Сигурност

Архитектура на информационната сигурност или как да оценим текущото състояние на защитеност и да достигнем до желаното по оптимален маршрут

CIO Media

Архитектурата на информационната сигурност е особенно важна в нестабилна икономическа ситуация, когато финансирането не е достига за „всичко, което ни се иска", а всяка инициатива трябва да бъде обвързана с оцеляването в условията на криза. При такива обстоятелства компаниите се нуждаят от добре обмислена схема, към която да се придържат за да не се отклонят от правилния път за постигането на техните цели.
Основният въпрос в тази връзка е: „В каква степен са удовлетворени потребностите на бизнеса от информационна сигурност сега и какво ще бъде състоянието на компанията по този показател след 5 години?". Всъщност за някои организации 5 години са доста кратък период от време - ако дейността им е свързана с поддръжката на хидротурбини или доменни пещи, проектните срокове могат да са и 50 години. Предвиждането на развитието за достатъчно дълги периоди от време е основен отличителен белег на добрата архителтура.

НЕОБХОДИМОСТТА
Основните причини, стимулиращи изграждането на архитектура за информационна сигурност са няколко:
- Стремежът да бъдат прекратени несъгласуваните действия на подразделенията, ангажирани с информационната сигурност - ИТ отдела, юридическият отдел, отделът по вътрешен контрол и др.;
- Растящата неудовлетвореност на потребителите и ръководството от текущото състояние на информационната сигурност в организацията;
- Необходимост да бъде оценена възвръщаемостта от инвестициите в ИТ сигурност;
- Констатация за неразбиране относно пътищата за развитие на информационната сигурност в компанията - не са определени приоритетни проекти и технологии;
- Отделът по ИТ сигурност желае да подобри разбирането за сначимостта на защитата на информацията и да демонстрира своята ценност за бизнеса.
По принцип, архитектура на информационната сигурност е необходима в големите организации - в малкия и среден бизнес, изброените по-горе проблеми не съществуват или поне не са така ясно изразени. В крупните компании обаче, дори в условията на икономическа стабилност (каквато сега няма), липсата на архитектура за информационна безопасност води до нежелателни последствия - например:
- Финансиране на остатъчен принцип. Ако не е ясно как информационната сигурност влияе на бизнеса и как тя трябва да се развива, защо е необходимо за нея да се харчат пари?
- Неудовлетвореност на потребителите от това как се защитава конфиденциалната информация, как се осигурява защитата при достъп в Интернет, как се обработва електронната поща (например достъпна е за четене от служителите на отдела по ИТ сигурност, не пристига до адреса, тъй като е класифицирана като спам и т.н.).
- Потенциални претенции от страна на регулаторни органи. Нормативните изисквания понякога са в известна степен несъгласувани. Някои компании влагат огромни усилия за да ги удовлетворят, други си затварят очите до поредната проверка.
- Неефективност на информационната сигурност заради игнориране на отделни аспекти от дейността (например наличие на отдалечен достъп за поддръжка на приложения по Интернет), което води до нежелателни инциденти.
- Несъгласуваност или даже директно противодействие на различни подразделения, на всяко от които са възложени (обикновено неформално), отделни ангажименти във връзка с информационната сигурност. Липсата на ясно разграничаване на зоните на отговорност (което обикновено се дефинира в архитектурата), води или до ситуацията описвана с народния израз "всеки дърпа чергата към себе си" или до друг неин вариант, при който никой не иска "да копае чуждата градина".
Ползата от архитектурата можем да илюстрираме и със следния пример. Често чуваме от доставчиците на технологични решения, че внедряването на един или друг нов продукт ще реши веднага всички възникващи проблеми. Като примери се посочват, конкретни реални проблеми и ако във вашата компания те са налице, много вероятно е да закупите съответния продукт. Всъщност организациите харчат огромни средства, а ефективността на инвестициите в повечето случаи или не се измерва, или е отрицателна. За да бъде вашата компания сред първите в своя бранш, разбира се трябва да изпреварите конкуренцията във всяко отношение, но това не означава да купувате необмислено всяка технологична новост, само защото производителят я рекламира активно. Правилната архитектура ви е необходима за да не се поддавате на убедителността на доставчиците и да се занимавате само с тези проекти, които са насочени към достигане на целите на вашата компания.


ОТ КЪДЕ ДА ЗАПОЧНЕМ?
Архитектурата на информационната сигурност трябва да се разработва "отгоре-надолу", на базата на корпоративната архитектура и корпоративната стратегия, определящи какво и как трябва да се прави в компанията. Архитектурата на информационната сигурност уточнява как тези цели се постигат от гледна точка на информационната сигурност.

Отчитането на бизнес стратегията ни дава възможност да разберем върху какво трябва да се фокусираме. Например ако пред компанията стои задачата за териториална експанзия и сериозен ръст, внедряваните решения за ИТ сигурност също трябва да съдействат за това. Следва да се отдели внимание на VPN решенията, на защитата на отдалечения достъп и т.н. След териториалната експанзия компанията може би ще се фокусира върху повишаване на качеството на обслужване, привличане и задържане на клиентите и информационната сигурност също трябва да бъде фокусирана в това направление.

 


X