На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2006-5-14 на главную / новости от 2006-5-14
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 14 мая 2006 г.

Правда об ИТ-безопасности

С точки зрения неспециалиста все пробелы в защите данных означают, по существу, одно и то же: предположительно защищенная конфиденциальная информация оказывается раскрытой. На самом же деле дыры бывают самых разных форм и размеров.

Для Bank of America к большой проблеме приведет потеря магнитных лент резервного копирования, тогда как в LexisNexis больше всего боятся взлома паролей. Для Fidelity Investments катастрофа — это потерянный лаптоп, а для CardSystems — вторжение хакера.

Когда на карту поставлена конфиденциальность данных, беспокоиться действительно есть о чем. Номера кредитных карт клиентов могут быть созданы в безопасной базе данных, но очень скоро эти данные разбегаются, как тараканы, — по множеству приложений, лент резервного копирования, лаптопов сотрудников, вложений e-mail и т. п.

Зайдите в комнату, полную ИТ-профессионалов, и спросите, где находятся их персональные данные — вам ответят взрывом хохота. Они этого просто не знают.

Типичный коленный рефлекс заключается в том, что в проблемах безопасности винят отсутствие адекватных технологий защиты. Годами руководители предприятий не имели представления — или не задумывались — об управлении ИТ-рисками и защитой информации. В результате они недоинвестировали в эту сферу и остались незащищенными.

Большинство специалистов по безопасности горячо возразит на это, что слабая защита — только часть проблемы. Те, кто указывает пальцем на технологию, игнорируют тот факт, что многие компании уделяют мало внимания информированию и контролю за соблюдением правил и процедур безопасности.

Вот аналогия из реальной жизни. Я каждый день езжу на работу по 495-му шоссе в Массачусетсе. Существует ограничение скорости (105 км/час) и правила дорожного движения (обгонять слева, не пересекать сразу несколько полос и т. п.), тем не менее создается впечатление, что это никого не касается. Полиция не в состоянии вылавливать всех нарушителей, так что соблюдение правил остается на совести водителей. Некоторые следуют им, другие не знают, что нарушают правила, а большинство попросту их игнорирует.

Точно так же обстоит дело с защитой конфиденциальных данных. В большинстве организаций тоже есть «правила дорожного движения», но мало где активно следят за их соблюдением.

Недавно компания Enterprise Security Group, в которой я работаю, опросила 227 специалистов по безопасности из североамериканских организаций с 1000 и более сотрудников. Их просили оценить свое предприятие по ряду правил и процедур, связанных с безопасностью конфиденциальных данных. Более половины сказали, что в их организации удовлетворительно или плохо «классифицируют и отслеживают передвижение конфиденциальных данных» и «информируют или обучают сотрудников о правилах безопасности в отношении конфиденциальных данных».

43% сказали, что в их организации удовлетворительно или плохо следят за выполнением правил безопасности в отношении конфиденциальных данных, и чуть более трети утверждают, что в их организации удовлетворительно или плохо «управляют доступом к приватным данным». Я мог бы продолжать и продолжать, но в целом картина ясна.

Итак, приватные данные хранятся на устройствах по всему предприятию, и ИТ-подразделение не знает, где именно. Люди, имеющие доступ к этим данным, не проходят соответствующего обучения по защите данных, а служба безопасности не имеет адекватных инструментов для контроля за поведением пользователей или их принуждения к соблюдению правил. Так что же удивительного в том, что у нас проблемы?

Обвинять секьюрити-персонал и ИТ-менеджеров — это просто отговорка. Руководители не вложили достаточно средств в безопасность или недостаточно интегрировали ее в корпоративную культуру. Разработчики не прошли обучение безопасному программированию. Отделы кадров и юридические отделы не в курсе уязвимостей технологии или ограничений средств защиты. У директоров по информационным технологиям ограничены бюджеты и нет четко поставленных задач. Виноваты все.

Пора взглянуть фактам в лицо. Безопасность конфиденциальных данных — это большая, серьезная проблема, касающаяся каждого человека и каждой системы. Ее просто невозможно решить при помощи нынешних средств безопасности; нужны продуманные и скоординированные усилия всего предприятия.

Когда речь идет о безопасности конфиденциальных и приватных данных, избитая присказка ИТ-индустрии о «людях, процессах и технологии» вполне актуальна. Каждая из трех этих областей ужасно расстроена и остро нуждается в исправлении.

Об авторе:
Джон Олтсик — старший аналитик Enterprise Strategy Group.
Обсуждение и комментарии

Петр Савельев - savelievpetrmail.ru
15 May 2006 12:26 PM
Что тут сказать, все правильно, все по делу. А конкретные предложения имеются?
 

VicTor
15 May 2006 6:29 PM
Пороть... По субботам, после бани :))
 

Юрий Ник - unebox1hotbox.ru
17 May 2006 10:28 PM
Очень правильная статья. Одно из решений предлагает компания "Электронные Технологии" на своем сайте http://www.srds.ru
Это удаленное резервирование данных.
 

Андрей
23 May 2006 12:08 AM
Компьютерные технологии слишком далеки от народа, чтобы банкиры и прочие финансисты могли включить в свою рекламу информацию о том, как они заботятся о сохранности данных.
А без этого в конкурентной борьбе выигрывает тот, кто потратит на безопасность меньше.
Еще сложнее объяснить людям, что ИТ-безопасность и удобство работы с сервисами - вещи прямо противоположные.
P.S. Начали выдавать российские загранпаспорта с бесконтактным считыванием. Хотите сохранить свой id - заверните его в фольгу.
 

Леша
7 Jun 2006 8:17 AM
Эта проблема знакома мне не понаслышке. В свое время занимался восстановление данных клиентов. Как правило, виноваты были сами люди, которые грубо пренебрегали правилами безопасности. Сейчас я рекомендую им ставить Safe’n’Sec. Это комплексная защита данных.
 

Buy tamiflu - avaggg.com
7 Sep 2006 11:41 PM
Common maximum <a href=http://snipsnap.nr.no:8668/projectlink/space/tirm/buy-t amiflu>Buy tamiflu</a> http://snipsnap.nr.no:8668/projectlink/space/tirm/buy-tamifl u [URL=http://snipsnap.nr.no:8668/projectlink/space/tirm/buy-t amiflu]Buy tamiflu[/URL] buy overnight tamiflu {LINK URL="http://snipsnap.nr.no:8668/projectlink/space/tirm/buy-l ine-tamiflu" TITLE="Buy line tamiflu"} leverage rate buy tamiflu offered {LINK URL="http://snipsnap.nr.no:8668/projectlink/space/tirm/buy-g eneric-tamiflu" TITLE="Buy generic tamiflu"} buy tamiflu is buy tamiflu 100- to-1 ec0e31e8fd45563
 

Camper Shoes - campgmail.com
21 Sep 2006 12:13 AM
Look for new <a href=http://www.simplesconsultoria.com.br/Members/burning/ca mpershoes.html>Camper Shoes</a> http://www.simplesconsultoria.com.br/Members/burning/campers hoes.html [URL=http://www.simplesconsultoria.com.br/Members/burning/ca mpershoes.html]Camper Shoes[/URL]. Hi all :) 20fe793b883d578
 

Real Estate Investing - Real-Estate-Investingfff.com
24 Sep 2006 4:52 PM
Depending <a href=http://www.hf.ntnu.no/motus2/Members/hary/Real%20Estate %20Investing.html>Real Estate Investing</a> http://www.hf.ntnu.no/motus2/Members/hary/Real%20Estate%20In vesting.html [URL=http://www.hf.ntnu.no/motus2/Members/hary/Real%20Estate %20Investing.html]Real Estate Investing[/URL] on the nature of the business. 2cf92c03ff13d38
 

Debt consolidation in seconds - Debt-consolidationfkjs.com
26 Sep 2006 9:08 AM
Debt you may qualify for an unsecured loan. Credit <a href=http://www.hf.ntnu.no/motus2/Members/hary/debt%20consol idation.html>Debt consolidation in seconds</a> http://www.hf.ntnu.no/motus2/Members/hary/debt%20consolidati on.html [URL=http://www.hf.ntnu.no/motus2/Members/hary/debt%20consol idation.html]Debt consolidation in seconds[/URL] unions (see link to debt consolidation the debt consolidation left) typically offer lower rates than you're paying now. c5194954f2a3d60
 

 

← апрель 2006 10  11  12  13  14  15  16  17  18 июнь 2006 →
Реклама!
 

 

Место для Вашей рекламы!