Cisco: «Не существует «серебряной пули» против угроз информационной безопасности»
Информационная безопасность. Еще с десяток лет назад этот вопрос не стоял так остро, бизнес не предполагал, какие угрозы могут крыться в работе с любыми продвинутыми технологиями.
Сегодня этот вопрос становится не то что более актуальным, но даже острым. Бизнес-консультант по безопасности компании Cisco Алексей Лукацкий рассказал DK.RU, как можно реально обезопасить свой бизнес от угроз информационной безопасноти.
– Каковы новые тенденции в области информационной безопасности, откуда они идут?
Мы выделяем 5 ключевых тенденций, которые в последнее время стали проявляться и позитивно сказываться на информационной безопасности любой организации – от малой до самой крупной. В порядке убывания – это наличие архитектуры сети и безопасности (в противовес хаотическому развитию и внедрению технологий, даже самых навороченных), использование комбинации средств, механизмов и технологий защиты (волшебного средства не существует и уповать на него не приходится), интегрированная на сетевом и прикладном уровне безопасность, а не только выполненная в виде отдельного решения, наличие и использование открытых API для интеграции с другими решениями по защите информации, а также автоматизация и координация, помогающие снизить время на обнаружение, локализацию и устранение последствий от атак.
– Какие средства защиты от угрозы информационной безопасности сейчас актуальны?
Согласно ежегодному отчету Cisco по информационной безопасности, не существует «серебряной пули» для отражения угроз. Даже самые разрекламированные решения не спасают – нужна комбинация технологий и решений, которые умеют взаимодействовать между собой. Причем не только в рамках решений одного вендора, но и при «общении» между продуктами разных производителей. Только в этом случае можно говорить о сколько-нибудь приближенной к идеальной системе отражения современных угроз.
– Ведут ли затраты на информационную безопасность к удорожанию продукта?
Любая новинка (будь то новая функция или продукт) всегда приводит к удорожанию как минимум процесса разработки. Итоговая цена продукта от этого может не поменяться (тогда снизится прибыль от выпуска продукта), но часто все-таки стоимость продукта растет. И тут главное – не пытаться свести этот рост к нулю (это нецелесообразно), а показать, что на один вложенный рубль мы получаем 50 копеек дополнительного дохода. Или рубль, или даже пять. То есть увеличение затрат на разработку дает продукту новое качество, которое может положительным (правда, может и отрицательным) образом сказаться на итоговом результате действия продукта.
– Насколько оправданы затраты на информационную безопасность?
Существует такая пословица «Информационная безопасность стоит дорого, но она того стоит». Если не брать в расчет приобретение решений по безопасности для выполнения требований по информационной безопасности, то любой продукт по безопасности надо оценивать с точки зрения его финансовой эффективности. На одной чашей весов располагаются затраты на его приобретение, внедрение и эксплуатацию, а на другой – даруемые им преимущества. Например, предотвращение атак, которые могли бы привести к простою (например, от действия вируса-шифровальщика), который привел бы к финансовым потерям (или уже приводил). Или, например, DDoS-атака, которая приводит к неработоспособности сайта, на котором компания зарабатывала деньги. Время простоя, умноженное на его стоимость, равно предотвращаемому ущербу, то есть мы вновь перешли к экономике. И так почти по каждому решению в области безопасности. Другое дело, что не все считают такую экономику…
– Как можно вывить экономическую эффективность использования тех или иных средств защиты?
Занимаясь безопасностью, мы обычно отвечаем на вопрос «ЧТО делать?». Переводя средства защиты на экономические рельсы надо задавать вопрос «ЗАЧЕМ это делать?», «ЧТО это даст бизнесу?». Как только меняется постановка вопроса, мы сразу начинаем по-другому оценивать проекты по защите информации – уже не с точки зрения страха какой-то (местами – мифической) угрозы, а с точки зрения получаемых преимуществ, сэкономленных денег, высвободившихся человеческих ресурсов, ускорения бизнес-процессов и т.п. А это уже прямой путь к оценке экономической эффективности.