Директор подразделения Technical Sales, CA EMEA East: безопасностью нельзя управлять бессистемно
Биография
О компании
CA, один из крупнейших в мире поставщиков программного обеспечения в области управления ИТ-средой, объединяет более 5300 разработчиков по всему миру. Опыт работы компании и создаваемое ею ПО направлены на безопасную унификацию и упрощение управления современной комплексной ИТ-средой в масштабе предприятия с целью улучшения результатов коммерческой деятельности.
Стратегия управления корпоративной ИТ-средой (Enterprise IT Management, EITM) – надежный вклад в будущее информационных технологий. Это реальная возможность управлять системами, сетями, службами безопасности, хранением, приложениями и базами данных безопасно и динамично. Это гибкая система управления на основе имеющейся базы, внедряемая в удобном для вас темпе без перемещения ИТ-инвестиций. Команда СА создает и продвигает программное обеспечение для управления ИТ-средой, воплощая эту концепцию в реальность. СА предоставляет накопленный десятилетиями опыт в решении сложных ИТ-проблем и проверенные на практике методы.
Компания CA основана в 1976 году, в настоящее время является глобальной организацией со штаб-квартирой в США и 150 офисами более чем в 45 странах. СА обслуживает свыше 99% компаний Fortune 1000, а также государственные организации, образовательные учреждения и тысячи предприятий самых разных отраслей по всему миру. СА выходит на новый уровень развития благодаря своей стратегии, состоящей из четырех частей: разработки продукции, привлечения партнеров, глобального расширения и стратегических приобретений, и направленных на достижение главной цели — помощи клиентам компании в реализации всех возможностей ИТ для ведения бизнеса.
Вопрос:
Откуда исходит основная угроза – изнутри или извне компаний?
Ответ: С точки зрения уязвимости организации эти виды угроз равноценны. Внешние угрозы обычно более заметны, так как о них чаще становится известно широкому кругу лиц, в то время как внутренние нарушения требований безопасности либо остаются незамеченными, либо о них предпочитают не говорить. Тем не менее внутренние угрозы зачастую потенциально более разрушительны, так как в этом случае злоумышленники лучше осведомлены о системах и более четко знают, что ищут. При внешней атаке нападающие обычно взламывают защиту на уровне сети или портала и пытаются найти данные, не имея четкого представления о системном ландшафте. Иногда им везет, и они получают доступ к критически важным данным. Но человек, работающий внутри организации, добирается до таких данных почти гарантированно, так как он знает, что ищет, и знает, как замести следы. Несанкционированный доступ к информации изнутри компании может нанести огромный финансовый урон. Внешние угрозы в большей степени чреваты репутационными рисками и риском публикации нежелательной информации.
Вопрос:
Как определить потенциальную угрозу или риск для компании? И как построить эффективную систему защиты информации?
Ответ: Для этого необходимо четко понимать разницу между риском и угрозой. Нередки случаи, когда компании проходят проверку системы безопасности и получают на выходе длинный список угроз. Это общий перечень всех возможных случаев нарушения безопасности информационных систем, которые могут произойти в конкретной организации. После получения такого перечня бизнес-аналитик (один из сотрудников этой организации) должен соотнести каждую угрозу с соответствующим бизнес-процессом и оценить значимость данных, которые могут пострадать в результате возникновения указанной ситуации. В ряде случаев оказывается, что угрозы не являют собой риска для компании, потому что затрагиваемый бизнес-процесс или объем данных не влечет за собой финансовых или репутационных потерь.
Таким образом, построение эффективной системы защиты информации начинается с аудита каждого компонента ИТ-инфраструктуры и оценки текущего статуса систем безопасности для идентификации всех потенциальных угроз. На следующем этапе представитель организации соотносит данные угрозы с бизнесом и прогнозирует возможность конкретных рисков. И уже в качестве следующего шага принимаются решения по минимизации этих рисков.
Вопрос:
Очевидно, что невозможно избавиться от всех потенциальных угроз с точки зрения ИТ-инфраструктуры. И что же делать в этом случае?
Ответ: Как только определены конкретные угрозы и соответствующие риски, ситуация становится более контролируемой. Предприятию необходимо бороться только с теми угрозами, которые представляют для него конкретные риски. Таким образом, можно расходовать ресурсы, например бюджет на ИТ и персонал, максимально эффективно.
Вопрос:
Зачастую сотрудники компании сами становятся источниками множества проблем и основным каналом утечки информации. Возможно ли минимизировать влияние персонала на целостность конфиденциальных данных?
Ответ: Конечно. Проблему нарушения конфиденциальных данных собственными сотрудниками компании, можно решить, установивхорошую систему управления идентификацией и доступом (Identity and Access management system). Компания CA лидирует на рынке таких систем уже семь лет (согласно независимым отчетам IDC). Такие функции, как контроль доступа к основным серверам (host access control), управление регистрацией и подключением пользователей, система единого входа (single sign on) и управление доступом в Интернет, способны обеспечить адекватную защиту данных и четкое отслеживание доступа ко всем критически важным системам — серверам, приложениям, сетевым структурам, в частности открытым порталам и системам на базе корпоративной локальной сети.
Вопрос:
Кстати, какую информацию необходимо защищать от разглашения?
Ответ: Все зависит от классификации информации внутри организации. В идеале, компания должна разделить все данные на критически важные, важные, неважные и открытую информацию. В соответствии с этой классификацией должны применяться правила защиты данных. В каждой организации будет своя классификация. Например, в больнице информация о пациентах является строго конфиденциальной. В фармацевтической компании закрытой будет информация о препаратах, находящихся в разработке. Но есть информация, которая конфиденциальна в любой организации вне зависимости от размера и отрасли – например, финансовые показатели, данные о сотрудниках и их зарплатах.
Вопрос:
Какую часть обязанностей по обеспечению защищенности инфраструктуры предприятия берет на себя внутренний аудит?
Ответ: Обычно аудит внутри организации определяет слабые места баз данных, серверов и приложений, сравнивая их уровень защищенности с общепринятыми стандартами и лучшими практиками. Аудит может также затрагивать более глубокий уровень – качество программного кода и связанные с ним бреши в системе защиты приложений, особенно если такие приложения представляют собой собственные разработки (а не готовые приложения вроде SAP, Oracle Financials и т. д.).
Вопрос:
Довольно часто компании не проводят полный аудит своих ИТ-систем. В чем опасность такого подхода?
Ответ: Безопасностью нельзя управлять бессистемно. Этот вопрос надо решать комплексно – с точки зрения сетевой инфраструктуры, систем, баз данных, приложений, а также бизнес-процессов. Также необходимо помнить о физических угрозах безопасности. Поэтому пренебрежение любым из этих аспектов делает организацию уязвимой перед лицом внешних и внутренних угроз.
Вопрос:
Некоторое время назад системы управления и защиты функционировали раздельно, но современный подход заключается в их интеграции. От чего это зависит и как обеспечивается такая интеграция?
Ответ: Есть две различные точки зрения на эту проблему. Оптимальное решение заключается в разделении процессов управления безопасностью и оперативного управления ИТ-инфраструктурой. Если за защиту информации отвечает тот же персонал, что обеспечивает повседневную работу систем, безопасность может быть принесена в жертву удобству пользования и операционной эффективности.
Если защитой информации занимается внешний отдел, не отвечающий за оперативное ИТ-управление, ему проще внедрять стандарты и процедуры и следить за их соблюдением. Мы наблюдаем следующую тенденцию: некоторые организации объединяют под одной крышей физическую и информационную безопасность, подчиняясь напрямую главному исполнительному лицу или финансовому директору. Это идеальная ситуация.
Вопрос:
Еще одна тенденция, вернее, требование к системам обеспечения безопасности, — их прозрачность. Что это значит?
Ответ: Это значит, что политика безопасности или соответствующие продукты не должны мешать конечным пользователям выполнять их обязанности. Необходимо, чтобы продукты были понятными пользователям, а пользователи могли иметь доступ только к тем аспектам ИТ, которые необходимы им для повседневной работы.
Внедренные решения для защиты информации должны регистрировать все действия пользователей и отслеживать безопасность так, чтобы пользователи об этом не знали. В то же самое время, пользователей следует известить о процедурах по защите информации, внедренных в компании для обеспечения ее безопасности. Например, если организация внедрила систему мониторинга электронной почты, все сотрудники должны быть об этом оповещены и предупреждены о том, что не следует злоупотреблять системами электронной почты. В таком случае будут пойманы только те, кто нарушает процедуры на постоянной основе.
Вопрос:
Также существует проблема управления доступом в Интернет. Различные веб-сервисы и «искусные» веб-клиенты представляет собой очень удобное и гибкое решение. Какие проблемы могут возникнуть с точки зрения защиты информации в этой связи и как их эффективно решить?
Ответ: Проблем тут две. Во-первых, это традиционные внешние угрозы вроде вирусов и шпионского ПО, которые устраняются установкой брэндмауэров, IDS/IPS-решений, HIPS, AV и программ для устранения шпионского программного обеспечения.
Вторая проблема возникает, когда третьим лицам и организациям – поставщикам, партнерам или физическим лицам – открывается доступ к веб-приложениям. В этом случае необходимо прописать четкую процедуру идентификации и доступ должен предоставляться в точном соответствии с заданным профилем идентифицированного пользователя.
Выход заключается во внедрении хорошей системы управления идентификацией, основанной на надежной системе управления каталогами, объединенной с системами управления регистрацией и подключением пользователей, контролем доступа через Web-интерфейсы, а также решениями по аутентификации пользователей, например биометрическими устройствами.
Вопрос:
И последний вопрос. Правда ли, что время отдельных «точечных» решений прошло? Как системы корпоративной ИТ-безопасности будут развиваться в будущем?
Ответ: Я думаю, будут использоваться и те, и другие решения. Безопасность необходимо обеспечивать при помощи лучших в своем классе продуктов, предназначенных для решения конкретных задач. В то же время они должны быть открытыми и способными интегрироваться с другими приложениями сторонних разработчиков и решениями для управления безопасностью. CA является лидером в предоставлении подобных систем и предлагает ряд решений, которые могут быть внедрены как отдельные модули. Интеграция этих модулей друг с другом и с приложениями сторонних компаний позволит организациям создать всеобъемлющую архитектуру для обеспечения безопасности, которой можно будет успешно управлять и поддерживать для защиты от существующих и потенциальных угроз.
Активная защита
Если вопросы организации систем аутентификации и доступа (так называемые, три "А" – Authentification, Administration и Access) принципиальны для построения системы информационной безопасности, то вопросы активной защиты являются насущной повседневной потребностью ИТ-подразделений. Решений для построения таких систем великое множество, и основные методы, проблемы и тенденции рынка известны и хорошо описаны.
Решения активной защиты строятся на основе:
- межсетевых экранов;
- антивирусных решений;
- систем обнаружения вторжений (Intrusion Detection);
- системы работы с уязвимостями операционных и прикладных систем, активного оборудования;
- решений по криптографической защите информации.
Для того чтобы говорить об активной защите, как о системе, необходимо обеспечить:
- взаимодействие между разными модулями;
- возможность функционирования составляющих частей как единого целого (имеется в виду, что если используется несколько межсетевых экранов или систем обнаружения вторжений в рамках одной корпоративной сети, то необходимо обеспечить единую точку их администрирования и контроля).
А для того чтобы говорить о целостной системе информационной безопасности, требуется выполнение единой политики безопасности во всех составляющих подсистемах, включая вопросы аутентификации, управления доступом и активную защиту.
«Внутренние угрозы зачастую потенциально более разрушительны, так как в этом случае злоумышленники лучше осведомлены о системах безопасностию»
«Построение эффективной системы защиты информации начинается с аудита каждого компонента ИТ-инфраструктуры организации.»
«Безопасность необходимо обеспечивать при помощи лучших в своем классе продуктов, предназначенных для решения конкретных задач.»
|
Обсуждение статьи
|
|
|
|
RE: Директор подразделения Technical Sales, CA EMEA East: безопасностью нельзя управлять бессистемно
В чем прикол япитехнолог? |
|
RE: Äèðåêòîð ïîäðà çäåëåГГЁГї Technical Sales, CA EMEA East: áåçîïà ñГîñòüþ Гåëüçÿ óïðà âëÿòü ГЎГҐГ±Г±ГЁГ±ГІГҐГ¬ГГ®
At last, someone comes up with the "right" aswner! |
|
RE: Äèðåêòîð ïîäðà çäåëåГГЁГї Technical Sales, CA EMEA East: áåçîïà ñГîñòüþ Гåëüçÿ óïðà âëÿòü ГЎГҐГ±Г±ГЁГ±ГІГҐГ¬ГГ®
slots 0648 flight deals =DDD air tickets 74273 |
|
|
Keywords: zPOSTz zMAIN_THEMEz z10156z
Для Авторов: edit  delete
Автор: Андрей Каролик
Дата: 17.12.2009 12:55:31©
|
Архив номеров
