янг замечает, что, например, управление одним межсетевым экраном сейчас оценивается ниже 1000 долл. США в месяц.
Однако, если не принимать это во внимание, ИТ-отделы все еще должны тщательно оценивать поставщиков управляемых услуг и советоваться с другими компаниями в своей отрасли. ИТ-отделам необходимо настаивать на строгих условиях контрактов, в которых будут предусмотрены необходимые требования к уровню обслуживания и работоспособности. Тщательно изучите требования бизнеса к производительности: существует значительная разница между 95 и 98 процентами работоспособного времени, а иногда требуется даже еще больший уровень (обычно 99,9 процента).
К началу страницы
3. Сконцентрируйтесь на экономической эффективности
Перед приобретением какой-либо технологии или подписанием контракта на оказание услуг обратите внимание на задачи, которые не требуют практически никаких инвестиций. К ним относится проверка ПК на установку правильных параметров безопасности и использование бесплатного средства для обнаружения и удаления программ-шпионов (такого как Защитник Windows). И все же, хотя технологии по обеспечению безопасности сами по себе сравнительно недороги, главная польза от инвестиций в них — это деньги, которые сохранит фирма в случае серьезного сбоя. Например, на случай, если будут раскрыты конфиденциальные данные клиента, выясните, насколько сложно будет выйти из этой ситуации. По словам экспертов, лучший способ увеличения бюджета на безопасность — это максимально эффективное использование выделенных средств. Это означает, что необходимо оценить текущую систему обеспечения безопасности и убедиться, что она работает с максимальной эффективностью.
К началу страницы
Соответствующие решения корпорации «Майкрософт»
В приложении Windows Security Auditing в составе Windows Server 2003 содержится ряд возможностей для контроля доступа и аудита. Фирмам, которым требуется более мощное средство обеспечения безопасности, можно порекомендовать интегрированную клиент-серверную систему обеспечения безопасности, такую как Microsoft Forefront. Если требуется VPN, можно настроить и использовать Windows Server 2003 в качестве сервера удаленного доступа к VPN.
Брюс Хоард (Bruce Hoard) — свободный журналист, который живет в городе Бангор (Мэн). Его статьи были опубликованы в журналах Computerworld, Forbes и The Wall Street Journal.
Безопасность фирм, оказывающих профессиональные услуги - Microsoft
