Информационная безопасность – сделай SAM!
В условиях постоянно развивающегося рынка каждый владелец бизнеса стремится максимально быстро реагировать и приспосабливаться к этим изменениям. Информационные технологии при правильном использовании и настройке помогают компаниям быть максимально гибкими и быстро адаптироваться к переменам.
В погоне за новыми тенденциями недостаточно простого приобретения софта. Стратегически верно – внедрять технологические решения, способные удовлетворять нужды конкретной компании.
Но прежде чем внедрять новые технологии, необходимо понять, что уже используется в компании и насколько эффективно. Полную и развернутую картину дает проект Software Asset Management (SAM), иными словами, анализ программных активов.
SAM-проект подразумевает сверку установленного и купленного программного обеспечения, разработку оптимальной стратегии развития с учетом реально используемого ПО и видения по дальнейшему развитию. Проект позволяет осознанно управлять рисками и оптимизировать затраты.
Звучит красиво, но давайте детально разберем, действительно ли целесообразно проведение SAM-проекта, в том числе если компания и так хорошо умеет управлять активами?
Мы проводим SAM почти каждому клиенту, независимо от сферы его деятельности. По итогам проведенного SAM-проекта компания получает подробный отчет по приобретенным и используемым программным активам. Это позволяет предложить оптимальные способы сэкономить и увеличить отдачу от вложенных инвестиций.
Поэтому, помимо данных, предусмотренных SAM-проектом, в полученном отчете заказчик получает разработанные нашими экспертами рекомендации по наиболее удобным и логичным видам лицензирования. Рекомендации будут полезны при обосновании бюджета и выборе стратегии развития. Анализ программных активов с помощью SAM позволяет сократить юридические риски.
Но не все знают, что SAM-проект может быть узконаправленным. Возьмем для примера SAM Cybersecurity. Этот вид SAM-проекта включает в себя работы по оценке уязвимостей и уровня информационной безопасности в компании.
Многие компании не проводят анализа загружаемых и устанавливаемых приложений и не отслеживают неуправляемые устройства, находящиеся в корпоративной сети. Угроза может исходить и от пользователей, использующих небезопасные пароли. Всё это повышает уровень уязвимости компании.
Важно отметить, что использование средств контроля за ИТ-инфраструктурой без глубокого анализа не является панацеей.
SAM Cybersecurity проводится не только для повышения информационной безопасности, но и в целях профилактики. Каждый день появляются новые угрозы для безопасности, уследить за которыми, а тем более разобраться в них сложно. Например, вирусы-шифровальщики WannaCry, Petya смогли заразить десятки тысяч компьютеров и серверов по всему миру. Никто не был готов к этому, даже гиганты бизнеса, не говоря уже о среднем и малом бизнесе. Именно поэтому необходимо проводить анализ уязвимости ИТ-инфраструктуры.
SAM Cybersecurity проходит в несколько этапов. На первом этапе проекта анализируется инфраструктура заказчика, сканируются узлы вычислительной сети на предмет наличия проблем, связанных с безопасностью.
Второй этап SAM Cybersecurity – анализ с точки зрения информационной безопасности. Для этого используется методика анализа на основе CIS Critical Security Controls (CSC) – стандартизированные метрики, в которых собраны лучшие мировые практики по информационной безопасности. Эти рекомендации разработаны сообществом экспертов в области информационной безопасности при поддержке Центра стратегических и международных исследований интернет-безопасности. Они представляют собой описание приоритетных шагов по снижению рисков ИБ. Надежная автоматизация важнейших процессов обеспечения безопасности позволяет уменьшить число «измеряемых» рисков более чем на 90%.
Общая оценка зрелости уровня развития информационной безопасности компании производится по 20 направлениям. Среди них те, которые направлены на снижение риска несанкционированного доступа злоумышленников к информационным системам и сети организации. А также те направления, которые помогут минимизировать ущерб, вызванный таким проникновением. CSC 20 не только проверены временем – в них проработаны нюансы по наиболее уязвимым к атакам частям ИТ-инфраструктуры. Установление существующей степени защищенности производится исходя из состояния ИТ-инфраструктуры конкретной организации.
После того как все возможные угрозы и слабые места в инфраструктуре компании выявлены, следует третий этап: разработка рекомендаций по мероприятиям, которые необходимо предпринять для повышения уровня информационной безопасности компании.
Вышеуказанные рекомендации – одна из важнейших составляющих проекта. Это меры по повышению уровня безопасности инфраструктуры.
При выполнении рекомендаций, разработанных в ходе SAM Cybersecurity, компания:1. Получает механизм, обеспечивающий ей непрерывность бизнес-процессов.
2. Защищает критически важные сегменты инфраструктуры.
3. Существенно уменьшает риск финансовых потерь.
4. Обеспечивает целостность, доступность и конфиденциальность данных.
Таким образом, по окончании проекта заказчик получает:
1. Полный перечень уязвимостей в его инфраструктуре.
2. Отчет о наиболее вероятных угрозах информационной безопасности.
3. Рекомендации по повышению уровня защищенности компании.
Однако получить перечень уязвимостей и рекомендаций – недостаточная мера к обеспечению безопасности ИТ-инфраструктуры. Особого внимания заслуживают архитектура решений, возможность их совместной работы, а также сервисы, которые позволяют обеспечить безопасную работу.
Важный аспект – корпоративные стандарты, в частности стандарт для операционной системы, устанавливаемой на компьютеры сотрудников.
В большинстве своем компании до сих пор используют устаревшие (Windows 7, 8) или неподдерживаемые (Windows XP, Vista) операционные системы. Для сотрудников привычнее пользоваться знакомой операционной системой, но устаревшие ОС просто не в состоянии обеспечить требуемый уровень защиты. Наибольшую угрозу с точки зрения информационной безопасности представляют неподдерживаемые операционные системы.
Именно поэтому часто мы рекомендуем клиентам перевести сотрудников на работу с новой ОС Windows 10. Она даст не только новую функциональность и отличную производительность, но и безопасность. В корпоративную редакцию Windows 10 уже включены средства по защите устройств и данных.
В отчете SAM будут указаны и оптимальные варианты лицензирования предлагаемых решений.
Нет универсальных решений, но есть возможность внедрения индивидуального комплекта решений по информационной безопасности на основе рекомендаций SAM Cybersecurity.
Опубликовано 30.01.2018