От таких рисков нельзя избавиться, но их можно ограничить. Если несколько простых шагов для того, чтобы ограничить риск от сотрудников. Первый и основной – это четкий контроль всех новичков и оснований для продвижения. Если вам не удастся сделать это, то провал неминуем. Например, Американское раковое общество штата Огайо (США) приняло в свой штат трех сотрудников с непроверенными анкетами и двух осужденных за кражу и жульничество. К 2000 году они продвинулись по карьерной лестнице ИТ-департамента до руководящих постов и украли около 7 млн долларов [51] .
Вы должны готовить своих сотрудников так, чтобы они подробно знали политику безопасности и сферу своей ответственности. Многие бреши возникают из-за незлонамеренных ошибок персонала компании. Министерство обороны США сообщает, например, что чаще всего злоумышленники получают секретную информацию просто звоня сотрудникам и задавая вопросы [52] . Сколько сотрудников вашей компании точно знают, какую информацию они должны, а какую – не должны сообщать звонящим? Естественно, любая тренировка в этом направлении должна регулярно повторяться, чтобы взбодрить сотрудников, которые, естественно, не думают о безопасности каждый день, а новичков ввести в культуру компании и убедиться, что они готовы поддерживать общий уровень безопасности.
Развивайте архитектуру вашей безопасности
Кроме организации политики и процессов, вы должны смотреть на архитектуру безопасности и более стратегически. Корпоративная безопасность исторически была связана с моделью крепости: статической и не различающей атакующих, неприспособленной к переменам, зависящей от местоположения и полагающейся на очень ограниченный набор решений (крепкие стены и запертые ворота). Очень прочные и большие внешние стены защищали мягкую и непрочную внутренность. Любой человек за воротами – подозрителен, каждый внутри – друг. После того, как вы прошли сквозь ворота, вы можете делать все, что захотите.
Возникающая сегодня новая архитектура безопасности гораздо лучше ориентирована на возникающие риски – не забывайте, что информационная безопасность вся связана с управлением рисками. Возникающую архитектуру иногда называют моделью аэропорта. Она гораздо более гибкая и способна приспосабливаться к ситуации, с большим числом зон безопасности, основанных на различных ролях. «Ворота» в эти зоны могут использовать несколько разных видов идентификации, аутентификации и контроля доступа, в зависимости от роли проникающей личности и предназначения зоны. В результате получается несколько крепостей внутри одной большой крепости.
Модель аэропорта очень хорошо работает сегодня на основе стратегий современных компаний и существующей технологии. Однако в нынешнем сетевом мире предпочтительнее модель динамического доверия, которая строится между двумя любыми точками в компании. Динамическое доверие подразумевает аутентификацию и наличие доверия между двумя любыми участниками контакта в сети. Модель использует целый комплекс перекрывающихся или дополняющих друг друга технологий и предполагает, что все участники транзакции должны идентифицировать и аутентифицировать себя, а также доказать свое право на участие в процессе. Безопасность на основе определенных правил в модели динамического доверия относится как к личностям, так и к окружающим условиям, истории и текущему состоянию сети плюс некоторые дополнительные уровни защиты на основе приложений. Эта модель гораздо лучше соответствует современному миру, населенному идентифицируемыми беспроводными устройствами.
Все три модели отвечают специфическим рискам и эрам. Модель крепости работала в эру мейнфреймов. Модель аэропорта работает в большинстве компаний сейчас. Модель взаимодействия точка-точка будет востребована в мире, в котором доступ к информации и ее передача регулярно происходит беспроводным образом в любом месте и в любое время.
Убедитесь, что вы предпринимаете тактические шаги
Итак, мы обсуждаем стратегию управления риском в информационной безопасности. Непростительно с нашей стороны будет не упомянуть некоторые специальные действия, которые следует предпринять. Вот некоторые из них:
• убедитесь, что все аудиторские проверки, включая и те, что связаны с доступом к документам и их модификации, безопасны от манипуляций и уклонений;
• требуйте, чтобы сотрудники ИТ следовали определенному коду поведения, который определяется высокой степенью доступа и ответственностью, возложенной на ИТ;
Читать дальше
Конец ознакомительного отрывка
Купить книгу