ИТ-решения

  • Увеличить размер шрифта
  • Размер шрифта по умолчанию
  • Уменьшить размер шрифта
Главная страница Статьи Безопасность Что включить в план безопасности ИТ

Что включить в план безопасности ИТ

Основы безопасности: что включить в план безопасности ИТ


Автор Сэмюэл Грингард (Samuel Greengard)

Слишком часто средние компании уделяют внимание только технологиям, а не выполнению всех действий, необходимых для обеспечения работы ИТ-среды в кризисной ситуации. Потратив время на то, чтобы понять бизнес-процессы, методики и последовательность выполняемых действий, вы научитесь гораздо эффективнее обеспечивать безопасность ИТ-среды организации.


"В организации должны знать, где и как хранятся данные, а также как сотрудники хранят сведения и распоряжаются ими внутри и за пределами компании."
Майкл Кобб
управляющий директор
Cobweb Applications Ltd. (Суррей, Англия) и обладатель статуса Microsoft MVP

 

Краткое содержание


Выполните всестороннюю оценку активов, рабочих процессов и должностных обязанностей.

Определите приоритеты активов и подготовьте решения и политики в соответствии с уровнем риска.

Узнайте мнение сотрудников различных отделов и разработайте единые систему и подход.

Поскольку угрозы безопасности различаются в разных организациях, стратегии по обеспечению безопасности также должны быть различными. Потребности компании, которая ведет свой бизнес в интернете или имеет большое количество мобильных сотрудников, будут отличаться от потребностей сети розничных магазинов. Различия культур в компаниях также влияют на внедрение решений в области безопасности. Например, в компании с большим количеством сотрудников в возрасте до 30 лет, возможно, потребуется вложить более значительные средства в обучение мерам обеспечения безопасности, чтобы предотвратить нарушения работы сети, вызываемые неосторожными действиями пользователей.

Первоначальный тщательный анализ — первое, что должно быть указано в бизнес-плане, — может помочь создать основу эффективной и экономичной стратегии.

«У каждого свой порог болевых ощущений», — замечает Эйлин Хассон (Eileen Hasson), президент компании The Computer Company (Вест Хартфорд, штат Коннектикут), которая является консалтинговой фирмой и партнером корпорации «Майкрософт» со статусом Microsoft Gold Certified Partner. Например, потеря важных электронных сообщений может нанести вред работе юридической компании и подорвать отношения с заказчиками; для организаций в сфере здравоохранения раскрытие медицинской карты может привести к проблемам и штрафам, согласно Акту по обеспечению переносимости и возможности учета для страхования в области здравоохранения и другим установленным нормам.

Распознавание «порога болевых ощущений» компании является важной частью стратегии обеспечения безопасности, так как это заставляет выявлять критически важные области бизнеса.

Определите физические ресурсы


Первым — и, возможно, самым простым — шагом в анализе безопасности является определение ИТ-активов, включая переносные компьютеры и портативные накопители. Узнав, что у вас есть и что нужно защитить, вы сможете выбрать необходимые решения и процессы, в том числе конфигурацию систем и сети, порядок установки исправлений и план обновления оборудования и ПО.

Оцените свои бизнес-процессы


Затем проанализируйте свои бизнес-процессы с точки зрения безопасности. «В организации должны знать, где и как хранятся данные, а также как сотрудники хранят сведения и распоряжаются ими внутри и за пределами компании», — говорит Майкл Кобб (Michael Cobb), управляющий директор консалтинговой компании Cobweb Applications Ltd. (Суррей, Англия) и обладатель статуса Microsoft Most Valuable Professional (MVP). Например, работники могут использовать небезопасные приложения, такие как приложения для обмена мгновенными сообщениями, для обмена файлами внутри и за пределами компании или могут хранить секретные данные на своем переносном компьютере без шифрования. Подобная деятельность вызывает необходимость в новой политике ИТ-отдела, чтобы работники не могли подвергнуть опасности важные корпоративные данные.

Заблаговременная оценка ключевых процессов — с участием сотрудников разных отделов — поможет определить слабые места и точки потенциальных проблем. Скажем, вы проверяете процесс увольнения сотрудников компании (в том числе доступ к системам и данным) и обнаруживаете отсутствие механизма, который бы позволял руководителю отдела или кадровой службы отключать доступ к системным ресурсам и отменять права доступа к электронной почте. Сделав эту процедуру обязательной и организовав соответствующий рабочий процесс, можно предотвратить несанкционированный доступ в течение многих дней, недель или месяцев.

Классифицируйте требования безопасности по степени важности


Завершив анализ бизнес-процессов и приняв необходимые меры, самое время определить приоритеты безопасности. Для начала можно воспользоваться 3-балльной системой оценки (низкий, средний и высокий приоритет), чтобы определить наиболее важные системы и ресурсы. Оцените последствия проблем безопасности (такие как время простоя сети или финансовые потери) по этой 3-бальной шкале. Полученные результаты помогут определить приоритетные элементы.

Другие советы по разработке плана

  • Сосредоточьтесь на результатах, а не времени. Несмотря на целесообразность разработки подробного плана обеспечения ИТ-безопасности на 1, 2 или 5 лет, помните, что безопасность — это движущаяся мишень. «Новые технологии и новые угрозы появляются постоянно», — отмечает г-н Кобб. Сфокусируйте свое внимание на применяемых стратегиях и соблюдении инструкций для обеспечения максимальной гибкости и контроля, а также регулярно проверяйте эффективность своего плана.
  • Распределите ответственность в области обеспечения безопасности в организации. Введите отчетность в должностную инструкцию, чтобы обеспечить более эффективное управление безопасностью. Например, менеджеру по продажам может понадобиться переносной компьютер с данными о заказчиках и другими важными сведениями. Этот человек должен нести ответственность за защиту данных с помощью шифрования, проверки подлинности и других методов.
  • Определите последовательность действий, которые требуется выполнить при нарушении безопасности. Это может предотвратить панику среди работников в самый ответственный момент. После любого нарушения организуйте собрание директоров и сотрудников, отвечающих за систему безопасности, и обсудите, что сработало, а что — нет.
  • Соотносите решение со степенью риска. «Определив риски и активы, которые требуется защищать, можно установить подходящие средства контроля», — поясняет Джеймс Куиннилд (James Quinnild), партнер PricewaterhouseCoopers в Миннеаполисе. Например, для финансово-кредитного учреждения можно установить средства, которые проверяют выходные данные на наличие чисел, соответствующих номерам счетов или номерам социального страхования. В информационно-справочной службе программы, которые блокируют приложения входящей электронной почты, могут предотвратить проблемы с критичными рабочими процессами, вызванные вредоносными программами.
  • Разработайте универсальный, но осуществимый подход к обеспечению безопасности. «Вы же не хотите мешать людям выполнять свою работу и не хотите вредить производительности», — говорит г-н Хассон. Например, некоторым сотрудникам следует разрешить использовать флэш-накопители для переноса данных. Работа ИТ-отдела заключается в том, чтобы эти сотрудники имели доступ только к данным, определенным для них руководителями. Обеспечение баланса практичности и безопасности является сложным делом, особенно когда организация расширяется и ее ИТ-инфраструктура становится более сложной. Такие технологии, как Microsoft Windows Server 2003 Active Directory, могут помочь управлять ролями и обязанностями.
  • Наконец, регулярно проверяйте системы и файлы журналов. Это помогает определить потенциальные проблемы и реагировать на них быстро и эффективно.

 

Пока не существует простого способа обеспечить безопасность в современной деловой среде, однако тщательный текущий контроль и продуманный план безопасности помогают снизить риски. «Надежные меры обеспечения безопасности никогда не подводили, — заключает г-н Кобб. — Они являются результатом внимательного и тщательного анализа и распространяются на все области организации».

Сэмюэл Грингард (Samuel Greengard) живет в Вест-Линн (Орегон) и специализируется в области бизнеса и технологий. Он является постоянным автором Microsoft Midsize Business Center.


Основы безопасности - Microsoft
 

Войти

Поиск по сайту

Реклама