Плата за «воздух»,
или как оптимизировать затраты
на ИТ-безопасность
или как оптимизировать затраты
на ИТ-безопасность
Плата за «воздух»,
или как оптимизировать затраты
на ИТ-безопасность
или как оптимизировать затраты
на ИТ-безопасность
Заключая договора it аутсорсинга мы видим, что в необходимости вкладывать деньги в обеспечение ИТ-безопасности своей фирмы сейчас согласно большинство руководителей, однако, несмотря на принятые, казалось бы, действенные меры, результат часто оказывается далеко не в пользу компании. Почему так происходит?
Ошибочно расставленные при анализе степени уязвимости ИТ-инфраструктуры акценты приводят к излишним тратам на защиту мест, уязвимость которых низка, при этом потенциально опасные участки остаются слабо прикрытыми. Информация оказывается не в тех руках, прибыль упущена, а специалисты по безопасности разводят руками: система защиты казалась такой надежной…
Реальные и потенциальные угрозы
Каких же угроз стандартно опасается большинство специалистов по безопасности и насколько они подтверждены реально зафиксированными случаями потери данных?
Негласно многие ИТ-специалисты считают наиболее вероятной потерю данных в результате инсайдерских атак и из-за использования старых версий программного обеспечения. Эти риски сильно преувеличены, - считают аналитики из Verizon Business, которые провели исследование наиболее «громких» случаев утечки данных за последние пять лет.
Согласно представленному отчету, на долю злонамеренных действий собственных сотрудников пострадавших фирм приходится всего лишь 11% всех случаев успешного хищения информации. А риск утечки данных вследствие несвоевременного обновления ПО и вовсе составляет около 2%. Согласно данным Verizon, основная угроза для большинства компаний исходит от внешних организаций и особенно - фирм-партнеров (до 74% успешных краж произошло в тандеме «бизнес-партнер - третья сторона»).
Ошибочно расставленные при анализе степени уязвимости ИТ-инфраструктуры акценты приводят к излишним тратам на защиту мест, уязвимость которых низка, при этом потенциально опасные участки остаются слабо прикрытыми. Информация оказывается не в тех руках, прибыль упущена, а специалисты по безопасности разводят руками: система защиты казалась такой надежной…
Реальные и потенциальные угрозы
Каких же угроз стандартно опасается большинство специалистов по безопасности и насколько они подтверждены реально зафиксированными случаями потери данных?
Негласно многие ИТ-специалисты считают наиболее вероятной потерю данных в результате инсайдерских атак и из-за использования старых версий программного обеспечения. Эти риски сильно преувеличены, - считают аналитики из Verizon Business, которые провели исследование наиболее «громких» случаев утечки данных за последние пять лет.
Согласно представленному отчету, на долю злонамеренных действий собственных сотрудников пострадавших фирм приходится всего лишь 11% всех случаев успешного хищения информации. А риск утечки данных вследствие несвоевременного обновления ПО и вовсе составляет около 2%. Согласно данным Verizon, основная угроза для большинства компаний исходит от внешних организаций и особенно - фирм-партнеров (до 74% успешных краж произошло в тандеме «бизнес-партнер - третья сторона»).
Очевидно, что в компании, сделавшей упор на отражение возможных инсайдерских атак или включившейся в гонку за новейшими обновлениями, с большой долей вероятности не хватит ресурсов для качественной проработки более важных направлений защиты. Так что же следует защищать в первую очередь?
Обязательная защита
Во-первых, нужно максимально обезопасить места хранения важной информации, позаботившись как об обеспечении физической сохранности серверов или хранилищ, так и о реализации безопасного соединения во время любого обращения к базам данных.
Если использовать комплексный подход к обеспечению безопасности данных, то есть рассматривать хранилища, серверы и соединения между ними в качестве единой системы, надежность защиты сразу возрастает до достойных 85%, - считают аналитики из Verizon.
Во-вторых, нужно тщательно продумать внутреннюю политику безопасности, максимально ужесточив и дифференцировав права доступа к той или иной информации.
Речь идет, прежде всего, о недопустимости использования общеизвестных паролей (так называемых «паролей на стикере») и строгой градации уровня доступа к базам данных (например, предоставление доступа на основании служебной записки за подписями руководителя отдела и начальника структурного подразделения, использование для идентификации пользователя USB-токенов и так далее). Рациональная внутренняя политика снижает риск возникновения внештатных ситуаций, связанных с утечкой данных, на целых 15%.
В-третьих, при разработке стратегии ИТ-защиты нужно использовать системный подход, решительно отказавшись от соблазна впасть в излишнюю детализацию.
Например, в стремлении довести до совершенства безопасность отдельных рабочих станций, оголенным может оказаться целое смысловое звено сети – допустим, для работы удаленного пользователя выбрана незащищенная сетевая служба. Комплексный подход при разработке общей стратегии защиты информации может снизить риск утечек на 10%.
Таким образом, необходим последовательный анализ всей сетевой инфраструктуры объекта и комплексный подход к разработке стратегии обеспечения ИТ-безопасности компании. Только так расходы на ИТ-безопасность станут надежной «подушкой безопасности», а не платой за «воздух».
Обязательная защита
Во-первых, нужно максимально обезопасить места хранения важной информации, позаботившись как об обеспечении физической сохранности серверов или хранилищ, так и о реализации безопасного соединения во время любого обращения к базам данных.
Если использовать комплексный подход к обеспечению безопасности данных, то есть рассматривать хранилища, серверы и соединения между ними в качестве единой системы, надежность защиты сразу возрастает до достойных 85%, - считают аналитики из Verizon.
Во-вторых, нужно тщательно продумать внутреннюю политику безопасности, максимально ужесточив и дифференцировав права доступа к той или иной информации.
Речь идет, прежде всего, о недопустимости использования общеизвестных паролей (так называемых «паролей на стикере») и строгой градации уровня доступа к базам данных (например, предоставление доступа на основании служебной записки за подписями руководителя отдела и начальника структурного подразделения, использование для идентификации пользователя USB-токенов и так далее). Рациональная внутренняя политика снижает риск возникновения внештатных ситуаций, связанных с утечкой данных, на целых 15%.
В-третьих, при разработке стратегии ИТ-защиты нужно использовать системный подход, решительно отказавшись от соблазна впасть в излишнюю детализацию.
Например, в стремлении довести до совершенства безопасность отдельных рабочих станций, оголенным может оказаться целое смысловое звено сети – допустим, для работы удаленного пользователя выбрана незащищенная сетевая служба. Комплексный подход при разработке общей стратегии защиты информации может снизить риск утечек на 10%.
Таким образом, необходим последовательный анализ всей сетевой инфраструктуры объекта и комплексный подход к разработке стратегии обеспечения ИТ-безопасности компании. Только так расходы на ИТ-безопасность станут надежной «подушкой безопасности», а не платой за «воздух».
Личный кабинет
Ознакомьтесь с демонстрационной версией нашего личного кабинета.
· Инженеры на карте в режиме On-Line
· Статистика посещения вашей компании
· Бухгалтерские документы
· Прямые контакты инженеров
Ознакомьтесь с демонстрационной версией нашего личного кабинета.
· Инженеры на карте в режиме On-Line
· Статистика посещения вашей компании
· Бухгалтерские документы
· Прямые контакты инженеров