Информационная безопасность: время перемен

Hierarchical Navigation

Блог старшего вице-президента Cisco, главного директора компании по вопросам информационной безопасности Джона Стюарта (John Stewart)

LinkedInVKontakte
Поделиться:

В США октябрь по традиции объявлен месяцем информационной безопасности (National Cyber Security Awareness Month). В этом году основной темой соответствующих мероприятий станет то, насколько важно воспринимать информационную безопасность (ИБ) не как абстрактную идею, а как часть планируемой бизнес-стратегии, ответственность за которую разделяют все руководители.
Мы в компании Cisco считаем, что в настоящее время для сферы ИБ важнее всего изменить отношение к двум аспектам. Во-первых, необходимо признать, что для каждой организации область ИБ имеет стратегическую важность, поэтому она должна быть подконтрольна и подответственна высшему руководству. Во-вторых, поставщики ИТ-решений (как и вендоры, включающие информационные технологии в свою продукцию) должны предоставлять такие товары, услуги и решения, которым заказчики смогут безусловно доверять.
Благодаря своему глобальному присутствию в сфере обеспечения ИБ компания Cisco обладает огромным количеством данных об интернет-атаках, зараженных сайтах, вредоносном ПО и киберпреступной активности. Это дает уникальную возможность хорошо понимать факторы ИБ, оказывающие значительное влияние на бизнес. Кроме того, последние годы компания Cisco принимает непосредственное участие в анализе и нейтрализации каждого крупного инцидента ИБ.
Благодаря этому удалось существенно усовершенствовать знание современного ландшафта киберугроз и понять, насколько в последнее время усложнились методы, применяемые киберпреступниками. Недавние отчеты Cisco по информационной безопасности содержат детальную информацию о том, сколь значительно продвинулись киберпреступники в области теневой экономики и как непросто специалистам сферы ИБ успевать за злоумышленниками.
Наибольшее беспокойство вызывает то, что возможности киберпреступников непрерывно растут, особенно в том, что касается компрометации систем безопасности и уклонения от обнаружения. В первой половине 2015 года визитной карточкой злоумышленников стало настойчивое стремление разрабатывать новые и совершенствовать старые стратегии по уклонению от систем обнаружения. Благодаря таким, например, тактикам как обфускация (запутывание) кода, киберпреступникам часто удается преодолеть системы защиты и долгое время незаметно осуществлять вредоносную активность.

Два фактора, способные улучшить защиту
В нынешнее время организации уже не могут позволить себе рассматривать риски ИБ наравне с прочими бизнес-рисками. Поэтому первое, что необходимо изменить, — это отношение к информационной безопасности. Важно, чтобы ИБ и сопутствующие риски находились под особым контролем высшего руководства (советов директоров, генеральных и исполнительных директоров): в современных реалиях необходим именно такой уровень внимания.
Поскольку сама по себе сфера ИБ обычно высшему руководству плохо понятна, нужны инвестиции в надежные источники информации. Такими источниками могут стать, например, соответствующие правоохранительные органы или частные эксперты. Очень важно начать рассматривать риски ИБ отдельно ото всех прочих рисков, учитываемых в организации. Нужно отказаться от привычных сценариев: те способы, которыми ИБ реализовывалась на протяжении последних 20–30 лет, стали неадекватны перед лицом современных киберугроз.
Высшее руководство организаций нуждается в расширении своих представлений об информационной безопасности, и для начала следует ответить на следующие вопросы:

  • какие угрозы имеют непосредственное отношение к деятельности организации?
  • Какая часть рабочих процессов организации подключена к Интернету, каким образом осуществляется подключение, какие сервисы имеют критически важное значение и кто отвечает за все это?
  • Существует ли специальная стратегия для сферы информационных технологий, и если да, то кто ее контролирует?
  • Имеются ли официально утвержденные процедуры реагирования на инциденты ИБ?
  • Имеются ли процедуры раскрытия информации?
  • Каковы отношения с органами государственного управления и правоохранительными органами?
  • Насколько имеющиеся системы контроля соответствуют рискам?
  • Что еще нужно выяснить?

Руководство организаций должно понимать риски ИБ примерно так же, как понимаются финансовые или другие бизнес-риски в контексте деловых операций. Руководители ИТ-направлений, в свою очередь, должны уметь доходчиво излагать все эти соображения, то есть объяснять, какие средства применяются для достижения поставленных целей и почему были выбраны именно эти средства.

Надежность ИТ-поставщиков
Огромное значение имеет доказанная и поддающаяся проверке надежность ИТ-поставщиков. Именно поэтому компания Cisco создала концепцию жизненного цикла безопасной разработки Cisco Secure Development Lifecycle (Cisco SDL), который позволяет гарантировать, что безопасность играет центральную роль в процессе разработки продукта. Cisco SDL — это воспроизводимый и измеримый процесс, разработанный для того, чтобы производитель мог обеспечить отказоустойчивость и надежность своей продукции, а заказчики могли быть уверены, что внедряют высококачественные и надежные решения. Все чаще организации по всему миру требуют, чтобы безопасность была интегрирована во все стадии жизненного цикла продукции. При этом большое значение имеет прозрачная, открытая культура компании-поставщика, позволяющая включить политики, процессы, деятельность и партнерские отношения. Это — второй фактор, который может значительно улучшить защищенность организаций.
Прошли времена, когда можно было полагаться на подразумеваемую, но не гарантированную явным образом безопасность. Поскольку современный цифровой мир отличается стремительной изменчивостью и несет значительные риски киберугроз, организациям необходимы проверяемые, надежные сетевые архитектуры, основанные на безопасном ПО и оборудовании и подкрепленные тщательно рассчитанными практиками защиты бизнес-деятельности.
Не все из вышеперечисленного легко реализовать на практике, но это — необходимые шаги к повышению безопасности. Будучи привержена идее защиты своих заказчиков и их данных,  компания Cisco предпринимает активные меры по обеспечению безопасности и надежности вычислительных сетей, а также строго придерживается принципов жизненного цикла безопасной разработки (SDL) при создании продукции и услуг. Cisco делает все возможное для того, чтобы обеспечить безопасность своей производственной деятельности. Это — необходимое условие, позволяющее создавать и предоставлять по-настоящему надежную продукцию. Цифровая эпоха диктует свои условия: вопросы безопасности и надежности становятся критически важной частью любого решения о закупке.

Взгляд в будущее
К сожалению, в настоящее время «доверие» — едва ли не последнее слово, ассоциируемое с Интернетом. Столь безотрадная ситуация нуждается в изменении. Информационная и сетевая безопасность должна стать основой любой деятельности, для этого ее необходимо обеспечивать на всем протяжении жизненного цикла продукции. Руководители должны принимать в этом активное участие и брать на себя ответственность за обеспечение ИБ. Месяц информационной безопасности —подходящее время для того, чтобы начать движение в этом направлении. Очень важно уже сегодня убедиться, что имеющиеся инфраструктуры, процессы, политики, продукты и услуги в достаточной степени гибки, открыты и безопасны для того, чтобы соответствовать вызовам завтрашнего дня.
Более подробную информацию о том, как Cisco обеспечивает безопасность и открытость, необходимые заказчикам для управления рисками, можно получить на сайте нашего Центра доверия и открытости (Trust and Transparency Center).


О компании Cisco

Cisco, мировой лидер в области информационных технологий, помогает компаниям использовать возможности будущего и собственным примером доказывает, что, подключая неподключенное, можно добиться поразительных результатов.

Чистый объем продаж компании в 2014 финансовом году составил 47,1 млрд долларов. Информация о решениях, технологиях и текущей деятельности компании публикуется на сайтах www.cisco.ua и www.cisco.com.

Cisco, логотип Cisco, Cisco Systems и логотип Cisco Systems являются зарегистрированными торговыми знаками Cisco Systems, Inc. в США и некоторых других странах. Все прочие торговые знаки, упомянутые в настоящем документе, являются собственностью соответствующих владельцев.


Справочная информация общего характера – по телефону (044) 391-3600

Горячая линия Cisco в Украине 0 800 503 337 Если у Вас есть вопросы, звоните прямо сейчас. Наши операторы ожидают Ваших звонков.

Быстрое получение необходимой информации через онлайн форму

Следуйте за нами