Принимая решение инвестировать в информационную безопасность компании, необходимо понимать разницу между безопасностью информационных технологий и информационной безопасностью. В принципе, ИТ-безопасность и информационная безопасность очень тесно связаны, преследуют одну и ту же цель, но имеют разные подходы. Давайте разберемся
Правильный подход к информационной безопасности
Когда компания решает инвестировать в информационную безопасность, у нее обычно уже есть отдел, который занимается вопросами ИТ или определенный аутсорсинг предоставляемых ИТ-услуг в зависимости как от размера компании, так и от выбора руководства. Тогда вполне вероятно, что одному внутреннему сотруднику, обычно из ИТ-отдела, поручают задачу внедрения и развития безопасности в компании.
Поэтому основной аспект, который на этом этапе необходимо осознать – это разница, которая существует между безопасностью информационных технологий и информационной безопасностью: цель та же, но другой подход.
Общая цель – поддерживать и создавать оптимальные условия для развития корпоративного бизнеса, но подход совершенно разный: ИТ, как правило, создаёт и предоставляет ИТ-услугу в кратчайшие сроки, гарантируя ожидаемую функциональность, при этом с точки зрения безопасности важно, чтобы услуга соблюдала определенные требования по снижению рисков с целью защиты информационных активов бизнеса.
По этой причине важно, чтобы управление ИТ и безопасностью было поручено (возможно) разным людям, которые сравнивают и сотрудничают в диалектическом духе для достижения общей цели.
Нужны компетентность, опыт и специализация
Еще один аспект, который следует понимать и иметь в виду – это чрезвычайная сложность вопросов, решаемых в области безопасности, которые требуют высоких уровней компетентности, знаний, опыта и специализации в самых разных областях: от самой информационной безопасности до информационных технологий, юридических норм, управления рисками и соответствия требованиям и так далее. Специалисту в области информационной безопасности нужно быть не только ИТ-специалистом, но и «эффективным менеджером», оценивать бизнес-риски и в принципе разбираться в экономике предприятий. Это, если говорить в категориях технических квалификаций, роднит специалистов ИБ скорее не с рядовыми техническими специалистами, а с инженерными специальностями.
Инвентаризация активов с точки зрения данных
Четкое и точное определение того, какими активами необходимо управлять, имеет решающее значение, и прежде всего потому, что оно представляет собой первый шаг к анализу рисков.
Фактически, важно развивать информационную безопасность вокруг того, что действительно должно быть «защищено» с точки зрения конфиденциальности, целостности и доступности управляемых данных.
Нельзя недооценивать важность постоянного исследования и выявления внешних угроз, осуществляемого так называемым Центром управления безопасностью (SOC), который предоставляет, с одной стороны, данные о технологических, человеческих и организационных рисках, а с другой – данные о потенциальных угрозах, об уязвимостях и используемых эксплойтах, конкретных способов атак.
Сочетание инвентаризации активов и анализа угроз позволяет составить очень четкую картину активов, которыми необходимо управлять, на основе реальных угроз.
Цитируя Роджера Граймса, можно подытожить: «Размещение правильной защиты в нужных местах и в правильных количествах против правильных угроз».
Стратегия эшелонированной защиты
Один уровень безопасности просто не может быть эффективным в современном интеллектуальном и быстро развивающемся мире киберпреступности. Стратегия глубокоэшелонированной защиты создает более безопасную среду за счет наложения и даже дублирования определенных методов защиты, чтобы минимизировать вероятность кибератаки.
Этот подход появился с развитием мобильных технологий, IoT-устройств и ростом зависимости компаний от Интернета в целом. Конечные устройства, облачные сервисы и веб-приложения сегодня являются ключом доступа к данным, которые для киберпреступников более ценны, чем деньги.
Принятие стратегии, основанной на концепции пересечении множества мер безопасности, вероятно, является лучшим выбором для защиты активов компании.
Заключение
Когда в компании внедряется информационная безопасность, ее часто приходится помещать в реальность, которую нельзя назвать «идеальной». Это характеризуется отсутствием полного перечня того, что необходимо защищать, неопределенным периметром, интегрированными системами, устаревшими или частично устаревшими технологиями, определенной «неприязнью» к информационной безопасности, которая может быть воспринята, как ни странно, как препятствие на пути достижения бизнес-целей.
Для создания более безопасной и более защищенной цифровой среды в современных условия требуется переход к логике защиты данных «by design» и «by default». Концепция «Security By Design» – это подход, который включает меры по обеспечению безопасности программного обеспечения или системы с самого начала разработки, т.е. интеграция свойств безопасности в будущий продукт наравне с функциональными требованиями.
«Security By Default» – это настройки конфигурации по умолчанию, которые являются наиболее безопасными. Продукты с такими настройками по умолчанию защищают от наиболее распространенных угроз и уязвимостей без необходимости принятия пользователями дополнительных мер для их защиты.
Подобная модернизация ИТ- структуры позволяет не только оптимизировать бизнес-процессы, но и значительно сократить риски кибератак и потери чувствительных для бизнеса активов.
