Аутсорсинг информационной безопасности

Создают ли информационные технологии угрозу безопасности Вашей компании?

Наиболее опасные ИТ-угрозыК сожалению, за всё надо платить. И за те плюсы, что дают современному бизнесу информационные технологии, как это не прискорбно, тоже. Давно уже стала банальной мысль, что с развитием современных технических средств число угроз для систем, использующих такие средства, возрастает.  

Какие это угрозы? В первую очередь - умышленные или случайные действия собственных сотрудников, постоянные вирусные и спам-атаки, заказные попытки взлома, а также стихийные бедствия. Главный ущерб от таких действий - утечка конфиденциальной информации.

Далее по степени серьезности могут следовать уничтожение данных, внесение в эти данные несанкционированных изменений, выход из строя аппаратных или программных средств, внедрение "чужих" программных средств и т.д.

Интересные результаты о классификации подобных рисков со стороны руководителей и специалистов по информационной безопасности (ИБ) дало всероссийское исследование "Внутренние ИТ-угрозы России в 2004", проведенное компанией Infowatch.

Особенно хочется обратить внимание на следующий факт. Если сложить вместе все угрозы, которые так или иначе завязаны на собственных сотрудников, как то: действия инсайдеров, вредоносные программы (в большинстве случаев запускаемые именно сотрудниками), а также халатность, - получается совсем неприглядная картина.

Безусловно, всё это можно расценивать, как очередные рекламные страшилки. А можно - как повод задуматься и попытаться найти решение этих непростых вопросов. Никоим образом не претендуя на полноту охвата, хочется остановиться на одном из возможных решений - аутсорсинге, передаче функций обеспечения информационной безопасности специализированной сторонней компании. 

Для нас такое решение представляет собой естественное продолжение классической услуги "Системное администрирование на базе ИТ-аутсорсинга". Не зря существует "народная" мудрость: "Наиболее безопасная сеть - хорошо-администрируемая сеть." Без всестороннего комплексного подхода, который устанавливает единую политику безопасности и строгий текущий контроль, существенно снизить ИТ риски практически невозможно.

Постоянное развитие информационных технологий вызывает появление целого ряд новых проблем, которые должны оперативно фиксироваться и решаться специалистами по информационной безопасности.

Можно ли доверить безопасность в сфере ИТ сторонней организации?

Попробуем ответить на этот вопрос от противного. В каждой организации есть пользователи, обладающие практически неограниченными правами в сети. Это сетевые администраторы. Они никому неподконтрольны и могут делать в сети практически все, что угодно. Как правило, они используют свои неограниченные права для выполнения своих функциональных обязанностей.

Но представьте на минуту, что администратор чем-то обижен. Будь-то низкой зарплатой, недооценкой его возможностей, местью и т.п. Известны случаи, когда такие обиженные администраторы "портили кровь" не одной компании и приводили к очень серьезному ущербу. Готовы ли Вы к такому повороту событий? Думаю, что нет. 

С другой стороны, аутсорсинг - это практически единственная возможность обеспечить надлежащий уровень безопасности для компаний среднего и малого бизнеса при минимизации вероятности развития событий по сценарию описанному выше, разумном уровне затрат, и их полной прозрачности.

Знания, опыт, профессионализм, умение соединять теорию и практику, понимание потребностей и запросов бизнеса, ориентация на конечный результат, долгосрочное сотрудничество и партнерство - вот то, что отличает компанию предлагающую аутсорсинг от наемного работника.

В этом смысле, информационная безопасность как упорядоченность и организованность информационных процессов и хранения информации, направлена, как и аутсорсинг, на повышение эффективности и устойчивости бизнеса.

Как мы можем Вам помочь?

Поскольку безопасность всегда связана с определенными угрозами, а наличие самых разных угроз постоянно во времени, то и саму защиту следует строить как непрерывный процесс. В этом процессе можно выделить следующие ключевые направления:

  • определение угроз, разработка и внедрение политик безопасности, нормативов и правил работы для пользователей;
  • аудит и контроль за работой пользователей, приложений, операционных систем;
  • аудит и контроль хранилищ данных;
  • аудит и контроль каналов передачи информации;
  • выявление и контроль над возможными каналами утечки информации;
  • документирование информационных потоков и процессов;
  • организация обучения и повышения квалификации пользователей.

Проиллюстрируем это на примере. Фирма "А" строит свою защищенную информационную систему. В основании всего находятся угрозы. Допустим, в фирме "А" угрозу определили, как "увод" на сторону бухгалтерской базы и базы клиентов. Тогда меры противодействия этому могут быть следующими (сразу хочу сказать, что данные меры противодействия относятся к обычным людям, для киношных злодеев творящих зло ради зла, безусловно, необходимы другие способы воздействия):

  • использование системы мониторинга электронной почты - препятствует пересылке информации с помощью e-mail;
  • использование системы мониторинга печати - убирает возможность бесконтрольной распечатки данных;
  • система аудита телефонных звонков - может противодействовать передаче конфиденциальных данных по телефону;
  • централизованное хранение данных пользователя на одном терминальном сервере дает возможность оперативного контроля за ВСЕМИ пользовательскими данными, в том числе службами мгновенного обмена сообщениями(icq, messenger и др.);
  • политики безопасности запрещают запуск произвольных программ (кроме разрешенных), изменение настроек системы и ограничивают доступ к конфиденциальным данным.
Почему это Вам выгодно?

Первое и главное. Аутсорсинг дает Вам возможность привлечь к работе в своей компании высококлассных профессиональных специалистов сопровождения систем ИТ, которых при обычном способе работы Вы не смогли бы себе позволить.

В смысле информационных технологий, это дает Вам возможность перейти в абсолютно другую качественную плоскость, решить все свои застарелые проблемы, получить позитивный импульс развития и образно говоря "пересесть с Запорожца в Мерседес".

Аутсорсинг позволяет руководству сконцентрироваться на основном бизнесе компании, не тратить силы, время и внимание на решение "непрофильных" вопросов, уменьшить издержки по содержанию собственного штата сотрудников: компьютер, оборудование рабочего места, аренда площадей под рабочее место, налоговые платежи и отчисления на фонд оплаты труда. 

В общем, все по пословице: "Сэкономленный рубль- заработанный рубль".


Яндекс.Метрика Рейтинг@Mail.ru