Стратегия обеспечения безопасности во времена экономической нестабильности

27 марта 2009 17:00

Впериод экономических изменений безопасность продолжает оставаться одной из самых приоритетных тем. В этих условиях ни одна из имеющихся проблем не исчезает, только бюджет на их решение уменьшается. Все имеющиеся проекты начинают конкурировать между собой за доступ к бюджету и другим корпоративным ресурсам, и большинству предприятий удается оптимизировать свою деятельность лишь по одному-двум направлениям. О том, почему проблемы информационной безопасности столь важны в кризисные периоды – в статье Дениса Батранкова, консультанта по информационной безопасности компании IBM в России и СНГ.

Подлинная безопасность, реальное сокращение расходов и уменьшение сложности — обеспечить баланс всех этих факторов способны немногие.

Что же на самом деле подразумевается под безопасностью? Опрашивая клиентов, мы столкнулись с двумя принципиально разными определениями — в зависимости от того, с кем мы разговариваем на эту тему. Первое из этих определений носит традиционный характер: безопасность — это защита сети, защита от хакеров, защита периметра и другие похожие формулировки. Все эти термины характеризуют защиту инфраструктуры организации от самых разных угроз, существующих сегодня. Такая защита необходима, и она обычно обеспечивается командой специалистов по IT-безопасности. Эта задача, безусловно, продолжает оставаться чрезвычайно важной, и организации попрежнему должны уделять ей повышенное внимание, особенно на фоне лавинообразного роста количества и разнообразия уязвимостей IT-систем. На сегодняшний день группой X-Force, которая специализируется на исследованиях и разработках в области информационной безопасности, обнаружено и зарегистрировано свыше 26 тыс. подобных уязвимостей.

С другой стороны, когда мы говорим о безопасности с бизнес-специалистами — людьми, которые используют приложения, управляющие бизнес-операциями и процессами, мы слышим от них совершенно другое определение безопасности. Они не беспокоятся относительно хакеров, считая, что этим аспектом IT-безопасности должен заниматься кто-то другой, и в большинстве случаев практически не разбираются во всей этой «технической чепухе». То, что бизнес-профессионалов действительно заботит с точки зрения безопасности, касается только конкретных приложений или баз данных, с которыми они работают, и выражается, как правило, тремя простыми вопросами, которыми они задаются:

 

  • Кто может получить доступ к моему приложению или базе данных?
  • Какие права получают эти пользователи, имея доступ к моему приложению или базе данных?
  • Смогу ли я доказать аудитору, что все эти пользователи получают доступ только к тому, что входит в их компетенцию?

    Опираясь на опыт работы с тысячами клиентов, специалисты IBM пришли к выводу, что для разработки и реализации эффективной программы по обеспечению информационной безопасности необходимо учитывать оба фактора — IT-угрозы и аспекты бизнеса. Решать задачи защиты IT-инфраструктуры и бизнес-процессов надо на всех уровнях и направлениях деятельности организации, включая корпоративные данные, приложения, пользователей, инфраструктуру, производственное оборудование, офисные операции и т. д. Здесь мы расскажем, как решать такие задачи.

    Постоянно меняющийся характер таких составляющих бизнеса, как нормативные требования, экономические аспекты, бизнес-технологии, рыночная конъюнктура, наряду с эволюционирующими угрозами и уязвимостями обусловили значительное усложнениекорпоративных инфраструктур безопасности. Сложность — это антитеза безопасности. Чем сложнее система безопасности, тем труднее обеспечивать эту безопасность.

    Наши клиенты утверждают, что самыми большими их проблемами сегодня являются эффективное управление растущими расходами на обслуживание системы безопасности и обеспечение соблюдения нормативных требований по информационной безопасности. Наиболее актуальный и самый обсуждаемый на сегодняшний день норматив — это Закон о персональных данных, на втором месте стоит стандарт PCI DSS. В то же время, параллельно с решением задач безопасности, компаниям нужно сохранять динамику развития своего бизнеса и использовать новые рыночные возможности.

    Стопроцентной гарантии безопасности не существует — не бывает прибыли без риска. Безопасность предполагает компромиссы, баланс между выгодой и риском потерь. Безопасность сопряжена с расходами, со сложностью процессов, с формированием пользовательского опыта. Чтобы компромиссы были разумными, компаниям необходимо согласовывать свои стратегии IT-безопасности с бизнес-целями, распределять риски среди своих бизнес-направлений и дочерних структур и обеспечивать адекватные уровни безопасности для каждого аспекта бизнес-деятельности, для каждой категории угроз и уязвимостей. Таков подход к безопасности, ориентированный на цели и задачи бизнеса, — адаптация политик безопасности, нацеленная на достижение максимального успеха в бизнесе.

    Кроме того, существует прекрасная возможность экономии значительной части затрат на IT-инфраструктуру. По мере внедрения инновационных технологий и оптимальных методик люди обычно осознают, что они управляют сотнями и тысячами избыточных объектов. Благоприятные перспективы с точки зрения рисков дают компаниям повод перейти к более рациональному и эффективному набору управляемых компонентов инфраструктуры. Это не только способствует более быстрому пониманию влияния IT-событий на бизнес-процессы, но также позволяет компаниям сэкономить миллионы долларов благодаря упрощению инфраструктуры и автоматизации ручных операций.

    Бизнес явно ощущает давление экономической неопределенности. В ходе опроса, проведенного недавно IBM, главные исполнительные директора компаний отметили, что нынешний экономический спад является одной из главных причин их озабоченности, он представляет собой основную потенциальную угрозу бизнесу. Как это сказывается на IT-затратах?

    Некоторым руководителям IT-служб предложено снизить расходы или обеспечивать быстрый возврат инвестиций. Остальные просто готовятся к потенциальному ограничению IT-бюджета. С другой стороны, существуют различные стратегии, которые IT-директора использовали в прошлом (в период предыдущего спада в 2001 г.) и которые они сегодня вновь взяли на вооружение, пытаясь управлять своими расходами на информационнотехнологическую инфраструктуру в нынешний период экономической неопределенности. В то же время технологии продолжают развиваться и становятся все более интеллектуальными, быстродействующими и недорогими, и это — хорошая новость. IBM может помочь клиентам использовать эти технологические инновации для достижения высоких уровней эффективности IT-инфраструктуры и, как следствие, реализации новых бизнесвозможностей. Мы можем помочь клиентам благополучно пережить период текущего экономического спада и ограниченных бюджетов, одновременно гарантируя, что их инфраструктура будет хорошо подготовлена к будущему росту бизнеса.

    Подразделение IBM ISS уже давно находится в числе лидеров на рынке услуг по управлению информационной безопасностью. Пакет услуг IBM ISS Managed Security Services является идеальным решением для руководителей IT-служб и их сотрудников, стремящихся снизить расходы и сложность инфраструктуры в меняющейся бизнес-среде. IBM помогает клиентам оптимизировать свои системы IT-безопасности, что дает им возможность улучшить информационную защиту бизнес-процессов, уменьшить показатель совокупной стоимости владения (связанный с интеграцией системы безопасности в IT-проекты) и обеспечивать соблюдение нормативных требований. Формируется единое всеобъемлющее представление информационно-технологической инфраструктуры предприятия, чтобы помочь в решении проблем безопасности и реализации бизнес-возможностей, охватывая всех «действующих лиц» IT-среды — сотрудников, партнеров и клиентов. Это достигается путем объединения:

  • внутрикорпоративной и отраслевой бизнес-информации;
  • разнообразных интегрированных решений по обеспечению безопасности;
  • результатов специальных исследований современных угроз и уязвимостей IT-безопасности.

    IBM предлагает модульный подход к приобретению и использованию компонентов IT-инфраструктуры в целях снижения рисков, уменьшения сложности, упрощения соблюдения регулятивных норм, ускорения возврата инвестиций и оптимизации распределения ресурсов. IBM ISS помогает клиентам в достижении лучших результатов меньшими усилиями и ресурсами.

    Многие руководители IT-служб уже активно работают над повышением эффективности своих IT-инфраструктур и сетевых сред, и у IBM ISS есть все необходимое, чтобы поддержать эти усилия. Решения, предлагаемые подразделением IBM ISS, помогают клиентам:

  • сокращать расходы;
  • увеличить полезную отдачу от существующих IT-инфраструктур;
  • управлять эффективностью IT-операций.

    Использование решений от IBM поможет также отсрочить капиталовложения, облегчить проблему нехватки квалифицированных кадров и, что очень важно, обеспечить немедленную экономию затрат и ускоренный возврат инвестиций. Решение этих задач можно рассматривать как отправную точку на пути реализации инициатив по облегчению бремени ограниченных бюджетов и осуществлению эффективного управления информационными технологиями.

    %images[2]%

    IBM провела серию опросов более сотни своих клиентов по всему миру. Результаты опросов показали, что клиенты в среднем используют порядка 12 различных видов технологий обеспечения безопасности на своих предприятиях, причем, как правило, от разных поставщиков. Эти результаты убедительно подтверждают растущую сложность корпоративных инфраструктур ITбезопасности, о чем мы уже говорили.

    Применение многочисленных разнородных устройств и систем от разных поставщиков является непосредственной причиной растущих расходов на управление. Клиенты с удивлением обнаружили, что они тратят почти 45% своего IT-бюджета на административный персонал, осуществляющий это управление. Мониторинг и управление системами безопасности не должны быть столь сложными. У клиентов должна быть возможность перенаправить ценные квалифицированные трудовые ресурсы на реализацию более значимых проектов и таким образом сократить совокупные расходы на управление безопасностью. IBM рассматривает информационную безопасность со вполне определенной позиции — с точки зрения повышения конкурентоспособности бизнеса клиента.

    Наши активные исследования в области IT-безопасности служат основой для поставки инновационных услуг. Мы изучаем возможности интеграции этих услуг с целью повышения их ценности для бизнеса клиентов. Интеграция этих сервисов друг с другом и с компонентами бизнес-процессов клиентов помогает оптимизировать инфраструктуру безопасности, снизить совокупную стоимость владения, обеспечить соблюдение нормативных требований и в итоге повысить общий уровень информационной безопасности на предприятии.

     



  • © 2020 БАНКОВСКИЕ ТЕХНОЛОГИИ
    Первое издание на российском рынке, посвященное информационным технологиям для банков.
    Москва, Проспект Мира, д.3, корп. 1
    +7 (495) 120-81-42
    info@int-bank.ru

    Свидетельство СМИ ФС77-39103 от 11 марта 2010 года.
    По вопросам сайта просим обращаться к администрации сайта: info@int-bank.ru.
    При использовании материалов необходимо давать ссылку на www.banktech.ru.