McAfee o zarządzaniu bezpieczeństwem IT

"Firmy muszą racjonalniej inwestować w zarządzanie bezpieczeństwem, zamiast po prostu zwiększać wydatki" - powiedział Greg Day, analityk do spraw bezpieczeństwa dla regionu EMEA w firmie McAfee

Pytaniem często powtarzającym się w biznesie jest to, czy uzyskiwane efekty uzasadniają dokonane inwestycje. W obliczu aktualnego kryzysu kredytowego na amerykańskim rynku i konieczności kontroli kosztów to pytanie nabiera jeszcze większego znaczenia.

Zważywszy, że zapewnienie bezpieczeństwa systemom informatycznym uważa się zwykle za kosztowne, kwestia stosunku nakładów do korzyści staje się dla firm krytyczna. Szefowie działów informatycznych muszą często przekonywać zarządy firm o korzyściach związanych z inwestycjami na IT i objaśniać czynniki mogące w istotnym stopniu wpływać na zyski i straty.

Inną ważną kwestią jest wybór dostępnych rozwiązań bezpieczeństwa, z których każde, wykorzystując inne mechanizmy, w nieco inny sposób traktuje zagrożenia. Mnogość rozwiązań może prowadzić często do dezorientacji. Skutkuje to przedłużaniem się procesu decyzyjnego, ponieważ osoby odpowiedzialne za decyzje w kwestii IT czekają na opinie innych, zamiast ocenić swoje rzeczywiste potrzeby. Decyzja w stylu "kupię to, co inni" może mieć poważne konsekwencje w postaci inwestowania w rozwiązania nieadekwatne do potrzeb lub, co gorsza, pozostawienia newralgicznych punktów bez ochrony.

Podstawową sprawą jest uświadomienie sobie, że potrzeby w zakresie bezpieczeństwa IT są sprawą indywidualną i jako takie są inne dla różnych użytkowników. Na przykład, ze względu na rodzaj przechowywanych danych i dostęp do nich, wymagania dotyczące bezpieczeństwa IT w zakładzie produkcyjnym będą zupełnie inne niż w placówce służby zdrowia, choć liczba pracowników może być w nich zbliżona. Podobnie firma, której działanie zależy od elektronicznej komunikacji z klientami, będzie miała w zakresie bezpieczeństwa inne potrzeby, niż tradycyjny zakład produkcyjny. Dlatego osoby odpowiedzialne za decyzje w zakresie inwestycji w informatyzację powinni starannie ocenić rzeczywiste potrzeby firmy, jej zasoby, słabe punkty i zagrożenia.

Jedynie wtedy będą świadomi sytuacji i będą mogli określić, jak w rozsądny sposób zrównoważyć wydatki na bezpieczeństwo IT z wynikającymi z tego korzyściami.

Technika to tylko część rozwiązania

Niektóre firmy tkwią w błędnym przekonaniu, że dla wyeliminowania problemów wystarczy wdrożyć standardowe rozwiązania techniczne, procesy lub polityki bezpieczeństwa. Może się jednak zdarzyć, że te konkretne środki nie odpowiadają w pełni rzeczywistym problemom lub nie są stosowane w sposób odpowiedni do sytuacji. Czynnikiem, który należy uwzględnić przede wszystkim jest zachowanie ludzi.

Niedawno, w wyniku zmasowanego ataku, ponad 200 tysięcy stron internetowych zostało zmodyfikowanych tak, by kierowały użytkowników na stronę rozsiewającą złośliwe oprogramowanie. Atakowi uległo wiele witryn godnych zaufania, w tym nawet strona jednej z firm zajmującej się bezpieczeństwem IT. W tej sytuacji koncentracja wyłącznie na procedurach dostępu do stron zaufanych będzie niewystarczającym zabezpieczeniem. Użytkownik otwierając rzekomo znaną witrynę nie ma świadomości, że jest poddany atakowi. Przykład ten uzasadnia potrzebę regularnej weryfikacji i skutecznego zarządzania bezpieczeństwem. Firmy, które nie poświęcają ciągłej uwagi ocenie potencjalnych słabych punktów użytkowanych systemów, mogą się stać łatwym celem ataków. Wiedza jest podstawą profilaktyki.

Balans wymagań i możliwości

Najskuteczniejszym podejściem do ograniczania zagrożeń jest ocena jakości systemów bezpieczeństwa przez określanie słabych punktów oraz określenie najbardziej istotnych zasobów, które mają podlegać ochronie. Proces polega na identyfikacji zasobów, ocenie i uszeregowaniu słabych punktów systemu zabezpieczeń, a następnie monitorowaniu i zarządzaniu jego procesami i elementami składowymi. Zasobom przypisuje się wymierne wartości zależne od ich znaczenia. Pozwala to zapewnić szczególną ochronę obszarów związanych z najcenniejszymi zasobami, które w związku z tym są najbardziej zagrożone.

Możliwość precyzyjnego określenia obszarów zawierających newralgiczne dane pozwala uszeregować zagrożenia i słabe punkty według konieczności ich eliminacji i skoncentrować działania i inwestycje tam, gdzie to najbardziej potrzebne. Ułatwia to tworzenie indywidualnie dopasowanych planów bezpieczeństwa IT oraz strategii uwzględniających istniejące i nowe programy bezpieczeństwa.

Firmy, które dokonały oceny słabych punktów, osiągają też zazwyczaj wyższą efektywność systemów zabezpieczeń, generujących niższe koszty i zapewniających szybsze zwroty z inwestycji - wszystko to pomaga przedstawić zarządom ekonomiczną zasadność wydatków na ten cel.

Należy jeszcze raz podkreślić, że rozwiązania dotyczące bezpieczeństwa stanowią część większej całości. Osiągnięcie równowagi między poziomem zagrożeń a istotnością zasobów oznacza, że odpowiednie zasoby są chronione przez środki adekwatne do zagrożeń.

Bez skutecznych metod oceny wpływu ludzi, procesów i stosowanej techniki zabezpieczeń, bezpieczeństwo zasobów jest kwestią szczęścia, a katastrofa w postaci naruszenia naszego systemu i nieautoryzowanego dostępu do chronionych zasobów wisi w powietrzu.

Informacja firmy McAfee www.mcafee.com


Zobacz również