Наиболее распространенне проблемы ИТ-безопасности

С позиции неспециалиста все пробелы в защите данных означают, по существу, одно и то же: по одной из версий защищенная конфиденциальная информация оказывается раскрытой.

на самом же деле дыры бывают наиболее разных форм и размеров.

Для Bank of America к большой проблеме приведет потеря магнитных лент резервного копирования, тогда как в LexisNexis больше всего боятся взлома паролей. Для Fidelity Investments катастрофа - это потерянный лаптоп, а Для CardSystems - вторжение хакера.

Когда на карту поставлена конфиденциальность данных, беспокоиться и в правду есть о чем. Номера банковских карт покупателей имеют возможность быть созданы в безопасной базе данных, но весьма скоро эти данные разбегаются как тараканы - по множеству приложений, лент резервного копирования, лаптопов работников, вложений e-mail и Т. П.

Зайдите в комнату, полную ИТ-профессионалов, и спросите, где находятся Их личные данные - вам ответят взрывом хохота. Они этого просто не знают.

Типичный коленный рефлекс заключается в том, что в проблемах безопасности винят недостаток адекватных технологий предохранения. Годами Руководители заводов не имели представления - или не задумывались - об управлении ИТ-рисками и защитой информации. В результате Они недоинвестировали в эту сферу и остались незащищенными.

подавляющее число экспертов по безопасности горячо возразит на это, что слабая защита - только часть проблемы. Те, кто указывает пальцем на технологию, игнорируют тот факт, что Большинство организации уделяют немного внимания информированию и контролю за соблюдением правил и процедур безопасности.

Вот аналогия из реальной жизни. Я ежедневно езжу на рабочее место по 495-му шоссе в Массачусетсе. Существует ограничение скорости (105 км/час) и правила дорожного движения (обгонять слева, не пересекать сразу несколько полос и Т. П.), Так или иначе создается впечатление, ведь это никого не касается. Правоохранительные органы не в состоянии вылавливать всех нарушителей, Так что соблюдение правил остается на совести водителей. Определенные следуют им, другие не знают, что нарушают правила, а подавляющее число попросту Их игнорирует.

Точно Так же обстоит дело С защитой конфиденциальных данных. В большинстве организаций тоже есть " правила дорожного движения ", но немного где активно наблюдают за Их соблюдением.

не Так давно Фирма Enterprise Security Group, в которой Я работаю, опросила 227 экспертов по безопасности из северо-американских организаций С 1000 и не менее работников. Их обращались С просьбой оценить свое предприятие по ряду правил и процедур, связанных С безопасностью конфиденциальных данных. Не менее половины заявили, что в Их компании удовлетворительно или плохо " классифицируют и отслеживают передвижение конфиденциальных данных " и " информируют или обучают работников о правилах безопасности относительно конфиденциальных данных ".

43% заявили, что в Их компании удовлетворительно или плохо наблюдают за выполнением правил безопасности относительно конфиденциальных данных, и чуть не менее трети утверждают, что в Их компании удовлетворительно или плохо " управляют доступом к приватным данным ". Я мог бы продолжать и продолжать, но в целом картина ясна.

Итак, приватные данные хранятся на устройствах во всем предприятию, и ИТ-подразделение не знает, где именно. Граждане, имеющие доступ к этим данным, не проходят соответствующего обучения по защите данных, а служба безопасности не имеет адекватных инструментов Для наблюдения за поведением пользователей или Их принуждения к соблюдению правил. Так что же удивительного в том, что у нас проблемы?

Обвинять секьюрити-персонал и ИТ-менеджеров - это просто отговорка. Руководители не вложили достаточно средств в Безопасность или недостаточно интегрировали Ее в корпоративную культуру. Разработчики не прошли обучение безопасному программированию. Отделы кадров и юридические Отделы не в курсе уязвимостей технологии или ограничений средств предохранения. У директоров по информационным технологиям ограничены бюджеты и нет четко поставленных задач. Виноваты все.

Пора взглянуть фактам в лицо. Безопасность конфиденциальных данных - это большая, серьезная проблема, касающаяся каждого человека и каждой системы. Ее просто невозможно решить С помощью нынешних средств безопасности; нужны продуманные и скоординированные усилия всего предприятия.

Когда повествование ведется о безопасности конфиденциальных и приватных данных, избитая присказка ИТ-индустрии о " людях, процессах и технологии " вполне актуальна. Каждая из трех этих областей ужасно расстроена и остро нуждается в исправлении .