Новини ИТ сигурност
бр. 12, 2009

Архитектура на информационната сигурност или как да оценим текущото състояние на защитеност и да достигнем до желаното по оптимален маршрут

от , 16 декември 2009 0 8153 прочитания,
Страница 1 от 3

Архитектурата на информационната сигурност е особенно важна в нестабилна икономическа ситуация, когато финансирането не е достига за „всичко, което ни се иска", а всяка инициатива трябва да бъде обвързана с оцеляването в условията на криза. При такива обстоятелства компаниите се нуждаят от добре обмислена схема, към която да се придържат за да не се отклонят от правилния път за постигането на техните цели.
Основният въпрос в тази връзка е: „В каква степен са удовлетворени потребностите на бизнеса от информационна сигурност сега и какво ще бъде състоянието на компанията по този показател след 5 години?". Всъщност за някои организации 5 години са доста кратък период от време - ако дейността им е свързана с поддръжката на хидротурбини или доменни пещи, проектните срокове могат да са и 50 години. Предвиждането на развитието за достатъчно дълги периоди от време е основен отличителен белег на добрата архителтура.

НЕОБХОДИМОСТТА
Основните причини, стимулиращи изграждането на архитектура за информационна сигурност са няколко:
- Стремежът да бъдат прекратени несъгласуваните действия на подразделенията, ангажирани с информационната сигурност - ИТ отдела, юридическият отдел, отделът по вътрешен контрол и др.;
- Растящата неудовлетвореност на потребителите и ръководството от текущото състояние на информационната сигурност в организацията;
- Необходимост да бъде оценена възвръщаемостта от инвестициите в ИТ сигурност;
- Констатация за неразбиране относно пътищата за развитие на информационната сигурност в компанията - не са определени приоритетни проекти и технологии;
- Отделът по ИТ сигурност желае да подобри разбирането за сначимостта на защитата на информацията и да демонстрира своята ценност за бизнеса.
По принцип, архитектура на информационната сигурност е необходима в големите организации - в малкия и среден бизнес, изброените по-горе проблеми не съществуват или поне не са така ясно изразени. В крупните компании обаче, дори в условията на икономическа стабилност (каквато сега няма), липсата на архитектура за информационна безопасност води до нежелателни последствия - например:
- Финансиране на остатъчен принцип. Ако не е ясно как информационната сигурност влияе на бизнеса и как тя трябва да се развива, защо е необходимо за нея да се харчат пари?
- Неудовлетвореност на потребителите от това как се защитава конфиденциалната информация, как се осигурява защитата при достъп в Интернет, как се обработва електронната поща (например достъпна е за четене от служителите на отдела по ИТ сигурност, не пристига до адреса, тъй като е класифицирана като спам и т.н.).
- Потенциални претенции от страна на регулаторни органи. Нормативните изисквания понякога са в известна степен несъгласувани. Някои компании влагат огромни усилия за да ги удовлетворят, други си затварят очите до поредната проверка.
- Неефективност на информационната сигурност заради игнориране на отделни аспекти от дейността (например наличие на отдалечен достъп за поддръжка на приложения по Интернет), което води до нежелателни инциденти.
- Несъгласуваност или даже директно противодействие на различни подразделения, на всяко от които са възложени (обикновено неформално), отделни ангажименти във връзка с информационната сигурност. Липсата на ясно разграничаване на зоните на отговорност (което обикновено се дефинира в архитектурата), води или до ситуацията описвана с народния израз "всеки дърпа чергата към себе си" или до друг неин вариант, при който никой не иска "да копае чуждата градина".
Ползата от архитектурата можем да илюстрираме и със следния пример. Често чуваме от доставчиците на технологични решения, че внедряването на един или друг нов продукт ще реши веднага всички възникващи проблеми. Като примери се посочват, конкретни реални проблеми и ако във вашата компания те са налице, много вероятно е да закупите съответния продукт. Всъщност организациите харчат огромни средства, а ефективността на инвестициите в повечето случаи или не се измерва, или е отрицателна. За да бъде вашата компания сред първите в своя бранш, разбира се трябва да изпреварите конкуренцията във всяко отношение, но това не означава да купувате необмислено всяка технологична новост, само защото производителят я рекламира активно. Правилната архитектура ви е необходима за да не се поддавате на убедителността на доставчиците и да се занимавате само с тези проекти, които са насочени към достигане на целите на вашата компания.

1 23
Реклама

КОМЕНТАРИ ОТ  

КОМЕНТАРИ

Трябва да сте регистриран потребител, за да коментирате статията
"Архитектура на информационната сигурност или как да оценим текущото състояние на защитеност и да достигнем до желаното по оптимален маршрут"



    

Полезни страници
    © Ай Си Ти Медиа ЕООД 1997 - 2014 | Реклама | За нас |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов