Аудит информационной безопасности – блажь или необходимость?

ИБ Сегодня

Последнее время всё больше говорят о возникающих угрозах «из интернет» — для домохозяйки и школьника, топ-менеджера или чиновника. Компьютер прочно вошел в нашу жизнь, стал сокровищницей наших знаний, незаменимым помощником в работе и простым «гаджетом» для развлечений. Большинство информации мы теперь храним в компьютере – удобно, быстро найти, не занимает много места, плюс плюшки в виде напоминалок, закладок, планирования, систематизации и много еще чего. Для бизнеса информационные технологии – возможность существенно повысить эффективность работы своих сотрудников – от помощника специалиста до руководителя.
Наполеон говорил, — «Кто владеет информацией, тот владеет миром». Защитить информацию, хранящуюся в электронном виде, особенно если к ней есть потенциальный доступ из сетей (не имеет значения, локальной или глобальной, т.е. Интернет) гораздо сложнее, чем физические носители (книги, журналы, документы и т. д.). Именно поэтому слова Наполеона сейчас актуальны как никогда.аудит информационной безопасности

При этом, если «извлечение» информации из компьютера школьника или домохозяйки несет риски потери любимых фотографий, каких-то документов, что в принципе не критично, то получение несанкционированного доступа к корпоративным данным организации может поставить под угрозу сам факт её существования.

В России не каждый руководитель умеет правильно оценивать риски и, тем более, тратиться на малопонятные ему вещи – резервное копирование, системы предотвращения вторжений, матрицы доступа, модель угроз, анализ безопасности приложений – это всё «где-то там», это нас не коснется, никому мы не нужны. При этом нет понимания, что простой вирус-шифратор, к примеру, может запросто уничтожить большинство всех данных компании. А нужно для этого всего-то – доступ к сети Интернет и права в корпоративной сети на папки и файлы. Всё. И через пять минут компания отправится по уровню развития в середину 20-го века – ни письмо переслать, ни документ составить, ни платежку в банк отправить – финита. Причем наличие на компьютере пользователя антивируса совсем не гарантирует невозможность подобных событий, проверено на собственном опыте. Даже ключевые игроки на рынке антивирусной защиты НИЧЕГО НИКОМУ не гарантируют, можно почитать лицензионное соглашение.

Готов ли руководитель или владелец компании к такому повороту событий? Выживет ли организация вообще? А если выживет, какой будет ущерб?
И это простой пример, не учитывающий умысел злоумышленника, целенаправленно пытающегося завладеть или изменить/удалить корпоративную информацию. В этом случае всё еще хуже.

Что будет, если ваш конкурент получит всю вашу переписку электронной почты по многомиллионному контракту или данные по проекту, который вы ведете? Бухгалтерские документы? Стратегические планы организации? Ноу-хау? Список клиентов?
Ущерб может достигать астрономических сумм и иметь чудовищные последствия для компании.

Вас это не касается? Уверены?

При этом, 80% всех рисков может быть устранено с использованием 20% затрат, закон Парето работает и здесь.
К сожалению, большинство ИТ- специалистов, особенно в сфере малого и среднего бизнеса, не уделяют вопросам информационной безопасности достаточно внимания при получении знаний, или опираются на устаревшие требования и рекомендации, что, как следствие, может создавать и у него самого, и у руководства компании, в которой он работает, ложную уверенность в высокой защищенности ресурсов и корпоративных данных. Ни один раз мы становились свидетелями того, как такие «специалисты», из-за своих иллюзий ставил под угрозу деятельность организации, когда из-за отсутствия элементарных базовых настроек в части ИБ терялись данные, уничтожалась почта, и даже «уходили в свободное плавание» финансовые документы. Про сбои серверов и компьютеров и говорить нечего…

В то же время, минимизировать большинство рисков ИБ в организации достаточно легко – сделать анализ уровней доступа, процедур его управления, определить требования к уровню защиты, выполнить базовые настройки типового ПО, соблюдать минимальные рекомендации. Большинство задач решается без дополнительного приобретения дорогостоящего ПО или оборудования, хотя, конечно, всё зависит от требований бизнеса.

Область ИБ неисчерпаема и динамична, и вкладывать деньги в защиту информации можно бесконечно, однако всегда есть разумный компромисс между затратами и эффективностью их применения.

С чего начать?

Длинная дорога начинается с одного шага. Задайте себе простые вопросы, — «Сколько будет стоить мне дневной простой? А два дня? А если данные навсегда будут утрачены? А если попадут к конкурентам?» Спросите у своего ИТ-специалиста, — «Какие мероприятия выполняются в части ИБ? Как мы защищены?»

Со своей стороны мы предлагаем выполнение аудита информационной безопасности инфраструктуры информационных технологий вашей организации. При этом рассматриваются потенциальные риски как внешних, так и внутренних угроз, проверяется уровень непрерывности бизнеса, проводится оценка уровня знаний штатных сотрудников ИТ и ИБ, понимание персоналом минимальных требований и рисков безопасности, а также мер по их предотвращению.

Сохранность данных и непрерывность бизнеса постепенно становятся одними из ключевых задач и, одновременно, проблем современных компаний, их решение значительно укрепит позиции и даст уверенность в успешном развитии и возможность сосредоточении на основной деятельности, не отвлекаясь на решение возникающих проблем и дополнительные затраты.

Будем рады помочь!

Добавить комментарий

Ваш адрес электронной почты не будет опубликован. Обязательные поля отмечены знаком *