Создают ли информационные технологии угрозу безопасности Вашей компании?

К сожалению, за всё надо платить. И за те плюсы, что дают современному бизнесу информационные технологии, как это не прискорбно, тоже. Давно уже стала банальной мысль, что с развитием современных технических средств число угроз для систем, использующих такие средства, возрастает. Какие это угрозы? В первую очередь - умышленные или случайные действия собственных сотрудников, постоянные вирусные и спам-атаки, заказные попытки взлома, а также стихийные бедствия. Главный ущерб от таких действий - утечка конфиденциальной информации. Далее по степени серьезности могут следовать уничтожение данных, внесение в эти данные несанкционированных изменений, выход из строя аппаратных или программных средств, внедрение "чужих" программных средств и т.д. Интересные результаты о классификации подобных рисков со стороны руководителей и специалистов по информационной безопасности (ИБ) дало всероссийское исследование "Внутренние ИТ-угрозы России в 2004", проведенное компанией Infowatch. Особенно хочется обратить внимание на следующий факт. Если сложить вместе все угрозы, которые так или иначе завязаны на собственных сотрудников, как то: действия инсайдеров, вредоносные программы (в большинстве случаев запускаемые именно сотрудниками), а также халатность, - получается совсем неприглядная картина. Безусловно, всё это можно расценивать, как очередные рекламные страшилки. А можно - как повод задуматься и попытаться найти решение этих непростых вопросов. Никоим образом не претендуя на полноту охвата, хочется остановиться на одном из возможных решений - аутсорсинге, передаче функций обеспечения информационной безопасности специализированной сторонней компании. Для нас такое решение представляет собой естественное продолжение классической услуги "Системное администрирование на базе ИТ-аутсорсинга". Не зря существует "народная" мудрость: "Наиболее безопасная сеть - хорошо-администрируемая сеть." Без всестороннего комплексного подхода, который устанавливает единую политику безопасности и строгий текущий контроль, существенно снизить ИТ риски практически невозможно. Постоянное развитие информационных технологий вызывает появление целого ряд новых проблем, которые должны оперативно фиксироваться и решаться специалистами по информационной безопасности.

Можно ли доверить безопасность в сфере ИТ сторонней организации?

Попробуем ответить на этот вопрос от противного. В каждой организации есть пользователи, обладающие практически неограниченными правами в сети. Это сетевые администраторы. Они никому неподконтрольны и могут делать в сети практически все, что угодно. Как правило, они используют свои неограниченные права для выполнения своих функциональных обязанностей. Но представьте на минуту, что администратор чем-то обижен. Будь-то низкой зарплатой, недооценкой его возможностей, местью и т.п. Известны случаи, когда такие обиженные администраторы "портили кровь" не одной компании и приводили к очень серьезному ущербу. Готовы ли Вы к такому повороту событий? Думаю, что нет.

С другой стороны аутсорсинг - это практически единственная возможность обеспечить надлежащий уровень безопасности для компаний среднего и малого бизнеса при минимизации вероятности развития событий по сценарию описанному выше, разумном уровне затрат, и их полной прозрачности. Знания, опыт, профессионализм, умение соединять теорию и практику, понимание потребностей и запросов бизнеса, ориентация на конечный результат, долгосрочное сотрудничество и партнерство - вот то, что отличает компанию предлагающую аутсорсинг от наемного работника. В этом смысле, информационная безопасность как упорядоченность и организованность информационных процессов и хранения информации, направлена, как и аутсорсинг, на повышение эффективности и устойчивости бизнеса.

Как мы можем Вам помочь?

Поскольку безопасность всегда связана с определенными угрозами, а наличие самых разных угроз постоянно во времени, то и саму защиту следует строить как непрерывный процесс. В этом процессе можно выделить следующие ключевые направления:

• определение угроз, разработка и внедрение политик безопасности, нормативов и правил работы для пользователей;
• аудит и контроль за работой пользователей, приложений, операционных систем;
• аудит и контроль хранилищ данных;
• аудит и контроль каналов передачи информации;
• выявление и контроль над возможными каналами утечки информации;
• документирование информационных потоков и процессов;
• организация обучения и повышения квалификации пользователей.

Проиллюстрируем это на примере. Фирма "А" строит свою защищенную информационную систему. В основании всего находятся угрозы. Допустим, в фирме "А" угрозу определили, как "увод" на сторону бухгалтерской базы и базы клиентов. Тогда меры противодействия этому могут быть следующими (сразу хочу сказать, что данные меры противодействия относятся к обычным людям, для киношных злодеев творящих зло ради зла, безусловно, необходимы другие способы воздействия):

• использование "тонких" бездисковых рабочих мест, запрет использования гибких дисков, USB-накопителй - противодействует выносу информации на съёмных носителях;
• использование системы мониторинга электронной почты - препятствует пересылке информации с помощью e-mail;
• использование системы мониторинга печати - убирает возможность бесконтрольной распечатки данных;
• система аудита телефонных звонков - может противодействовать передаче конфиденциальных данных по телефону;
• централизованное хранение данных пользователя на одном терминальном сервере дает возможность оперативного контроля за ВСЕМИ пользовательскими данными, в том числе службами мгновенного обмена сообщениями(icq, messenger и др.);
• политики безопасности запрещают запуск произвольных программ (кроме разрешенных), изменение настроек системы и ограничивают доступ к конфиденциальным данным.

Более подробно о реализации проекта построения защищенной сети вы можете узнать здесь.

Почему это Вам выгодно?

Первое и главное. Аутсорсинг дает Вам возможность привлечь к работе в своей компании высококлассных профессиональных специалистов, которых при обычном способе работы Вы не смогли бы себе позволить. В смысле информационных технологий, это дает Вам возможность перейти в абсолютно другую качественную плоскость, решить все свои застарелые проблемы, получить позитивный импульс развития и образно говоря "пересесть с Запорожца в Мерседес". Аутсорсинг позволяет руководству сконцентрироваться на основном бизнесе компании, не тратить силы, время и внимание на решение "непрофильных" вопросов, уменьшить издержки по содержанию собственного штата сотрудников: компьютер, оборудование рабочего места, аренда площадей под рабочее место, налоговые платежи и отчисления на фонд оплаты труда. В общем, все по пословице: "Сэкономленный пенни - заработанный пенни."