2 октября 2017
Поделиться

Аудит информационной безопасности - основа умного инвестирования в ИТ

Фото: fotolia.com

Помимо ежедневного поддержания ИТ системы в рабочем состоянии и решения связанных с ним проблем в приоритет любого ИТ специалиста входит еще одна важная тема - информационная безопасность. В нее инвестируют все больше, а вступающий в силу в мае 2018 года общий регламент защиты персональных данных только усиливает тенденцию. Об инвестировании в информационную безопасность расскажет руководитель команды продаж AS Võrguvara Тауно Телвик.

Тауно Телвик на саммите "Интернет и информационная безопасность 2016". В этом году компания Võrguvara проводит форум "Интернет и информационная безопасность 360°", который состоится 5 октября 2017 года в  Mektory".
Тауно Телвик на саммите "Интернет и информационная безопасность 2016". В этом году компания Võrguvara проводит форум "Интернет и информационная безопасность 360°", который состоится 5 октября 2017 года в Mektory".  Фото: Kristi Kamenik

На рынке предлагается немало различных решений, которые при правильном применении в значительной мере помогают усилить информационную безопасность организаций. Начиная с антивирусных программ, файерволов, сандбоксов и криптования всех данных до программ тотального отслеживания действий работников.

Иногда информационная безопасность заключается не столько в технических решениях, сколько в информации, на базе которой выбираются решения и внедряются процессы. У ИТ-отделов, работающих в условиях постоянной перегрузки и переизбытка информации, может отсутствовать полный обзор и единое видение в их развитии. Может случиться так, что предприниматели инвестируют в стандартные решения, не всегда учитывая особенности организации и сферы деятельности.

Аудит помогает думать на два шага вперед

Для продуманного инвестирования необходима базовая информация. Стоит заказать тщательную оценку своих систем - зафиксировать инфраструктуру, права привилегированных пользователей, управление паролями, правила файерволов, сохранения данных, создание резервных копий, процессы обработки персональных данных, выявить слабые места в безопасности, протестировать информационную системы на атаки, протестировать решения безопасности на реальные атаки, оценить кибер-гигиену работников, зафиксировать используемые приложения, интернет-адреса и прочее.

Составленный по результатам подобного аудита рапорт даст достаточный обзор ситуации. В нем должны быть указаны риски, их потенциальный объем и вероятность реализации, а также предложения по модернизации, видение будущего и инвестиционный план.

Аудит информационной безопасности - это крупная и потенциально дорогая услуга, но все же не чрезмерная. Принятые на основании качественной информации инвестиционные решения, инциденты, которых удастся избежать, и ущерб, который может быть нанесен репутации, очень скоро оправдают себя.

После сбора, анализа информации и составления графика действий, можно быть уверенным, что инвестиции в файерволы, сандбоксы, криптографические программы, создание бэкапов, управление мобильным оборудованием, защиту от вредоносных программ и прочие решения по безопасности, будут приняты продуманно и будут использованы максимально эффективно.

Тауно Телвик на саммите "Интернет и информационная безопасность 2016". В этом году компания Võrguvara проводит форум "Интернет и информационная безопасность 360°", который состоится 5 октября 2017 года в  Mektory".
Тауно Телвик на саммите "Интернет и информационная безопасность 2016". В этом году компания Võrguvara проводит форум "Интернет и информационная безопасность 360°", который состоится 5 октября 2017 года в Mektory".  Фото: Kristi Kamenik

GDPR, или регламент защиты персональных данных Европейского союза вступил в силу в 2016 году и будет применен в мае 2018 года. Это касается всех компаний и организаций, которые обрабатывают данные физических лиц, в том числе для программ лояльности, рассылок, клиентских баз интернет-магазинов и пр.  Регламент устанавливает принципы обработки данных и предоставляет физическим лицам больший контроль над своими данными. В то же время, он заставляет организации устанавливать более жесткие процессы обработки данных и новые технические решения. Компании должны собирать данные обоснованно, быть готовы представить их субъекту и по его требованию удалить их. Следует прозрачно и конкретно запросить разрешение на сбор данных, и для лица отзыв такого разрешения должен быть столь же простым, как и его предоставление. Необходимо незамедлительно сообщать органу надзора об утечке данных, а в некоторых случаях - также субъекту данных. За нарушение требований предусмотрены довольно значительные штрафы.

Целостная информация и целостное решение

Информационная безопасность - это тема, требующая разностороннего подхода. Приведем в качестве примера дом - нет смысла устанавливать взломостойкую дверь, если окна распахнуты настежь. Также нет смысла инвестировать в железную дверь и решетки на окна, если знать, из чего сделаны двери. Подобные аспекты всегда учитываются при строительстве дома, но зачастую они упускаются при планировании информационной безопасности, поскольку было собрано и проанализировано слишком мало информации.

Организации должны уяснить, что именно они защищают, где расположена защищаемая информация, у кого есть доступ к ней, сколько она стоит, какой ущерб нанесет утечка информации, где может произойти утечка и многое другое.

Также следует учесть, что безопасность и применяемость не всегда идут рука об руку, иногда приходится искать компромиссы. Как правило, максимальная безопасность означает минимальное удобство пользования. Тем самым, необходимо зафиксировать также потребности бизнеса. Организации существуют не для того, чтобы удерживать информацию в руках и защищать ее, а для того, чтобы, используя информацию, заниматься основной деятельностью.

Перед выбором того или иного решения желаем собрать и проанализировать информацию, важную при принятии решения. И найти себе партнера, который может предложить как необходимый аудит, так и технические решения. При анализе касающейся безопасности информации ключевое значение имеет техническая компетенция.

Vorguvara

Компания Vorguvara предлагает широкий ассортимент продуктов, представляя большинство известных производителей решений для информационных сетей и информационной безопасности. Компания предлагает решения для компьютерных сетей и информационной безопасности на всех уровнях, начиная от создания сети и завершая безопасностью на самом высшем уровне. Целью является найти решение проблем клиента, а не подгонять одно решение ко всем проблемам. Значительную часть оборота Vorguvara составляет работа с инфосетями и информационной безопасностью, также компания предлагает решения "умного дома" входящей в тот же концерн фирме Nutimaja OU.

www.vorguvara.ee

Статьи по теме
Самое читаемое в ДВ

На этой странице используются cookies. Для продолжения просмотра страницы дайте согласие на использование cookies. Подробнее