Сложность того, что и когда нужно защищать, налагающиеся к тому же правила и требования создают потребность в новом типе руководителя информационной безопасности
Далеко позади те дни, когда весь арсенал средств обеспечения информационной безопасности составляли устройства защиты и системы обнаружения вторжения. Сложность того, что и когда нужно защищать, налагающиеся к тому же правила и требования, создают потребность в новом типе руководителя информационной безопасности — грамотном в бизнесе, осознающим риски и обладающим целостным техническим пониманием. Эти умения, подкрепленные сильной стратегией, необходимы организации для достижения целей информационной безопасности 2008.
Во главе такого типа стратегии и структуры стоят защита данных и управление ими, соответствие стандартам и эффективная интеграция информационной безопасности в управление предприятием и рисками. Стратегия 2008, отвечая этим трем ключевым позициям, может достичь конечной цели — защитить предприятие. И руководители должны сделать правильный выбор.
Куда утекают данные?
Данные утекают, и происходит это незаметно. Этот процесс требует внимания, но, поскольку все происходит без особого шума, никто ничего не замечает. Несмотря на свою неодушевленность, данные создают проблемы по причине своего неконтролируемого роста и еще потому, что скрываются практически повсюду — в центрах обработки данных, проходя через ноутбуки, карманные компьютеры и электронные сообщения. Они разглашаются (намеренно или по неосторожности) в тревожащем количестве, что бросает прямой вызов принятой у нас корпоративной политике и стандартам.
Проблема номер один в информационной безопасности 2008 — защита данных. Проблема защиты конфиденциальности, целостности и доступности не нова — пароли, шифры и категории секретности данных существуют многие годы. Изменился тип данных, которые теперь считаются ценными. С точки зрения вторгающегося извне, интеллектуальная собственность и внутренняя информация были наиболее важным активом. Теперь в цене личные данные: электронные адреса, номера социальных страховок и кредитных карт. Промышленный шпионаж все еще является серьезной угрозой, но новое подполье масштабнее, успех измеряется уже в тысячах и миллионах личностей.
Внутри обезопасить данные также непросто. Руководители требуют, чтобы данные были доступны для облегчения принятия решений, пусть даже строго для тех сотрудников, которым «нужно знать». Через электронные письма, флэшки, мобильные устройства секретная информация утекает из компаний в огромных количествах. Прибавьте к этому сложности аутсорсинга и офшоринга, и станет ясно, что стратегия защиты данных должна простираться от родных стен по всему миру.
Задача решается, начиная с самого основного — определения, где находятся важные данные, а затем появляются сотни дополнительных вопросов и потенциальных препятствий. Как обеспечить безопасность данных? Чем рискует предприятие, если они утеряны, украдены или рассекречены? Каковы нормативные последствия такого нарушения? Кто осуществляет контроль над последней версией данных? Как защищают данные деловые партнеры?
Все это — мир управления данными. В простейшем виде управление данными — это обобщающий термин, отражающий разные взгляды на стратегию информационной безопасности. У этого термина множество разных граней: инвентаризация и классификация данных — где находятся важные данные, что ожидать от тех, кто имеет к ним доступ, и каким образом этот доступ осуществляется, как с ними обращаются, хранят, передают и обрабатывают; управление рисками поставщика — каким образом предоставляются данные, а затем защищаются деловыми партнерами; утечка данных — какие данные непредвиденно или неправомерно утекают из компании. Возникают также вопросы аутентичности: где могут находиться копии данных на предприятии, их наиболее свежие версии, кто осуществляет над ними контроль и как изменения распространяются по организации для облегчения принятия решений. К тому же существуют проблемы конфиденциальности и соответствия стандартам — соблюдаются ли конфиденциальность и нормативные требования на предприятии, а также сторонними лицами. Последние по счету, но не по значимости так называемые e-discovery (данные, существующие в электронном виде) и поддержка в судебных разбирательствах, в частности касательно доступности инструментов и процессов для соблюдения особых запросов на предприятии, юридических или нормативных обоснований.
Ведет ли повышенная информационная безопасность к большему соответствию стандартам? Или наоборот?
В то время как защита данных, возможно, является наиболее сложной задачей для информационной безопасности в 2008 году, соблюдение внешних и внутренних стандартов станет самой замеряемой частью программы. По результатам 10-го ежегодного глобального обозрения информационной безопасности Ernst & Young Security, 60% респондентов рассказывали о своих усилиях в области соответствия стандартам как о самой существенной деятельности в организации; более половины констатировали, что большая часть времени тратится на стремление соответствовать стандартам. Около 80% респондентов отметили, что привязка такого соответствия к инициативам информационной безопасности помогла их обосновать и получить ресурсы, создав бюджет для таких инициатив. Они сказали, что вынужденное обращение к нормативным базам повысило информационную безопасность.
Будь то соблюдение закона Сарбейнса—Оксли, нормативных требований платежной карточки (PCI) или системы здравоохранения (HIPAA), стремление соответствовать стандартам остается ведущим механизмом и компонентом программы информационной безопасности 2008.
Защита бизнеса изнутри
Защита данных — серьезная задача, на соответствие стандартам уходит большая часть времени, но наиболее актуальной тенденцией на 2008 год будет информационная безопасность как стратегическая бизнес-задача, играющая все большую роль в достижении целей предприятия. Многие годы термин ИТ-безопасность был весьма уместен, поскольку деятельность кипела вокруг антивирусов, сетевых устройств защиты, обнаружения вторжения и т.д., требующих специальных знаний для реализации и управления технологиями безопасности. Эти технологии продолжат расти и развиваться, но из управления ими ушел мистицизм. Операционная задача по поддержанию этих инструментов интегрируется в инфраструктуру организации. Программа-антивирус должна быть стандартной частью операционной системы, созданной и поддерживаемой ответственными лицами; сетевые устройства защиты должны включаться как часть сетевого управления и т.д.
Роль информационной безопасности в 2008 году и в последующие годы заключается в том, чтобы помочь компании понять риски и бизнес-операции и повлиять на них в зависимости от текущей обстановки. Это означает объединить риски, связанные с данными, конфиденциальностью, устойчивостью и непрерывностью бизнеса, технологиями, третьими лицами, а с помощью корпоративного совета даже потенциальные юридические риски, чтобы помочь руководителям усовершенствовать принятие решений. Развиваясь, задачи информационной безопасности объединятся с бизнес-инициативами и станут значимым компонентом общей картины рисков компании.
Путь информационной безопасности в 2008 году
Информационная безопасность станет большим, чем просто дорога к заданному пункту назначения. Постоянно изменяющаяся картина рисков, правил и угроз породит множество отклонений от программы безопасности. Но сосредоточение на защите данных и управлении ими, соответствии стандартам, интеграции информационной безопасности и бизнес-инициатив обеспечат успешную программу на 2008 год и в дальнейшем.
Kevin Richards. The Future of Information Security: 2008 and Beyond. CIO Magazine. 01/02/2008