Обеспечение ИТ-безопасности — средства мимо цели?
Думаю, не надо никому объяснять, что обеспечение ИТ-безопасности для компании задача весьма важная. Однако, всегда ли средства, затрачиваемые на цели расходуются эффективно? По мнению специалистов компании Verizon Business, до 40% денег, выделяемых компаниями на обеспечение ИТ-безопасности расходуются вхолостую из-за неправильного определения вероятных угроз. Основными угрозами (и соответственно это основные статьи расходов на обеспечение ИТ-безопасности) многие компании считают собственных сотрудников, однако, анализ краж данных из компаний за последние пять лет показал, что персонал компаний обеспечивал лишь 11% успешных утечек информации. Немного неожиданные данные?
Кстати, по данным той же Verizon, наибольшую опасность для организаций в сфере ИТ-безопасности представляют… собственные специалисты по ИТ-безопасности, как лица имеющие практически полный доступ к данным своей компании. Причём, для доступа к этим данным им не обязательно физически находиться в компании. Зная пароли, уровни доступа и имея ключи шифрования, такой сотрудник, даже уже не работая на компанию, способен при желании удалённо проникнуть (иногда при помощи взлома) в систему, ну а дальнейшее зависит от целей такого сотрудника, последствия представить может каждый — от хищения или уничтожения данных до дезорганизации работы системы.
На долю же внешних “специалистов” приходится уже более 40% успешных краж. При этом, риск потерять данные при смешанной схеме компрометации “сторонняя организация + ваш бизнес-партнёр” составляет уже солидные 74%.
Таким образом становится ясно, что если компания при обеспечении безопасности ИТ в основном тратит средства на «борьбу» со своими сотрудниками, то остальные, более вероятные направления компрометации данных остаются оголёнными.
Ещё одна слишком переоценённая угроза, на которую зачастую тратятся немалые средства — обновления ПО. По мнению специалистов Verizon своевременное обновление ПО уменьшает угрозы безопасности компании всего на 2%, в то время как строгий контроль за политиками доступа и война с “паролями по умолчанию” или “паролями которые знают все” поднимает общий уровень безопасности на внушительные 25%.
Главное, на что следует обращать особое внимание, это безопасность серверов (в том числе и их физическое расположение), мест хранения информации и соединений между ними. Грамотная организация этих трёх основополагающих факторов позволит снизить риски безопасности на величину до 85%.
Основная ошибка специалистов по ИТ-безопасности в компаниях в том, что они в основном озабочены анализом уязвимости отдельных машин, в то время как основное внимание следует сосредоточить на анализе уязвимости всей сетевой инфраструктуры компании в целом, в которой рабочие места персонала компании всего лишь элемент системы. Внедрение такого комплексного подхода, с грамотным распределением ресурсов пропорционально вероятности возникновения угроз безопасности ИТ позволит значительно снизить риск возникновения угроз для вашей компании.
