Почему владельцы бизнесов не понимают информационных угроз

Западных работодателей захлестнула новая тенденция — сотрудники работают на привычных им гаджетах, принесенных из дому. Концепция, получившая название BYOD (Bring Your Own Device — принеси собственное устройство), меняет парадигму офисной работы, добавляя к ней как свои плюсы, так и минусы. О балансе интересов и аспектах безопасности рассказывает Джо Скосич (Joe Skocich), консультант IBM и директор по продажам интеграционных решений в Q1 Labs, эксперт с многолетним стажем в области информационной безопасности.

- С появлением новых технологий возникают также новые угрозы информационной безопасности. Назовите тенденции, которые за последние несколько лет стали представлять собой наиболее реальные угрозы информационной безопасности компаний?

Джо Скосич: К одной из наиболее заметных тенденций я бы отнес практику использования сотрудниками личных устройств в рабочих целях. Вы наверняка слышали о концепции BYOD. Опасность заключается в том, что такие устройства находятся за пределами корпоративного контроля, а значит — несут угрозу корпоративной безопасности.

В последнее время компании предусматривают бюджеты на реализацию политики безопасности, которая регламентирует процедуру подключения личных устройств к корпоративной информационной среде. В рамках выполнения данной процедуры служба безопасности должна установить соответствие конфигурации устройства требованиям политики безопасности компании. Если устройство отвечает всем требованиям, его допускают к работе в корпоративной среде, а его владельца наделяют определенными правами доступа в соответствии с корпоративными политиками.

Раньше все было гораздо проще: сотрудники использовали в рабочих целях лишь служебный ПК или ноутбук, который предоставляла компания. Корпоративная служба безопасности могла беспрепятственно управлять средствами защиты рабочей среды подчиненных, устанавливая или обновляя необходимое ПО.

- Как в IBM определяют оптимальную середину между параноидальной сверх-безопасностью, основанной на полном запрещении, и вседозволенностью?

Д. С.: В IBM работают более 400 тыс. человек, у многих из них есть личные устройства, которые они хотели бы использовать в рабочих целях. Поэтому мы внедрили собственную политику безопасности в отношении принесенных устройств. В офисах компании по всему миру существуют специально отведенные места, где сотрудники могут настроить свои устройства в соответствии с требованиями корпоративных стандартов безопасности. После настройки любого устройства, служба безопасности IBM проверяет — правильно ли оно конфигурировано.

Если сотрудник отказывается принять условия корпоративной политики безопасности, он не сможет свое устройство использовать на работе. Исходя из нашего опыта реализации такой политики безопасности, могу сказать, что это одна из лучших практик на сегодня.

Но стоит отметить, что в настоящее время обеспечение политики информационной безопасности предприятия должно достигаться не только за счет работы штатного ИТ-специалиста и применения необходимых технологий, но и с помощью грамотного управления персоналом. В частности, сам работник должен брать на себя ответственность в определенных вопросах информационной безопасности, например, не открывать некоторые типы почтовых вложений или исключить из друзей в Facebook незнакомых людей, которые пытаются выведать конфиденциальную информацию.

- Существует мнение, что владельцы бизнеса иногда не понимают природу и важность кибер-угроз, поэтому часто бюджет на информационную безопасность является лишь частью общего ИТ-бюджета компании. Разделяете ли вы такое наблюдение?

Д. С.: В какой-то мере финансирование информационной безопасности компаний осуществляется по озвученному вами принципу. Чтобы понять, почему так происходит, нужно посмотреть на ситуацию с точки зрения бизнеса. Например, моя задача в компании заключается в увеличении прибыли. Задача руководителя ИТ-службы — сохранить деньги компании любыми возможными способами. Если я иду к СЕО и прошу о выделении средств, то получаю их, потому что мне они нужны, чтобы, к примеру, увеличить оборот и принести еще больше прибыли. Если же к СЕО идет руководитель ИТ-службы с просьбой увеличить финансирование, он скорее всего получит отказ, потому что его отдел не приносит прибыль, а наоборот выступает лишь затратной статьей.

Таким образом, бизнесмены очень часто действительно не понимают всю серьезность многих угроз информационной безопасности предприятия. Их философия заключается в том, что ИТ-служба при имеющихся ресурсах должна обеспечивать безопасность ведения бизнеса. Задача ИТ-службы в таких условиях — найти баланс между объемами финансирования политики обеспечения информационной безопасности компании и затратами на сервисное обслуживание ИТ-систем, закупку оборудования и т.п.

- Как, на ваш взгляд, изменится количество и качество угроз, направленных против информационной безопасности предприятий в 2013 году?

Д. С.: В некоторых регионах мира ситуация усугубится, в других — угроз станет меньше. В любом случае, в будущем будут оставаться популярными SQL-инъекции, получат большее распространение вирусные атаки с помощью заархивированных в несколько слоев PDF-файлов. Но особое внимание стоит обратить на методы социальной инженерии, когда, например, сотруднику через социальную сеть отправляют фотографию, при открытии которой в рабочее пространство интегрируется вредоносный код.

Читайте Comments.ua в Google News