Эксперты сходятся во мнении, что вопросы информационной безопасности еще долго будут возглавлять список приоритетов ИТ-директоров. Вопрос лишь в том, как верно расставить акценты, с помощью ограниченных средств обеспечив выполнение наиболее важных задач. Своими взглядами на наиболее актуальные проблемы делится Андрей Вышлов, глава российского представительства Symantec.

Андрей Вышлов, глава российского представительства Symantec
Андрей Вышлов, глава российского представительства Symantec

Аналитик Gartner Джон Джирар, выступая на конференции Gartner Security & Risk Management Summit в Сиднее, сравнил инвестиции в компьютерную безопасность с финансовой пирамидой: все начинается с небольших разумных вложений, а затем раскручивается сильнее и сильнее. Насколько справедлива такая оценка?

Сравнение с финансовой пирамидой носит отрицательный характер, в то время как инвестиции в безопасность направлены на благое дело. Поэтому я бы скорее сравнил эти инвестиции с великими изобретениями, которые в корне меняют устоявшиеся представления о мире. Если рассматривать информационную безопасность только как обеспечивающую функцию, то она действительно может показаться обременяющей. Но ИБ уже давно вышла на новый уровень, она позволяет использовать новые возможности технологий, которые в отрыве от нее не могли бы применяться — ведь тогда компании подвергались бы слишком высоким рискам. Хороший пример — это адаптация мобильных решений или облаков, позволяющих сотрудникам выполнять свою работу в любое время и из любой точки мира. Естественно, «впускать» их к себе без оглядки на безопасность не стоит. С этой точки зрения безопасность не является тяжкой ношей — наоборот, на нее можно смотреть, как на скафандр, позволяющий выйти в открытый космос или погрузиться на дно океана.

Аналитики не рекомендуют распылять свои инвестиции: основная масса средств, выделяемых на компьютерную безопасность, должна быть пущена на решение главных задач — прежде всего на усиление защиты от проникновения в корпоративную сеть и на регистрацию попыток доступа. В какие еще направления компьютерной безопасности разумно вкладывать деньги, учитывая угрозы сегодняшнего дня?

Я бы смотрел на шаг вперед. Возможно преодолеть любую защиту — все зависит от средств и времени, потраченных на эту задачу. Гораздо важнее, что будет, когда злоумышленник проникнет в инфраструктуру компании.

В настоящее время одним из самых дорогих активов является информация, поэтому мы рекомендуем инвестировать в различные средства ее защиты — контроль использования, защиту от утечек, шифрование и т. д.

Также не следует забывать о том, что основными задачами ИБ сейчас являются безопасность ИТ-инфраструктур, позволяющая им становиться двигателем бизнеса, а также управление ИТ-рисками, снижающее вероятность возникновения нежелательных для компаний ситуаций. Таким образом, второй класс решений, о которых хочется упомянуть, — это решения по управлению рисками.

Другое немаловажное направление — это повышение осведомленности сотрудников. Касаться оно должно как ИТ-департаментов и служб информационной безопасности, так и всех остальных подразделений. Ведь дело в том, что самые эффективные атаки — атаки, направленные на человеческий ресурс; обмануть человека значительно проще, чем ИТ-систему. Важно тренировать у специалистов способность компетентно реагировать на возникающие непредвиденные ситуации. Практика показывает, что сотрудники не всегда готовы посмотреть на ситуацию шире, чем описывают регламенты. Не любую ситуацию можно заранее предвидеть, и поэтому реагирование в действительно критических ситуациях оставляет желать лучшего.

Какие принципиально важные шаги нужны, чтобы определить области бизнеса, которые действительно требуют компьютерной защиты в конкретной компании или организации?

Начинать нужно именно с выявления рисков, которые для каждой компании будут уникальными. Только после понимания степени влияния рисков на те или иные процессы в компании можно говорить о выборе средств для минимизации рисков, в том числе с помощью средств информационной безопасности.

Один важный момент, о котором точно не следует забывать, — это повышение уровня знаний сотрудников о потенциальных проблемах. Не нужно думать, что, настроив современные средства защиты, компания автоматически становится защищенной на 100%. Люди, не принимающие базовых мер к обеспечению безопасности, могут сделать бессильными самые сложные технические средства защиты. И напротив — правильно построенные процессы в совокупности с повышением осведомленности могут творить чудеса, естественно, не без помощи современных технических средств защиты.