Первая тенденция, наметившаяся еще в конце 2008 г., заключается в переосмыслении роли защиты данных. Скандалы, связанные с «потерей» клиентских данных различными предприятиями и нелегальной торговлей ими, стали причиной пристального внимания к этой проблеме со стороны общественности и вызвали негативные отклики в прессе. Репутация многих предприятий была подпорчена, а ожидаемое ужесточение законодательных требований в области информационной безопасности заставило остальных более серьезно относиться к защите корпоративной информации.
До сих пор «защита персональных данных» представлялась руководителям предприятий, а порой и специалистам по безопасности лишь досадной помехой, из-за которой они не могли по своему усмотрению использовать уже имеющиеся сведения о клиентах или сотрудниках. Требования по защите такой информации воспринимались даже как препятствие на пути реализации полного контроля за деятельностью предприятия в рамках управления рисками. Специалисты по защите данных, маркетингу и безопасности ИТ часто оказывались в роли соперников, редкие исключения составляли предприятия вроде Daimler, где отделы обеспечения безопасности ИТ и защиты данных на протяжении многих лет работают в условиях тесного сотрудничества.
Однако постепенно компании стали осознавать, что корпоративные базы данных, содержащие персональные сведения, представляют собой большую ценность и могут быть интересны для злоумышленников. То или иное обращение с подобными сведениями оказывает определенное влияние на репутацию предприятия, и поэтому речь сегодня чаще идет о защите информации, а не о безопасности ИТ: в 2009 г. конфиденциальность документов и баз данных окажется в зоне особого внимания, что будет способствовать развитию таких направлений, как шифрование и предотвращение потерь данных (Data Loss Prevention).
АКЦЕНТ НА КОРПОРАТИВНУЮ БЕЗОПАСНОСТЬ
Следующая тенденция — усиливающееся подчинение безопасности ИТ системе корпоративной безопасности; в результате охрана предприятия, техника безопасности и защита данных превращаются во взаимосвязанную задачу. Если соответствующие меры реализуются обдуманно и действительно позволяют объединить специалистов различных областей, то в этом случае можно рассчитывать на создание более эффективных концепций безопасности. При отсутствии такого контакта специалистам ИТ, все реже принимающим участие в обсуждении корпоративных решений, вряд ли удастся отстоять или хотя бы разъяснить свои требования к бюджету в сфере безопасности, что окажет негативное влияние на деятельность предприятия в целом.
В любом случае, решения об инвестициях в меры по обеспечению безопасности все чаще принимаются на уровне руководства компании. Наверняка, во избежание изматывающей борьбы со все более необозримым числом угроз станут применяться альтернативные модели управления, такие как управляемые услуги безопасности (Managed Security Services) или полный аутсорсинг сервисов по обеспечению безопасности. Помимо названных услуг (Security Services), в 2009 г. будут востребованы консультационные услуги по разработке концепций безопасности, при этом технические условия особой роли не играют, а в качестве целевой группы рассматривается руководство предприятия.
ВЫИГРЫШ В БЕЗОПАСНОСТИ БЛАГОДАРЯ «ПОВСЕМЕСТНОЙ СЕТИ WEB»
Наверняка, это утверждение покажется странным: дешевый доступ к сети Web, доступные многофункциональные мобильные телефоны и мини-ПК класса Netbook будут способствовать корпоративной безопасности? А теперь представьте, сколько проблем доставляло компаниям использование сотрудниками корпоративного доступа к Web и электронной почте в личных целях, даже если опасность рисков, с которыми сталкивались предприятия, порой весьма преувеличивалась. Поэтому карманный нетбук за 200 евро и мобильный безлимитный доступ в Internet за 20 евро через USB-модем вполне могут улучшить положение, что позволит компаниям снять с себя моральное обязательство по предоставлению доступа в Internet для личных целей, к примеру, осуществления банковских операций.
Однако сформируется ли новая форма культуры общения, при которой люди опять начнут отделять личные контакты от деловых? Все менее жесткие нормы труда и гибкие условия работы (распространение принципа «работа в любом месте и в любое время») заставляют усомниться в этом. Предприятию, стремящемуся сохранить все под контролем, в самом радикальном случае потребовался бы контроль за личной жизнью работников, что, хочется верить, обречено на провал. После скандалов 2008 г., связанных с защитой личных данных, внимание общественности к этой проблеме значительно возросло, и, как многие надеются, в 2009 г. будут разработаны более творческие и дружественные концепции информационной безопасности.
Йоханнес Вилле — редактор LANline. Он является председателем рабочей группы «Осведомленность в области информационной безопасности» Европейского института противодействия компьютерным вирусам (European Institute for Computer Antivirus Research, EICAR).
© AWi Verlag