Директорам по ИТ-безопасности следует воздержаться от бездумной покупки устройств защиты сетей в мегамаркетах, и постараться донести до высшего руководства, что такие решения должны приниматься после тщательного анализа всех рисков потери/утечки данных вместо слепой защиты от потенциальных атак.

Такова была главная мысль доклада на конференции Gartner «Security and Risk Management Summit» 2013 года, с которым выступил вице-президент исследования Пол Проктор в понедельник. Вопросы безопасности не ограничиваются одной лишь технологией, подчеркнул он. Руководители бизнеса хотят знать, как эти принятые решения влияют на итоговые показатели компании. Обеспечить безопасность - значит принять правильное решение, которое положительно скажется на бизнесе в целом.

«Мы уже не ищем, как отразить каждую отдельную угрозу, - говорит Проктор. - Мы делаем продуманный выбор: что будет и не будет сделано, чтобы обеспечить защиту организации».

По оценке Gartner, лишь 8% организаций используют межсетевые экраны следующего поколения, а те, что их имеют, неправильно их конфигурируют и не используют все их возможности. Директорам по ИБ следует лучше подготовиться к отражению атак, предупредил Проктор. Для этого нужно проводить тренинг в соответствии с планом реагирования на угрозы, так как ясно, что они неминуемы для любой организации, сказал он.

«Степень риска - это результат выбора: тратишь больше денег - риск снижается, тратишь меньше - он возрастает, - сказал Проктор. - Мы помогаем достичь верного баланса между необходимостью обеспечить защиту организации и необходимостью вести бизнес».

Директорам по ИБ не требуется степень MBA, чтобы донести эти вещи до высшего руководства, говорит Проктор.

Слишком многие специалисты ИБ ограничиваются лишь анализом информации о последних атаках и угрозах безопасности и не доводят до сведения высшего руководства потенциальные последствия таких угроз для всего бизнеса, как свидетельствует исследование, проведенное Институтом Понемона по заказу фирмы ИТ-безопасности Tripwire.

Примерно половина из 750 опрошенных специалистов по ИТ и ИБ в США согласились с тем, что ИТ-безопасность - скорее искусство, чем наука, и некоторые ИТ-подразделения постоянно стакиваются с руководителями бизнеса по этим вопросам, говорит Дуэйн Мелансон, директор по технологии Tripwire. Высшее руководство хочет знать, как принятое ими решение скажется на итоговых результатах компании, подчеркнул он.

«Порой профессионалы ИБ просто выкладывают весь арсенал данных в надежде, что руководство само придет к верному решению», - говорит Мелансон.

В своем стремлении повысить уровень безопасности организации не должны лишь слепо следовать пунктам документа «20 Security Controls», который публикует SANS Institute, говорит Проктор. Вместо этого им надо провести оценку рисков, а потом выявить и устранить несоответствия между избранными средствами защиты и регулятивными требованиями и платформами, сказал он.

По его оценке, к 2014 году 80% директоров по ИБ компаний списка Global 2000 должны будут ежегодно докладывать контрольной комиссии о состоянии информационной защиты в организации, и все больше директоров по ИБ будут отчитываться об этом перед Советом директоров, говорит Проктор.

Он призвал не останавливаться лишь на самих атаках и средствах их отражения, а постараться показать правлению значение взаимопонимания между руководителями бизнеса и отделом ИБ, который отвечает за надлежащий уровень защиты. И наконец, показать связь между безопасностью и уровнем риска с деловыми результатами компании - самыми важными для правления.

Проктор привел несколько примеров успеха. Фирма Providence Health & Services, в ведении которой находятся 27 больниц и десятки других клиник, инвестировала прежде всего в людей и лишь потом в технологию. После тщательной оценки рисков фирма решила, что лучший способ повысить уровень безопасности это увеличить штат персонала, следящего за работой устройств защиты. Штат отдела ИБ был расширен с пяти до 32 человек, что обеспечило должное выполнение всех программ мониторинга и соблюдения регулятивных требований.

«Эффективная защита это уже не просто отражение угроз, а управление степенью риска, который готова принять организация», - подчеркнул Проктор.

Дизайн и поддержка: Silicon Taiga

Обратиться по техническим вопросам