Десять мифов об ИТ-безопасности
В Gartner отмечают наиболее распространенные преувеличения и ошибочные предположения, связанные как с угрозами, с которыми приходится сталкиваться бизнесу, так и с используемыми технологиями
«Вокруг темы информационной безопасности возникает масса преувеличений и ошибочных предположений, связанных как с угрозами, с которыми приходится сталкиваться бизнесу, так и с технологиями, используемыми для защиты важных информационных активов», – считает аналитик Gartner Джей Хайзер.
Из этих ложных предположений складываются «мифы безопасности», получившие широкое распространение в среде специалистов по безопасности, сотрудников, которых пытаются защитить от потери данных, и бизнес-менеджеров, склонных возлагать на директора по информационной безопасности вину за возникновение брешей и прочие происшествия. На конференции Gartner Security & Risk Management Summit Хайзер выступил с докладом, в котором назвал «Десять основных мифов, касающихся вопросов безопасности».
Миф №1. «Со мной такого не случится».
Причина. Привыкание к постоянным разговорам о риске, предоставление сотрудникам возможности поступать в соответствии со своими желаниями и избегать дополнительных затрат и ответственности.
Лекарство. Увяжите вопросы безопасности с ответственностью бизнеса. В этом вам поможет классификация проблем безопасности.
Миф № 2. «Бюджеты информационной безопасности составляют 10% общих расходов ИТ-службы».
Причина. Здесь желаемое выдается за действительное – исследования Gartner показывают, что эта цифра близка к 5%.
Лекарство. Предоставляйте реальные данные.
Миф № 3. «Риски безопасности можно оценить в количественном выражении».
Причина. Иллюзия того, что, если вы попытаетесь обосновать все в рамках электронной таблицы Excel, у вас появится свой бюджет на безопасность. Общее неверное восприятие «культуры, ориентированной на цифры», когда создается впечатление, что побеждает тот, у кого эти цифры больше.
Лекарство. Оценивайте риск не в цифрах, добейтесь того, чтобы бизнес-подразделения тоже несли ответственность за риски, связанные с ИТ.
Миф № 4. «У нас приняты все необходимые меры обеспечения физической безопасности (или используется технология SSL), поэтому ваши данные надежно защищены».
Причина. Принятие желаемого за действительное и слабое понимание рисков.
Лекарство. Добейтесь того, чтобы закупки средств безопасности соответствовали требованиям, предъявляемым к данным.
Миф № 5. «Регулярная смена паролей и усложнение технологий снижает риск».
Причина. Инертность. Мы знаем, что пароли далеки от совершенства, но их взлом – не главная причина утечек: как правило, пароли не взламываются, а перехватываются и выуживаются.
Лекарство. Необходимо решать все в комплексе.
Миф № 6. «Вывод директора по информационной безопасности из ИТ-службы способствует усилению защищенности».
Причина. Перекладывание ответственности. Старый трюк по решению культурных проблем путем очередной реорганизации.
Лекарство. Ищите глубинные причины слабых мест в программе безопасности.
Миф № 7. «Соблюдение правил безопасности – забота директора по информационной безопасности».
Причина. Перекладывание ответственности. В бизнес-подразделениях хотят, чтобы проблемами безопасности занимался кто-то другой, чтобы риски по-прежнему лежали на плечах директора по информационной безопасности и чтобы он не указывал им, что нужно делать.
Лекарство. Выстраивайте политику информационной безопасности в соответствии с корпоративной культурой.
Миф № 8. «Купите этот инструмент, и он решит все ваши проблемы».
Причина. Изыскивая волшебные решения сложных проблем, мы выдаем желаемое за действительное.
Лекарство. Осуществляйте методичный анализ рисков и расстановку приоритетов, составьте план обеспечения безопасности, рассчитанный на несколько лет.
Миф № 9. «Давайте сформулируем политики, и все будет хорошо».
Причина. Принятие желаемого за действительное.
Лекарство. Определите административную ответственность и тщательно подходите к выполнению своих обязанностей.
Миф № 10. «Шифрование – лучший способ держать конфиденциальные файлы в безопасности».
Причина. Когда шифрование работает, оно работает превосходно. Но шифрование может принести больше вреда, чем пользы, если люди наивно ждут, что сложная технология сама собой поможет уладить все вопросы.
Лекарство. Для того чтобы принимать такие решения, нужно обладать серьезным опытом работы с криптографическими средствами.
Многие из этих мифов возникают из-за склонности людей слишком остро реагировать на незнакомые ситуации и пытаться возложить вину за происходящее на кого-то другого. «Перекладывание ответственности на других является признаком бюрократического отношения к управлению рисками, – пояснил Хайзер. – Директору по информационной безопасности не следует мириться с обострением злободневных вопросов, особенно при активном использовании сотрудниками потребительских технологий».