Все новости от 14 мая 2006 г.
Правда об ИТ-безопасности

С точки зрения неспециалиста все пробелы в защите данных означают, по существу, одно и то же: предположительно защищенная конфиденциальная информация оказывается раскрытой. На самом же деле дыры бывают самых разных форм и размеров.
Для Bank of America к большой проблеме приведет потеря магнитных лент резервного копирования, тогда как в LexisNexis больше всего боятся взлома паролей. Для Fidelity Investments катастрофа — это потерянный лаптоп, а для CardSystems — вторжение хакера.
Когда на карту поставлена конфиденциальность данных, беспокоиться действительно есть о чем. Номера кредитных карт клиентов могут быть созданы в безопасной базе данных, но очень скоро эти данные разбегаются, как тараканы, — по множеству приложений, лент резервного копирования, лаптопов сотрудников, вложений e-mail и т. п.
Зайдите в комнату, полную ИТ-профессионалов, и спросите, где находятся их персональные данные — вам ответят взрывом хохота. Они этого просто не знают.
Типичный коленный рефлекс заключается в том, что в проблемах безопасности винят отсутствие адекватных технологий защиты. Годами руководители предприятий не имели представления — или не задумывались — об управлении ИТ-рисками и защитой информации. В результате они недоинвестировали в эту сферу и остались незащищенными.
Большинство специалистов по безопасности горячо возразит на это, что слабая защита — только часть проблемы. Те, кто указывает пальцем на технологию, игнорируют тот факт, что многие компании уделяют мало внимания информированию и контролю за соблюдением правил и процедур безопасности.
Вот аналогия из реальной жизни. Я каждый день езжу на работу по 495-му шоссе в Массачусетсе. Существует ограничение скорости (105 км/час) и правила дорожного движения (обгонять слева, не пересекать сразу несколько полос и т. п.), тем не менее создается впечатление, что это никого не касается. Полиция не в состоянии вылавливать всех нарушителей, так что соблюдение правил остается на совести водителей. Некоторые следуют им, другие не знают, что нарушают правила, а большинство попросту их игнорирует.
Точно так же обстоит дело с защитой конфиденциальных данных. В большинстве организаций тоже есть «правила дорожного движения», но мало где активно следят за их соблюдением.
Недавно компания Enterprise Security Group, в которой я работаю, опросила 227 специалистов по безопасности из североамериканских организаций с 1000 и более сотрудников. Их просили оценить свое предприятие по ряду правил и процедур, связанных с безопасностью конфиденциальных данных. Более половины сказали, что в их организации удовлетворительно или плохо «классифицируют и отслеживают передвижение конфиденциальных данных» и «информируют или обучают сотрудников о правилах безопасности в отношении конфиденциальных данных».
43% сказали, что в их организации удовлетворительно или плохо следят за выполнением правил безопасности в отношении конфиденциальных данных, и чуть более трети утверждают, что в их организации удовлетворительно или плохо «управляют доступом к приватным данным». Я мог бы продолжать и продолжать, но в целом картина ясна.
Итак, приватные данные хранятся на устройствах по всему предприятию, и ИТ-подразделение не знает, где именно. Люди, имеющие доступ к этим данным, не проходят соответствующего обучения по защите данных, а служба безопасности не имеет адекватных инструментов для контроля за поведением пользователей или их принуждения к соблюдению правил. Так что же удивительного в том, что у нас проблемы?
Обвинять секьюрити-персонал и ИТ-менеджеров — это просто отговорка. Руководители не вложили достаточно средств в безопасность или недостаточно интегрировали ее в корпоративную культуру. Разработчики не прошли обучение безопасному программированию. Отделы кадров и юридические отделы не в курсе уязвимостей технологии или ограничений средств защиты. У директоров по информационным технологиям ограничены бюджеты и нет четко поставленных задач. Виноваты все.
Пора взглянуть фактам в лицо. Безопасность конфиденциальных данных — это большая, серьезная проблема, касающаяся каждого человека и каждой системы. Ее просто невозможно решить при помощи нынешних средств безопасности; нужны продуманные и скоординированные усилия всего предприятия.
Когда речь идет о безопасности конфиденциальных и приватных данных, избитая присказка ИТ-индустрии о «людях, процессах и технологии» вполне актуальна. Каждая из трех этих областей ужасно расстроена и остро нуждается в исправлении. Об авторе:
Джон Олтсик — старший аналитик Enterprise Strategy Group.
|
 |
 | Петр Савельев - savelievpetr mail.ru 15 May 2006 12:26 PM |
Что тут сказать, все правильно, все по делу. А конкретные предложения имеются? |
|
 | VicTor 15 May 2006 6:29 PM |
Пороть... По субботам, после бани :)) |
|
 | Юрий Ник - unebox1 hotbox.ru 17 May 2006 10:28 PM |
Очень правильная статья. Одно из решений предлагает компания "Электронные Технологии" на своем сайте http://www.srds.ru Это удаленное резервирование данных.
|
|
 | Андрей 23 May 2006 12:08 AM |
Компьютерные технологии слишком далеки от народа, чтобы банкиры и прочие финансисты могли включить в свою рекламу информацию о том, как они заботятся о сохранности данных. А без этого в конкурентной борьбе выигрывает тот, кто потратит на безопасность меньше. Еще сложнее объяснить людям, что ИТ-безопасность и удобство работы с сервисами - вещи прямо противоположные. P.S. Начали выдавать российские загранпаспорта с бесконтактным считыванием. Хотите сохранить свой id - заверните его в фольгу. |
|
 | Леша 7 Jun 2006 8:17 AM |
Эта проблема знакома мне не понаслышке. В свое время занимался восстановление данных клиентов. Как правило, виноваты были сами люди, которые грубо пренебрегали правилами безопасности. Сейчас я рекомендую им ставить Safe’n’Sec. Это комплексная защита данных. |
|
 | Buy tamiflu - ava ggg.com 7 Sep 2006 11:41 PM |
Common maximum <a href=http://snipsnap.nr.no:8668/projectlink/space/tirm/buy-t amiflu>Buy tamiflu</a> http://snipsnap.nr.no:8668/projectlink/space/tirm/buy-tamifl u [URL=http://snipsnap.nr.no:8668/projectlink/space/tirm/buy-t amiflu]Buy tamiflu[/URL] buy overnight tamiflu {LINK URL="http://snipsnap.nr.no:8668/projectlink/space/tirm/buy-l ine-tamiflu" TITLE="Buy line tamiflu"} leverage rate buy tamiflu offered {LINK URL="http://snipsnap.nr.no:8668/projectlink/space/tirm/buy-g eneric-tamiflu" TITLE="Buy generic tamiflu"} buy tamiflu is buy tamiflu 100- to-1 ec0e31e8fd45563 |
|
 | Camper Shoes - camp gmail.com 21 Sep 2006 12:13 AM |
Look for new <a href=http://www.simplesconsultoria.com.br/Members/burning/ca mpershoes.html>Camper Shoes</a> http://www.simplesconsultoria.com.br/Members/burning/campers hoes.html [URL=http://www.simplesconsultoria.com.br/Members/burning/ca mpershoes.html]Camper Shoes[/URL]. Hi all :) 20fe793b883d578 |
|
 | Real Estate Investing - Real-Estate-Investing fff.com 24 Sep 2006 4:52 PM |
Depending <a href=http://www.hf.ntnu.no/motus2/Members/hary/Real%20Estate %20Investing.html>Real Estate Investing</a> http://www.hf.ntnu.no/motus2/Members/hary/Real%20Estate%20In vesting.html [URL=http://www.hf.ntnu.no/motus2/Members/hary/Real%20Estate %20Investing.html]Real Estate Investing[/URL] on the nature of the business. 2cf92c03ff13d38 |
|
 | Debt consolidation in seconds - Debt-consolidation fkjs.com 26 Sep 2006 9:08 AM |
Debt you may qualify for an unsecured loan. Credit <a href=http://www.hf.ntnu.no/motus2/Members/hary/debt%20consol idation.html>Debt consolidation in seconds</a> http://www.hf.ntnu.no/motus2/Members/hary/debt%20consolidati on.html [URL=http://www.hf.ntnu.no/motus2/Members/hary/debt%20consol idation.html]Debt consolidation in seconds[/URL] unions (see link to debt consolidation the debt consolidation left) typically offer lower rates than you're paying now. c5194954f2a3d60 |
|
|