Персоналії

Подход к обеспечению безопасности по принципу трех «А»

07 марта, 2015. 01:03 Ирина Бернацкая
Символы «ААА» обычно ассоциируются с финансовыми директорами, которые следят за рейтингами долгосрочных долговых обязательств корпоративных эмитентов Джона Муди. Но как ИТ-менеджеры измеряют эффективность реализации кибербезопасности в мире ИТ?

Информационная безопасность стала одним из главных вызовов для ИТ-специалистов с тех пор, как начались кибератаки Shellshock и Heartbleed на крупные компании и другие мировые организации. Несмотря на то, что ИТ-специалисты принимают меры, чтобы защитить корпоративную сеть от угроз разных размеров, на данном этапе безопасность — все еще под угрозой, как внутренней, так и внешней. 

Как ИТ-специалисты могут узнать, когда они достигли уровня безопасности, который защитит от кибератак, а также предоставит работникам возможность выполнять работу лучше? Комплексный подход к обеспечению безопасности должен охватывать три фактора: во-первых, он должен быть адаптированный к угрозам и растущему использованию интернета в пределах корпоративной сети; во-вторых, адаптированным для удовлетворения особых потребностей организации; и в третьих — полностью принятым конечными пользователями. 

Подход к обеспечению безопасности не может быть осуществлен без подходящей инфраструктуры безопасности. При внедрении любого нового решения в систему безопасности корпоративной сети, важно убедиться, что выбранный производитель нацелен на развитие организации. Известно, что «чем лучше безопасность, тем лучше идет бизнес!». 

Эти факторы могут быть объединены в подход к обеспечению безопасности класса «ААА». Но как достигнуть успеха в обеспечении безопасности и получить рейтинг «ААА»?  И как ИТ-безопасность может заложить основы для инноваций, а не препятствовать им? 

Adaptive (Адаптивный) уровень

ИТ-инфраструктуры постоянно меняются. Если в прошлом мы имели статические ИТ-инфраструктуры, то сейчас движемся в направлении конвергенции. Следовательно, инфраструктуры безопасности должны адаптироваться, чтобы стать эффективными. Адаптивной архитектуре безопасности необходимо быть предупреждающей, определяемой, ретроспективной и предотвращающей. Кроме того, комплексный подход к обеспечению безопасности должен стать контекстно-зависимым. 

Аналитики Gartner определили шесть тенденций, которые обуславливают потребность в адаптивных, контекстно-зависимых инфраструктурах: мобильность, экстернализация (внешнее управление) и сотрудничество, виртуализация, облачные вычисления, консюмеризация и атаки хакеров. Что означает термин «контекстно-зависимый»? Gartner определяет контекстно-зависимую безопасность как «использование дополнительной информации для усовершенствования решений в сфере безопасности во время принятия решений», и прогнозирует, что до конца 2015 года 90% развернутых решений безопасности для организаций будут контекстно-зависимыми. 

В качестве аргумента в пользу адаптивной, контекстно-зависимой безопасности принимается тот факт, что все решения для обеспечения безопасности должны быть основаны на информации из разных источников. Начиная с просмотра контекста запроса и заканчивается его принятием или отклонением на основе доступной информации, например, при использовании метода аутентификации, времени суток и т.д. С помощью такого адаптивного подхода можно достичь безопасности.

Adapted (Адаптированный) уровень

Если две организации не могут быть одинаковы, тогда почему нужно принимать одинаковые меры безопасности? Решения по обеспечению безопасности должны быть гибкими, чтобы удовлетворить особые бизнес-потребности организации. Несмотря на то, что защите наших систем и их соответствию внутренним и нормативным требованиям уделяется много времени, что-то всегда остается незамеченным. Согласно данным опроса Vanson Bourne, проведенному по заказу компании Dell, за последний год 73% организаций по всему миру обнаружили брешь в системе защиты. 

Существуют тысячи лучших в отрасли решений, нацеленных на узкие аспекты безопасности. Но каждое такое решение нуждается в специалистах для администрирования и все-таки оставляют пробелы. В то же время комбинированные решения, которые объединяют продукты различных производителей, всегда ведут к взаимным обвинениям. 

Существуют также монолитные инфраструктуры защиты, которые стремятся управлять каждым аспектом безопасности в едином решении, но они являются негибкими и слишком затратными при администрировании, поэтому организации все чаще понимают, что их содержание становится слишком дорогим. Кроме того, такие инфраструктуры полностью отдалены от бизнес-целей организации, для поддержки которой они созданы. 

Вместо этого, организации должны внедрять подход к управлению безопасностью, основанный на простоте, эффективности и соединяемости. Именно эти принципы объединяют разрозненные аспекты ИТ-безопасности в единое интегрированное решение, способное делиться инсайтами в организации. 

Это значит, что корпоративные пользователи смогут управлять правилами и политикой, а конечные пользователи смогут легко соблюдать правила. Такой тип решений в сфере безопасности подтверждает, что подход к управлению безопасностью адаптирован к конкретной организации с целью удовлетворения специфических запросов и бизнес-целей, что намного лучше, чем использование единого общего подхода ко всем организациям. 

Adopted (Принятый) уровень

Еще один важный аспект любого подхода к обеспечению безопасности — убедиться, что работники понимают и принимают правила безопасности. ИТ и инфраструктура безопасности способствуют развитию бизнеса. Прекрасный пример: то, как ИТ позволяет работникам быть мобильными, при этом повышая продуктивность. В то же время очень важно, чтобы работники всегда соблюдали правила безопасности, а также правильно пользовались данными и бизнес-приложениями, которые на самом деле могут стать риском безопасности и действительно навредить бизнесу. 

Очень часто люди думают, что инструменты безопасности препятствуют продуктивности  работников и влияют на бизнес-процессы. В реальном мире, если пользователям не нравится, как работает система, то они воспринимают это как препятствие на пути к продуктивности и не будут этим пользоваться. Поэтому бизнес-ценность владения системы исчезает, не говоря уже о защите безопасности. 

Что касается мобильности, то тенденция BYOD (Bring Your Own Device) чаще всего может сделать организации более уязвимыми к атаке. Также BYOD предоставляет работникам повышенный уровень гибкости, а конечным пользователям — больше возможностей для провоцирования взломов системы. Фактически, потеря данных на мобильных устройствах является самой главной причиной для беспокойства компаний сегодня. Например, 71% компаний Великобритании ссылается на «повышенное использование мобильных устройств», как на самую главную угрозу их ИТ-безопасности в течение следующих пяти лет. В какой-то мере это объясняет, почему некоторые компании в Великобритании с большой неохотой позволяют работникам получать доступ к сети компании, используя свои персональные устройства. 24% опрошенных жителей Великобритании заявляют, что меньше чем 10 работников используют личные устройства, а это ниже, чем средний мировой показатель на уровне 13%. Взяв во внимание все эти факты, очень важно комплексно информировать работников о кибератаках и защите безопасности. 

Проведение тренингов и предоставление руководства по кибербезопасности позволят работникам обрести нужные знания. Тем не менее, ИТ-департамент должен замечать самые незначительные отклонения среди большого количества рисков безопасности, которые были спровоцированы работниками.   

Подход «ААА»

Если ваша общая политика безопасности соответствует рейтингу «ААА», тогда у вас очень высокий уровень безопасности. Но иногда все же стоит проверять систему. Для защиты системы от киберугроз советуем регулярно осуществлять быструю проверку по перечисленному выше списку, чтобы убедиться, что вы постоянно придерживаетесь максимального уровня безопасности. Также важно удостовериться, что все примененные решения в сфере безопасности позволяют организации развиваться по требованию, без влияния на существующую часть сети. 

Схема финансовых рейтингов Moody пользуется большим уважением и доверием по всему миру; в то же время рейтинг безопасности «ААА» также является хорошей основой для тестирования безопасности корпоративной сети. Если сеть имеет рейтинг «ААА», можно быть уверенным, что все участки корпоративной сети находятся под постоянной защитой. 

Постоянная работа в рамках очерченных критериев подхода позволяет вычислить пробелы в безопасности сети, тем самым предотвращая будущие атаки.

Материалы по теме:
Комментарии:

ДРУГИЕ БЛОГИ

ИБ без бюджета. 7 сценариев
Алексей Лукацкий 02 декабря, 2019. 09:12
FUDO PAM – эффективный контроль привилегированных пользователей
Стас Похилько 17 апреля, 2019. 09:04
Norton Security – лидер №1 по защите в сегменте Home&Small Business
Андрей Ульянов 08 апреля, 2019. 10:04
SolarWinds – мониторинг, анализ и управление ИТ-инфраструктурой
Тарас Залужный 15 марта, 2019. 10:03
Защита веб-приложений: новые вызовы и будущие тенденции
Алексей Мудрицкий 07 марта, 2019. 10:03