14 декабря 2011 г. 23:45
БЕЗОПАСНОСТЬ
Влияет ли безопасность на методы управления предприятием?
Вооружите свою организацию средства** стратегической безопасности 'Рабата управляющего служб тфармационнай безопасности — одна из самых трудных в любой органиэац^, поскольку колоссальная работа доказывать, что стоимость предприятия зависит от ИТ-безопасности. Лучшим управляющим служб информационной безопасности удается внедрял» такие системы информационной безопасности, которые почти незаметны для предприятия — задача, едва т осуществимая при приобретен** компонентов у различных поставщиков. Система, приобретенная у единого поставщика, способная обеспечить все потребности — заветная мечта подразделен** информационной безопасности, мечта, которую McAfee стремится сделать рельностью.*
Найджел Стэнли Ведущий специалист по безопасности
Вкзог Research
Калин Довер,
Старший управляющий, отдел маркетинга программного продукта Interlock, McAfee, Inc.
Сегодня совсем непросто обеспечить одновременно успех и безопасность предприятия. Главная задача состоит в создана и обеспечении возможностей для успешного развития и совершенствования средств обеспечения безопасности пред приятия. Во всем мфе предприятия сталкиваются с массой проблем, таких как нестабильная экономика, растущая конкуренция, изменчивые мировые рынки, урезание бюджета, неуверенность потребителей. Управляющие служб ки формационной безопасности и информационных служб испытывают давление со всех сторон. Группы лиц, взаимодействующие с предприятием, ощущают острую необходимость уменьшения расходов и расширения рынка за счет освоения новых каналов. Они эффективно используют технологии \Л/еЬ 2.0, применяемые на интернет-сайтах вроде Т\лНИег и РасеЬоок, которые позволяют перенести деловую активность в кытернет, тем временем сокращая командировочные расходы- От перегруженных работой ИТ-отделов ожидают не только ответов на требования озабоченных подразделений предприятия. Помимо прочего, они отвечают за организацию безопасности предприятия и его ценных данных от массы сложных доселе неизвестных угроз и за проверку соответствия всех процессов виутрен-
\ стандартам безопасности. Вдобавок ко всему, они несут финансовую отве тствен ностъ.
Эта задача не из легких, однако, дальновидные управляющие служб информационной безопасности и информационных служб готовы по-новому взглянул, на вопросы безопасности. К тому же, сегодня имеется технология, позволяющая перестроить систему безопасности, превратив ее из тактически ориентированного средства отражения сиюминутных угроз, тормозящего развитие бизнеса, в проактивный инструмент, ориентированный на будущее и стимулирующий развитие бизнеса. McAfee осознает, что успешные управляющие информационных служб и служб информационной безопасности уже не рассматривают вопросы приобретения систем безопасности в качестве узкоспециализированной деятельности. Напротив, они ищут новые способы как для комплексного решения задач, стоящих перед их предприятиями, так и для совершенствования безопасности и уровня соответствия требованиям стандартов безопасности своей организации в целом.
Д илемма: закрыть и отказаться
или помочь и вооружить?
Готовы ли вы отвлечься от своих сражений и заняться переоценкой ценностей? Считаете ли вы безопасность неизбежным злом или катализатором бизнеса? Представляют ли элементы управления безопасностью вашего предприятия тормоз для полноценного использованию технологий, парализуя активность пользователей и мешая
им выполнять деловые задачи? Или наоборот, пользователи получают поддержку в освоении новых технологий для выполнения необходимых задач в самых разнообразных средрх, опираясь на все необходимые компоненты системы безопасности, обеспечивающую им надежную и ничем не ограниченную свободу деятельности?
Вследствие исторически сложившихся традиций информационная безопасность никогда не рассматривалась в качестве стратегического фактора деятельности предприятия и никогда не выполняла эту роль. Некоторые считают безопасность неизбежной и зачостую дорогой необход имостью. Принципы работы в области обеспечения безопасности обычно направлены на противодействие послед ним угрозам. Пред почтение отдается мерам Краткая деловая информация реактивного (при возникновении реальных угроз) и тактического характера, а не превентивного и стратегического характера.
Кроме того, ростущее число регулятивных нормативов вынуждают ИТ-службы тратить больше времени на утомительный процесс ручной работы по обеспечению контроля и соответствия требованиям стандартов безопасности. В условиях обычного предприятия система управления рисками ИТ -безопасности состоит из беспорядочного набора разрозненных продуктов безопасности от разных поставщиков. Этим продуктам под силу отразить лишь одну-две угрозы за раз, они сложны в управлении и плохо позволяют контролировать общее состояние безопасности предприятия.
32
T-Comm, Информационная безопасность 2011
В действительности, среднестатистическое крупное предприятие зачастую оснащено десятками различных продуктов и сервисов от поставщиков специализированных продуктов.
Управление безопасностью становится сложным из-за применения изолированных продуктов и процессов обеспечения безопасности, которые истощают ресурсы предприятия. увеличивают издержки и создают бреши в системе безопасности. Помимо прочего, внешние нормативные требования и внутренние политики безопасности заставляют ИТ-отделы тратить больше времени на утомительный процесс ручной работы по обеспечению соответствия стандартам контроля безопасности и управления Такой подход в лучшем случае затратен и неэффективен, а в худшем препятствует ИТ-службам обеспечивать потребности предприятия.
Качественный скачок
Не такой должна была стать безопасность, и, к счастью, ей недолго суждено пребывать в этом состоянии. Сегодня происходит серьезный сдвиг в восприятии и решении проблем безопасности. Управляющие служб информационной безопасности и информационных служб считают внедрение оптимизированной архитектуры системы безопасности разумным стратегическим выбором. Представьте себе систему безопасности предприятия, глубина и масштаб которой позволяют отражать самые опасные угрозы сегодняшнего дня.
Представьте себе систему безопасности предприятия, позволяющую оптимизировать безопасность в масштабах всей инфраструктуры, всех устройств и сетей. Представьте себе, что все эти решения поставляет единый поставщик. По правде говоря, эти мечты уже стали реальностью, а компания McAfee возглавляет это движение. Как полагает Найджел Стэнли, аналитик компании Bloor Research, в конце туннеля наконец появился свет, и это — благодаря стратегии опоры на единого поставщика при оптимизации системы безопасности.
Такая стратегия позволяет уменьшить напряжение и найти компромисс между на первый взгляд взаимоисключающими факторами: обеспечением безопасности и ограниченным бюджетом и ресурсами.
Прыжок можно сделать уже сегодня, но прежде необходимо выяснить, что конкретно требуется для перехода к оптимизированной системе безопасности.
Ниже перечислены основы стратегического оптимизированного подхода к вопросам безопасности в сравнении с вероятно привычным для вас тактическим подходом:
• Во-первых, система безопасности должна стать многоярусной за счет подключения друг к другу процессов и информационных баз всех систем и сетей. Установка различных продуктов системы безопасности для каждой отдельной угрозы никак не способствует обеспечению защиты и сокращению затрат. Применение специализированных продуктов затрудняет построение многоярусной системы защиты или доже делает эту задачу невозможной. Защита донных не может быть ограничена организацией защиты лишь для конечных точек, где эти донные находятся.
Комплексная система защиты донных требует целостной защиты всех устройств, сетей, систем обработки данных и конечного оборудования. Рассматривайте систему безопасности предприятия как комплексную стратегию военной обороны, состоящую из взаимосвязанной системы вооружений, техники и тесной координации личного состава всех родов войск. Подобная интеграция становится залогом успешных военных операций и помогает достигать целей, которые невозможно достичь с помощью разрозненных элементов. Перенос этой стратегии на уровень предприятия позволяет ИТ-службам на практике обеспечивать более рациональное выполнение бизнес-требований за счет немедленного и эффективного ответа на угрозы.
• Далее, интегрируйте систему обеспечения соответствия требованиям стандартов в свой процесс обеспечения безопасности. Какой толк в системе безопасности, если вы не можете доказать, что сделали все правильно. если вы не зное те, защита каких донных необходима для соответствия требованиям стандарта РС1 РББ и других норм? Не важно, стоит ли перед вами задача внутреннего ИТ-аудита или обеспечения соответствия требованиям внешних стандартов, ИТ-подразделения в любом случое тратят огромное количество времени на сбор сведений и подготовку отчетов для того, чтобы доказать наличие соответствующих мер безопасности.
Эти трудоемкие процессы зачастую проводятся вручную и находятся за рамками обычного рабочего процесса ИТ-служб. Соответствие требованиям стандартов и способность доказать соответствие требованиям должно быть встроено в ежедневные
процессы обеспечения безопасности вашего предприятия таким образом чтобы составление отчетов и ауд ит стали просто результатом рутинной работы ИТ-подразделения
• Выберите прогнозный подход к новым угрозам, используя оперативную информацию об угрозах в реальном времени. Переход от реагирующей системы защиты к оптимизированному состоянию может произойти только тогда, когда организация не чувствует себя постоянной целью атак. С известными угрозами можно справиться, однако, согласно последним сообщениям в мире полным ходом и с угрожающей скоростью идет разработка новых и все более опасных эксплойтов. Осознание всей картины угроз дает толчок для перехода от тактики реагирования к стратегии упреждения
• И наконец управляйте системой безопасности с центральной платформы. ИТ подразделения тратят огромное количество времени на создание и исполнение внутренних правил безопасности, установку заплаток, выполнение обновлений и создание отчетов. Стоит возникнуть угрозе, как изолированные продукты системы безопасности с отдельными консолям* управления начтают посылать разрозненные сообщения. Приходится вручную готовить решения и заплатки, которые только отвлекают ресурсы и ведут к неоправданно высоким уровням риска. Для эффективного управления процессами безопасности ИТ подразделению необходим контроль в масштабе всего предприятия, над всеми системами и сетями независимо от их места расположения.
Один поставщик. Множество выгод
Из вышеизложенного ясно, что оптими-зфованная система безопасности облегчает задачи управляющих служб информационной безопасности и информационных служб благодаря всесторонней защите, целиком охватывающей всю ИТ- инф ростру к туру, а также благодаря автоматизированной системе соответствия требованиям стандартов, сокращению издержек и улучшению эффективности эксплуатации, достигаемых с помощью интегрированной и централизованной системы управления.
Благодаря обширным исследованиям в области глобальных угроз, передовым технологиям и совместимым продуктам, McAfee является единственным поставщиком систем оптимизированной безопасности. Давайте подробно проанализируем способы достижения этих целей.
T-Comm, Информационная безопасность 2011
33
• Интегрированная защита сетей, систем и донных. McAfee предлагает спектр решений для обеспечения всесторонней защиты, которые встраиваются в имеющуюся архитектуру, оставляя ИТ-подразделениям время и средства для инвестиций в новые потребности предприятия Наши лучшие в своем классе решения, а также интегрированные продукты третьих сторон обеспечивают многоярусную глубокую защиту, целиком охватывающую инфраструктуру вашего предприятия: конечные точки, сети, донные, пользовательские устройства.
• Управление рисками и решения для обеспечения соответствия требованиям стандартов. Решения McAfee помогают автоматизировать процессы составления отчетов по донным ИТ-аудита, а также обеспечивают внедрение внутренних политик и применение средств контроля за их исполнением, проведение оценки уязвимостей и их устранение. Кроме того, система McAfee для обнаружения вторжений и анализа поведения позволяет более эффективно устанавливать и выполнять правила, регулк^эую-щие доступ к информации.
• Оперативная информация о глобальных угрозах. Система непрерывного выявления известных и неизвестных угроз в реальном времени в глобальном масштабе позволяет исследовательской группе McAfee Labs за миллисекунды рассылать своим клиентам обновления, на что раньше уходили целые часы и дни. Прогнозный подход поддерживает систему защиты в оперативном режиме, позволяя ИТ подразделениям действовать быстро при возникновент угроз.
• Единая открытая платформа для централизованного управления процессами безопасности. Работа ИТ-падразделений намного эффективнее, когда они могут с единой платформы управлять сопряженными компонентами, приобретенными у различных поставщиков. Архитектура нашей платформы управления, программное обеспечение McAfee® ePolicy OrchesfralofO (еРО™) облегчает интеграцию как продуктов McAfee, так и продуктов партнеров McAfee. Установка этих продуктов, управление ими, а также передача информации о системе безопасности упрощается за счет автоматизации процессов. При этом значительно сокращаются текущие расходы на управление безопасностью, включая затраты на обучение.
* Глобальное партнерство и услуги. Мы считаем своим долгом обеспечивать самую надежную защиту от угроз и высокие стандарты ведения бизнеса, опираясь на новые технологии и качество услуг, включая реализацию на уровне мировых стандартов, обучение и подд ержку, которую поставляем мы и наши партнеры по глобальной экосистеме. McAfee Security Innovation Aliance содействует развитию партнерских отношений и технологической интеграции со своими стратегическими поставщиками. Партнерство позволяет дополнительно расширить масштаб защиты вашей организации, повысить уровень контроля снизил, расходы, и снять тем самым с ваших плеч груз проблем интеграции. Кроме того, это повышает оперативность, поскольку наши партнерские отношения позволяют ИТ-подразделениям намного быстрее откликаться на потребности бизнеса.
В контексте предприятия McAfee помогает вам превратить безопасность из хлопотного препятствия в полезный фактор, способствующий развитию организации. Скорость реагирования повышается, поскольку ИТ-подразделения могут спокойно заниматься решением задач организации, например, применением технологий Web 2.0 и корпоративных социальных сетей. Группы лиц, взаимодействующие с предприятием, могут использовать устройства и доступ к донным, необходимые им для осуществления своей деятельности без угрозы безопасности. А поскольку огпиА*13*фовсыная система безопасности может быть "включена" в любой момент и в любой точке, она открывает новые каналы и рынки, а также позволяет по-новому организовать общение с клиентами и деловыми партнерами.
Успех на практике
Штат Нью-Йорк служит лучшим примером того, как применение решений McAfee для оптимизированной безопасности помогает добиться большой экономии средств за счет улучшения безопасности конечных точек и обеспечения соответствия требованиям стандартов. Столкнувшись с многомиллиардным бюджетным дефицитом, штат искал способы сократить издержки и в то же время защитил, свои конечные точки от вирусов, вредоносных программ и утечки конфиденциальной информации. Для защиты сво-
их конечных точек, ведомства штата Нью-Йорк использовали системы антивирусной защиты различных поставщиков, однако, такие меры были далеко не самыкм эффективными и не обеспечивали необходимого уровня защиты.
В рамках нового подхода к управлению и материально-техническому снабжению, руководство штата установило системы McAfee в качестве стандартных систем антивирусной защиты на 250 ООО серверах, персональных компьютерах и ноутбуках в 106 канцеляриях и ведомствах штата. Принятое решение позволило на 75% сократить расходы на лицензирование программного обеспечения систем безопасности для конечных точек. Общая экономия штата за три года составила 20 млн. долл. Кроме того, благодаря этому шагу в десятки раз повысился уровень защиты конечных точек, что в долгосрочной перспективе привело к снижению совокупной стоимости владения
(ССВ).
Процесс управления безопасностью конечных точек стал проще благодаря наличию единой централизованной консоли. Кроме того, штат смог реализовать требования по шифрованию всех I Ж.
Лучший из возможных миров:
динамичный и безопасный
При наличии открытой, оптимизированной архитектуры безопасности руковод ители ИТ-служб могут вздохнуть свободно и заняться выполнением текущей работы, зная что они сделали все необходимое для обеспечения безопасности своей организации. Настал момент сделать смелый шаг и перестать относиться к своей организации как к тюрьме особого режима. Со своей организацией следует работать кок с тщательно охраняемым особо важным лицом, помогая предприятию выходить на новые рынки, осваивать новые каналы сбыта и находить новых клиентов, применяя новые способы работы. Система оптимизированной безопасности создает лучший из возможных миров, мир безопосный, но динамичный, мир, в котором организации любого размера — будь в ней 20 или 20 000 сотруди*жов — могут свободно вступить в прекрасный новый мир технологий стимулирующих развитие бизнеса и защищающих их от угроз А вы готовы сделать этот шаг?
34
T-Comm, Информационная безопасность 2011