28.02.2018

5 стратегических приоритетов для директора по безопасности

Последнее время мы часто видим новости, связанные с кибератаками. А это говорит о том, что проблема безопасности в сети стоит очень остро. Что же делать, чтобы компания и вместе с ней клиенты не пострадали от кибератак? Какие меры должны предпринять люди, ответственные за безопасность? Отвечаем далее в статье.

Как утверждают специалисты, сейчас нельзя защитить ИТ-систему только лишь с помощью файервола. На самом деле, новые инициативы, которые предлагают и создают сотрудники, делают только хуже. Речь идет об уменьшении этапов разработки приложений, увеличении количества применяемых открытых облаков, улучшении «маневренности» сотрудников и большой выбор используемых ими технологий.

В этом году у директора по безопасности в приоритете помощь компаниям в достижении поставленных целей. Работникам в свою очередь необходимо четко понимать риски и уменьшать их. Естественно, это не так просто. Однако, Акшай Бхаргава (вице-президент Cloud Business Group Oracle) считает, что высокого уровня безопасности можно добиться с помощью 5 стратегий.

1. Защита во время разработки

По словам А. Бхаргава, прежде всего создатели ПО хотят, чтобы их продукт использовали. Сначала потенциальные пользователи обратят внимание при открытии новой программы процесс обеспечения защиты и идентификации. Судя по недавнему исследованию McKinsey, для получения и удержания большого количества пользователей приложение должно быть простым и безопасным. Однако почему-то при разработке в приоритете всегда простота, но не безопасность. Хотя она тоже влияет на количество пользователей.

Необходимо обратить внимание на облака для управления идентификацией, что предлагают сотрудникам быстро выполнить аутентификацию в приложении и надежной, и легкой.

Помимо этого, вице-президент подчеркивает, что методы обеспечения защиты должны использоваться во время создания ПО, а не просто дополнительными опциями. Иначе разработчики будут концентрироваться на быстрой реализации выпуска ПО, а безопасность отойдет на второй план, если не далее.

На сегодняшний день руководителей ИТ-отделов должны сотрудничать с разработчиками приложений для того, чтобы выполнить безопасно  DevOps (development и operations), не нуждающийся остановки всей системы ради отдельных инструкций по защите. Акшай Бхаргав рекомендует действовать на опережение. Также важно применять необходимые технологии, действия и методы обучения работников, что гарантируют, что защита будет интегрирована во все этапы разработки ПО. Например, Oracle применяет метод Software Security Assurance (гарантированной защиты софта) для безопасности при проектировании, создании, тестировании и техподдержке своих решений.

77ef1196f969b5c197f993f64c980d02

2. Автономные IT-процессы для защиты корпоративной информации

В нынешнем году 2 аспекта безопасности данных будут требовать большей автономности.
Во-первых, это чрезмерная нагрузка системы безопасности разными уведомлениями. Современные смешанные ИТ-системы осуществляют оче много предупреждений безопасности (более 10 тыс.), чтобы с этим потоком мог справиться человек. Во-вторых, это скрытые бреши. ИТ-отделу нужно равномерно распределять время работы, чтобы поставить на паузу работу программного обеспечения и сделать в нем заплатки его. А поскольку на это не всегда находят время, БД, ПО с открытым исходным кодом, сетевое ПО, серверное оборудования остаются без должной защиты долгое время после обнаружения уязвимости и широкого распространения информации о ней среди хакеров.

Эти две проблемы можно решить посредством автономных процессов, которые по возможности выполняются без участия человека. Для регулировки оповещений систем безопасности, ответственному за безопасность следует обратить внимание на облачные решения, такие как автономная БД от Oracle. Получив сообщение от систем защиты, она применяет большие мощности для вычислений и алгоритмы МО при поиске, проверке и ликвидация пробелов в защите без человеческого вмешательства. Для автообновления всего комплекса ПО в момент выпуска заплатки без остановки работы. Директору по безопасности нужно обратить внимание на облачную инфраструктуру.

3. Комплексный подход к регулированию и отчетности

Уметь продемонстрировать умение защищать информацию, почти так же важно, как защищать её. Для этого есть 2 основные причины. Во-первых, регулирующие органы усложнили правила предоставления безопасности корпоративной информации.

Во-вторых, директору по безопасности необходимо повысить эффективность соблюдения норм. В исследовании «Общество для Информационного Менеджмента», во время которого были опрошены более тысячи ИТ-руководителей, отмечается, что кибербезопасность стала для компаний проблемой номер один в сфере ИТ и вопросом, который больше всего их беспокоит. Однако в прошлом году компании потратили меньше денег на защиту инфраструктуры в процентах от своего ИТ-бюджета в общем, чем 2 года назад. В нынешнем году директору по безопасности потребуется продолжать объединять инфраструктуру в систему. Одна из её основных задач — соответствие нормам.

Важным побочным эффектом данного процесса является то, что он поможет отчитываться перед руководством компании, представляя им достоверную оценку состояния безопасности. Это подводит нас к другой приоритетной задаче.

4. Показатели безопасности для генеральных директоров

Руководство компаний считает, что оценить уровень защиты данных очень проблематично. Именно поэтому важно иметь четкие и понятные показатели состояния безопасности. Руководство должно видеть уровни риска для компании, чтобы принимать продуманные решения о том, как оперативно их сократить, уменьшить растраты и продолжить внедрение новых технологий.

Например, корпоративный Центр безопасности каждый день получает более 1 тыс. оповещений. Такие показатели как «Среднее время реагирования» должны давать директору по ИБ понимание того, как эти предупреждения проходят обработку. Сводки метрики показывают количество оповещений было получено, сколько из них было реальными, сколько времени нужно было для реагирования на реальные тревожные уведомления. Более быстрое реагирование значит, что у злоумышленников намного меньше времени на то, чтобы попасть в систему и выйти из неё незаметно, прежде чем инструменты защиты безопасности их остановят. Такое объяснение будет понятно гендиректору и совету директоров.

Это возвращает к упомянутой выше автоматизации. Директора по безопасности должны сфокусироваться на внедрении автономного ПО, которое может получать уведомления и применять ML-технологии для выявления чего-то аномального, зная, что с этим делать. Система должна выполнять управления, анализ, устранение проблем и завершение работы без человеческого участия.

Затем система может сгенерировать отчет по среднему времени реагирования, которое поможет руководителям компаний почувствовать себя более осведомленными о состоянии безопасности ИТ.

5. Надёжная защита бренда

При проникновении злоумышленников в систему и потере данных, ущерб для репутации бренда будет более губителен для компании, чем отказ системы. Даже самые уважаемые бренды в результате нарушения безопасности могут потерять много денег на фондовом рынке. Но директор по безопасности способен помочь пресечь волну негативных публикаций, продемонстрировав быструю и профессиональную реакцию.

Стоит надеяться на лучшее, но готовиться к худшему. В процессе решения проблем безопасности должны участвовать все сотрудники.

Для директора по безопасности всегда лучше своевременно обнаружить вторжение хакеров и остановить их, прежде чем они украдут данные. Но, даже если этого не произойдет нужно иметь под рукой детальную инструкцию и научить сотрудников компании следовать ей.

В конце можем добавить, что указанные выше стратегии должны быть внедрены в каждой компании, вне зависимости от их рода деятельности.

По материалам Oracle