06.10.2015 11:40
Новости.
Просмотров всего: 2585; сегодня: 2.

Информационная безопасность: время перемен

Блог старшего вице-президента Cisco, главного директора компании по вопросам информационной безопасности Джона Стюарта (John Stewart)

В США октябрь по традиции объявлен месяцем информационной безопасности (National Cyber Security Awareness Month). В этом году основной темой соответствующих мероприятий станет то, насколько важно воспринимать информационную безопасность (ИБ) не как абстрактную идею, а как часть планируемой бизнес-стратегии, ответственность за которую разделяют все руководители.

Мы в компании Cisco считаем, что в настоящее время для сферы ИБ важнее всего изменить отношение к двум аспектам. Во-первых, необходимо признать, что для каждой организации область ИБ имеет стратегическую важность, поэтому она должна быть подконтрольна и подответственна высшему руководству. Во-вторых, поставщики ИТ-решений (как и вендоры, включающие информационные технологии в свою продукцию) должны предоставлять такие товары, услуги и решения, которым заказчики смогут безусловно доверять.

Благодаря своему глобальному присутствию в сфере обеспечения ИБ компания Cisco обладает огромным количеством данных об интернет-атаках, зараженных сайтах, вредоносном ПО и киберпреступной активности. Это дает уникальную возможность хорошо понимать факторы ИБ, оказывающие значительное влияние на бизнес. Кроме того, последние годы компания Cisco принимает непосредственное участие в анализе и нейтрализации каждого крупного инцидента ИБ.

Благодаря этому удалось существенно усовершенствовать знание современного ландшафта киберугроз и понять, насколько в последнее время усложнились методы, применяемые киберпреступниками. Недавние отчеты Cisco по информационной безопасности содержат детальную информацию о том, сколь значительно продвинулись киберпреступники в области теневой экономики и как непросто специалистам сферы ИБ успевать за злоумышленниками.

Наибольшее беспокойство вызывает то, что возможности киберпреступников непрерывно растут, особенно в том, что касается компрометации систем безопасности и уклонения от обнаружения. В первой половине 2015 года визитной карточкой злоумышленников стало настойчивое стремление разрабатывать новые и совершенствовать старые стратегии по уклонению от систем обнаружения. Благодаря таким, например, тактикам как обфускация (запутывание) кода, киберпреступникам часто удается преодолеть системы защиты и долгое время незаметно осуществлять вредоносную активность.

Два фактора, способные улучшить защиту

В нынешнее время организации уже не могут позволить себе рассматривать риски ИБ наравне с прочими бизнес-рисками. Поэтому первое, что необходимо изменить, — это отношение к информационной безопасности. Важно, чтобы ИБ и сопутствующие риски находились под особым контролем высшего руководства (советов директоров, генеральных и исполнительных директоров): в современных реалиях необходим именно такой уровень внимания.

Поскольку сама по себе сфера ИБ обычно высшему руководству плохо понятна, нужны инвестиции в надежные источники информации. Такими источниками могут стать, например, соответствующие правоохранительные органы или частные эксперты. Очень важно начать рассматривать риски ИБ отдельно ото всех прочих рисков, учитываемых в организации. Нужно отказаться от привычных сценариев: те способы, которыми ИБ реализовывалась на протяжении последних 20–30 лет, стали неадекватны перед лицом современных киберугроз.

Высшее руководство организаций нуждается в расширении своих представлений об информационной безопасности, и для начала следует ответить на следующие вопросы:

• какие угрозы имеют непосредственное отношение к деятельности организации?

• Какая часть рабочих процессов организации подключена к Интернету, каким образом осуществляется подключение, какие сервисы имеют критически важное значение и кто отвечает за все это?

• Существует ли специальная стратегия для сферы информационных технологий, и если да, то кто ее контролирует?

• Имеются ли официально утвержденные процедуры реагирования на инциденты ИБ?

• Имеются ли процедуры раскрытия информации?

• Каковы отношения с органами государственного управления и правоохранительными органами?

• Насколько имеющиеся системы контроля соответствуют рискам?

• Что еще нужно выяснить?

Руководство организаций должно понимать риски ИБ примерно так же, как понимаются финансовые или другие бизнес-риски в контексте деловых операций. Руководители ИТ-направлений, в свою очередь, должны уметь доходчиво излагать все эти соображения, то есть объяснять, какие средства применяются для достижения поставленных целей и почему были выбраны именно эти средства.

Надежность ИТ-поставщиков

Огромное значение имеет доказанная и поддающаяся проверке надежность ИТ-поставщиков. Именно поэтому компания Cisco создала концепцию жизненного цикла безопасной разработки Cisco Secure Development Lifecycle (Cisco SDL), который позволяет гарантировать, что безопасность играет центральную роль в процессе разработки продукта. Cisco SDL — это воспроизводимый и измеримый процесс, разработанный для того, чтобы производитель мог обеспечить отказоустойчивость и надежность своей продукции, а заказчики могли быть уверены, что внедряют высококачественные и надежные решения. Все чаще организации по всему миру требуют, чтобы безопасность была интегрирована во все стадии жизненного цикла продукции. При этом большое значение имеет прозрачная, открытая культура компании-поставщика, позволяющая включить политики, процессы, деятельность и партнерские отношения. Это — второй фактор, который может значительно улучшить защищенность организаций.

Прошли времена, когда можно было полагаться на подразумеваемую, но не гарантированную явным образом безопасность. Поскольку современный цифровой мир отличается стремительной изменчивостью и несет значительные риски киберугроз, организациям необходимы проверяемые, надежные сетевые архитектуры, основанные на безопасном ПО и оборудовании и подкрепленные тщательно рассчитанными практиками защиты бизнес-деятельности.

Не все из вышеперечисленного легко реализовать на практике, но это — необходимые шаги к повышению безопасности. Будучи привержена идее защиты своих заказчиков и их данных, компания Cisco предпринимает активные меры по обеспечению безопасности и надежности вычислительных сетей, а также строго придерживается принципов жизненного цикла безопасной разработки (SDL) при создании продукции и услуг. Cisco делает все возможное для того, чтобы обеспечить безопасность своей производственной деятельности. Это — необходимое условие, позволяющее создавать и предоставлять по-настоящему надежную продукцию. Цифровая эпоха диктует свои условия: вопросы безопасности и надежности становятся критически важной частью любого решения о закупке.

Взгляд в будущее

К сожалению, в настоящее время «доверие» — едва ли не последнее слово, ассоциируемое с Интернетом. Столь безотрадная ситуация нуждается в изменении. Информационная и сетевая безопасность должна стать основой любой деятельности, для этого ее необходимо обеспечивать на всем протяжении жизненного цикла продукции. Руководители должны принимать в этом активное участие и брать на себя ответственность за обеспечение ИБ. Месяц информационной безопасности —подходящее время для того, чтобы начать движение в этом направлении. Очень важно уже сегодня убедиться, что имеющиеся инфраструктуры, процессы, политики, продукты и услуги в достаточной степени гибки, открыты и безопасны для того, чтобы соответствовать вызовам завтрашнего дня.

Более подробную информацию о том, как Cisco обеспечивает безопасность и открытость, необходимые заказчикам для управления рисками, можно получить на сайте нашего Центра доверия и открытости (Trust and Transparency Center).


Ньюсмейкер: cisco — 3787 публикаций
Поделиться:

Интересно:

325 лет назад Петр I издал указ о праздновании Нового года 1 января
20.12.2024 13:05 Аналитика
325 лет назад Петр I издал указ о праздновании Нового года 1 января
До конца XV века Новый год на Руси праздновали 1 марта. Эта точка отсчета была связана с тем, что в марте земля пробуждалась от зимнего "сна", начинался новый посевной сезон. С 1495 года Московский государь Иван III приказал перенести празднование Нового года на 1 сентября. Причин для...
19.12.2024 19:56 Интервью, мнения
Праздник к нам приходит: как поддержать атмосферу Нового Года в офисе
Конец года — самое жаркое время за все 12 месяцев, особенно для компаний. Нужно успеть закрыть все задачи, сдать отчёты, подготовить планы, стратегии и бюджеты. И, конечно же, не забывать про праздник, ведь должно же хоть что-то придавать смысл жизни в декабре, помимо годового бонуса.  Не...
Прозвища бумажных денег — разнообразные и многоликие
19.12.2024 18:17 Аналитика
Прозвища бумажных денег — разнообразные и многоликие
Мы часто даем прозвища не только знакомым людям и домашним питомцам, но и вещам, будь то автомобили, компьютеры, телефоны… Вдохновляемся цветом или формой, называем их человеческими именами и даем понять, что они принадлежат только нам и имеют для нас...
Советская военная контрразведка
19.12.2024 17:51 Аналитика
Советская военная контрразведка
Советская военная контрразведка появилась в годы Гражданской войны и неоднократно меняла свою подчиненность, входя то в структуру военного ведомства, то в госбезопасность. 30 мая 1918 г. учрежден первый орган военной контрразведки Красной армии – Военный контроль Оперативного отдела Народного...
Защитить самое ценное: История страхования в России
18.12.2024 13:22 Аналитика
Защитить самое ценное: История страхования в России
С давних времен человек стремится перехитрить свою судьбу. Люди желают знать, что будет, чтобы вовремя подготовиться к возможным перипетиям и обезопасить свое будущее. Вот только карты и гадалки в этом вопросе бессильны, куда надежнее справиться с рисками помогают...