Все новости от 27 марта 2003 г.

Как избежать ловушек безопасности

Несмотря на такой поворот событий, компании продолжают относить ИТ-безопасность на отдельную категорию затрат, которая, кажется, не подвержена влиянию затянувшегося экономического кризиса, более того, от усиления неопределенности международной обстановки в последующие месяцы она даже может вырасти. ИТ-менеджеры с готовностью открывают свои кошельки, когда речь заходит об оснащении компаний новейшими и мощнейшими средствами защиты от кибератак.

Но технология, хотя она, без сомнения, и играет важную роль в обеспечении общей информационной безопасности и «глубоко эшелонированной обороны», одна не заменит всесторонне продуманной стратегии безопасности. Мы уже видели, что при отсутствии других важных мер технология становится бесполезной.

Например, в 90-е годы многие компании бросились покупать HP OpenView, IBM NetView или Cabletron Spectrum, чтобы получить графическое представление топологии сети и фиксировать сетевые события. Но, установив эти системы, ИТ-менеджеры не знали, как их использовать или как интерпретировать данные. Инструменты стали приносить пользу лишь тогда, когда ИТ-подразделения разработали соответствующие правила и процессы и сформировали специальные команды по управлению и администрированию.

То же и с безопасностью. Компании тратят кучу денег на технологические средства защиты, но эти инструменты дадут отдачу лишь в том случае, если они будут работать рука об руку с надлежащей методологией. Я много говорил с представителями компаний Fortune 1000 об их политике безопасности, и вот что они рекомендуют:

Сделайте безопасность приоритетом компании
Горькая правда в том, что специалистов по безопасности в ИТ-подразделении считают занудами, и другие сотрудники обычно стараются обвести их вокруг пальца. Это ошибка, так как компании, внедрившие правила безопасности в свою корпоративную культуру, гораздо чаще добиваются успеха. Процесс начинается с воли высшего руководства компании и распространяется вниз. Результатом становится четко сформулированный набор правил безопасности и обучения, где под обеспечением безопасности понимается постоянный процесс, требующий непрерывного пересмотра процедур, поиска уязвимых мест и проверки уровня подготовки.

Создайте серьезную службу безопасности
Фирмы, действительно заботящиеся о безопасности, назначают директора по безопасности, который отчитывается перед генеральным директором как за физическую, так и за информационную защиту. Команда, обеспечивающая информационную безопасность, отвечает за общую архитектуру, создание правил и контроль за их исполнением, но повседневные задачи по обеспечению безопасности решает совместно с ИТ-персоналом. Разделение на ИТ-группу и группу безопасности создает систему сдержек и противовесов. В результате меры безопасности оказываются встроенными в приложения и архитектуру инфраструктуры, а также используются в повседневном управлении.

Выберите оптимальные методы организации системы ИТ и безопасности
Несмотря на замечательные технологии защиты, такие неприятности, как Code Red, Nimda и SQL Slammer, продолжают причинять ущерб компаниям. Почему? Из-за слабых ИТ-процедур, связанных с управлением конфигурацией, внесением изменений и системным администрированием. Это тем более досадно, что для всех этих видов деятельности существует целый ряд проверенных методов. Необходимо поставить безопасность компании на прочный фундамент таких систем, как ITIL, ITSM или CobiT. В этих моделях управления ИТ во всех деталях прописан порядок работы защищенного, ориентированного на бизнес-процесс ИТ-подразделения. Чтобы встать на этот фундамент, изучите известные оптимальные методы организации системы безопасности, рекомендуемые такими организациями, как CERT, NIST или правительство США.

Будьте готовы к худшему
Даже самые защищенные компании хоть раз в своей истории страдают от проблем безопасности. «Будь готов!» гласит девиз бойскаутов. Создайте команду экстренного реагирования, включающую экспертов по безопасности и ИТ-инженеров, а также представителей отдела кадров и юридического отдела. Каждый должен знать свою индивидуальную роль и свои обязанности. Компании, зациклившиеся на безопасности, постоянно муштруют такие команды, проверяя их способность к реагированию и правильность поведения в разных ситуациях.

Это простейший список мер, и для обеспечения более высокой степени безопасности нужны многие другие. Между тем, если вы посетите любую фирму, серьезно настроенную в отношении безопасности, то обнаружите, что там выполняются по крайней мере некоторые из перечисленных выше рекомендаций.

Прежде чем приобретать массу новых инструментов и технологий, компания может постараться улучшить свою защищенность и ускорить окупаемость инвестиций в безопасность, приняв во внимание все эти меры. Если требуется помощь, нужно немедленно найти консультантов или отдать все скопом на аутсорс. Безопасность — слишком важная материя, чтобы ставить ее в зависимость от корпоративных традиций или амбиций ИТ-менеджеров.

Джон Олтсик — основатель и глава исследовательской и консалтинговой фирмы Hype-Free Consulting.

 В продолжение темы:

Обсуждение и комментарии

	илья 31 Mar 2003 9:42 AM
Первый раз прочитал на этом сайте заметку настоящего специалиста. Спасибо.
	lamerAlex 31 Mar 2003 11:39 AM
2 илья : и действительно, а то все обычно бред сивой кобылы
	lamerAlex 31 Mar 2003 11:39 AM
общие слова конечно, но в тему хоть
	yoooo - yoyo.ru 3 Apr 2003 3:41 AM
lohi
	Qrot 6 Apr 2003 9:01 PM
вот эти дво внизу, что первыми высказались - это сарказм был? (actually, it is just a test of latest Mozilla under latest FreeBSD :) )
	glassy 7 Apr 2003 10:25 AM
Всего неделю не было, Крот уже под фрюхой мозиллу испытывает и защищает как свою квартиру :) Не дождетесь, по-прежнему я буду тут развлекаться, и никакими обещаниями пахать на ОС меня отсюда не прогоните :)
	Qrot 8 Apr 2003 3:36 PM
glassy: а я никогда и не отрицал что мозила и фряха есть рулез :)