Информационная безопасность – сделай SAM!
Авторы Наши партнёры Наши проекты: IT-Weeklyall CIO
IT-Expert IT-World.ru IT-World.ru
Вход
X

Логин

Пароль

Запомнить

Забыли свой пароль?

Информационная безопасность – сделай SAM!

Лента новостейКак это сделатьВ помощь руководителю

Информационная безопасность – сделай SAM!

Наталья Лидер | 30.01.2018

В условиях постоянно развивающегося рынка каждый владелец бизнеса стремится максимально быстро реагировать и приспосабливаться к этим изменениям. Информационные технологии при правильном использовании и настройке помогают компаниям быть максимально гибкими и быстро адаптироваться к переменам.

В погоне за новыми тенденциями недостаточно простого приобретения софта. Стратегически верно – внедрять технологические решения, способные удовлетворять нужды конкретной компании.

Но прежде чем внедрять новые технологии, необходимо понять, что уже используется в компании и насколько эффективно. Полную и развернутую картину дает проект Software Asset Management (SAM), иными словами, анализ программных активов.

SAM-проект подразумевает сверку установленного и купленного программного обеспечения, разработку оптимальной стратегии развития с учетом реально используемого ПО и видения по дальнейшему развитию. Проект позволяет осознанно управлять рисками и оптимизировать затраты.

Звучит красиво, но давайте детально разберем, действительно ли целесообразно проведение SAM-проекта, в том числе если компания и так хорошо умеет управлять активами?

Мы проводим SAM почти каждому клиенту, независимо от сферы его деятельности. По итогам проведенного SAM-проекта компания получает подробный отчет по приобретенным и используемым программным активам. Это позволяет предложить оптимальные способы сэкономить и увеличить отдачу от вложенных инвестиций.

Поэтому, помимо данных, предусмотренных SAM-проектом, в полученном отчете заказчик получает разработанные нашими экспертами рекомендации по наиболее удобным и логичным видам лицензирования. Рекомендации будут полезны при обосновании бюджета и выборе стратегии развития. Анализ программных активов с помощью SAM позволяет сократить юридические риски.

Но не все знают, что SAM-проект может быть узконаправленным. Возьмем для примера SAM Cybersecurity. Этот вид SAM-проекта включает в себя работы по оценке уязвимостей и уровня информационной безопасности в компании.

Многие компании не проводят анализа загружаемых и устанавливаемых приложений и не отслеживают неуправляемые устройства, находящиеся в корпоративной сети. Угроза может исходить и от пользователей, использующих небезопасные пароли. Всё это повышает уровень уязвимости компании.

img

Важно отметить, что использование средств контроля за ИТ-инфраструктурой без глубокого анализа не является панацеей.

SAM Cybersecurity проводится не только для повышения информационной безопасности, но и в целях профилактики. Каждый день появляются новые угрозы для безопасности, уследить за которыми, а тем более разобраться в них сложно. Например, вирусы-шифровальщики WannaCry, Petya смогли заразить десятки тысяч компьютеров и серверов по всему миру. Никто не был готов к этому, даже гиганты бизнеса, не говоря уже о среднем и малом бизнесе. Именно поэтому необходимо проводить анализ уязвимости ИТ-инфраструктуры.

SAM Cybersecurity проходит в несколько этапов. На первом этапе проекта анализируется инфраструктура заказчика, сканируются узлы вычислительной сети на предмет наличия проблем, связанных с безопасностью.

Второй этап SAM Cybersecurity – анализ с точки зрения информационной безопасности. Для этого используется методика анализа на основе CIS Critical Security Controls (CSC) – стандартизированные метрики, в которых собраны лучшие мировые практики по информационной безопасности. Эти рекомендации разработаны сообществом экспертов в области информационной безопасности при поддержке Центра стратегических и международных исследований интернет-безопасности. Они представляют собой описание приоритетных шагов по снижению рисков ИБ. Надежная автоматизация важнейших процессов обеспечения безопасности позволяет уменьшить число «измеряемых» рисков более чем на 90%.

Общая оценка зрелости уровня развития информационной безопасности компании производится по 20 направлениям. Среди них те, которые направлены на снижение риска несанкционированного доступа злоумышленников к информационным системам и сети организации. А также те направления, которые помогут минимизировать ущерб, вызванный таким проникновением. CSC 20 не только проверены временем – в них проработаны нюансы по наиболее уязвимым к атакам частям ИТ-инфраструктуры. Установление существующей степени защищенности производится исходя из состояния ИТ-инфраструктуры конкретной организации.

После того как все возможные угрозы и слабые места в инфраструктуре компании выявлены, следует третий этап: разработка рекомендаций по мероприятиям, которые необходимо предпринять для повышения уровня информационной безопасности компании.

Вышеуказанные рекомендации – одна из важнейших составляющих проекта. Это меры по повышению уровня безопасности инфраструктуры.

При выполнении рекомендаций, разработанных в ходе SAM Cybersecurity, компания:

1.    Получает механизм, обеспечивающий ей непрерывность бизнес-процессов.

2.    Защищает критически важные сегменты инфраструктуры.

3.    Существенно уменьшает риск финансовых потерь.

4.    Обеспечивает целостность, доступность и конфиденциальность данных.

Таким образом, по окончании проекта заказчик получает:

1.    Полный перечень уязвимостей в его инфраструктуре.

2.    Отчет о наиболее вероятных угрозах информационной безопасности.

3.    Рекомендации по повышению уровня защищенности компании.

Однако получить перечень уязвимостей и рекомендаций – недостаточная мера к обеспечению безопасности ИТ-инфраструктуры. Особого внимания заслуживают архитектура решений, возможность их совместной работы, а также сервисы, которые позволяют обеспечить безопасную работу.

Важный аспект – корпоративные стандарты, в частности стандарт для операционной системы, устанавливаемой на компьютеры сотрудников.

В большинстве своем компании до сих пор используют устаревшие (Windows 7, 8) или неподдерживаемые (Windows XP, Vista) операционные системы. Для сотрудников привычнее пользоваться знакомой операционной системой, но устаревшие ОС просто не в состоянии обеспечить требуемый уровень защиты. Наибольшую угрозу с точки зрения информационной безопасности представляют неподдерживаемые операционные системы.

Именно поэтому часто мы рекомендуем клиентам перевести сотрудников на работу с новой ОС Windows 10. Она даст не только новую функциональность и отличную производительность, но и безопасность. В корпоративную редакцию Windows 10 уже включены средства по защите устройств и данных.

В отчете SAM будут указаны и оптимальные варианты лицензирования предлагаемых решений.

Нет универсальных решений, но есть возможность внедрения индивидуального комплекта решений по информационной безопасности на основе рекомендаций SAM Cybersecurity.

Об авторе

Наталья Лидер

Наталья Лидер

Коммерческий директор компании ABILITY, консультант по SAM, Microsoft Certified Professional.

мероприятия

| 14.02.2018 — 28.02.2018
23-й HR-Форум

«Шератон Палас» (Ул. 1-ая Тверская-Ямская 19)

| 01.03.2018
Quantum Technology Conference 2018

Москва, Конференц-центр Newsroom

| 17.04.2018
FUTURE BUSINESS: Digital Transformation Day 2018

Москва, Digital October, Берсеневская Hабережная, 6, стр. 3

Также смотрите

Журнал IT-Expert: № 01/2018

Последние новости

Компании сообщают

Фоторепортажи

Мероприятия

<<<< Февраль >>>>
Пн Вт Ср Чт Пт Сб Вс
2930311234
567891011
12131415161718
19202122232425
2627281234