ИТ безопасность - границы ответственности
Безопасность по-прежнему остается одной из самых сложных задач для любой организации. Согласно недавнему опросу, проведенному институтом Ponemon, 67% ИТ-организаций ужесточили доступ к данным компании, поскольку те повысили требования или опасения насчет безопасности. Поскольку компании все чаще слышат о новых нарушениях информационной безопасности через удаленный доступ какого-либо сотрудника или через каналы связи с поставщиками, немедленной реакцией на это становится стремление ограничить доступ как можно сильнее.
В то же время, однако, аутсорсинг ИТ безопасности растет и ширится. Когда компания Pierre Audoin Consultants исследовала отношение к аутсорсингу операций по обеспечению безопасности, фирма обнаружила, что 34% компаний использовали управляемые услуги безопасности, в то время как 13% перевели на аутсорсинг все свои требования безопасности ИТ. Из опрошенных крупных предприятий только 21% не использует никаких внешних услуг.
Для ИТ-директоров и ответственных за ИТ безопасность на сегодняшний день сложилась такая ситуация, в которой они находятся между молотом и наковальней. Требования по снижению затрат и повышению квалификации специалистов по различным системам делает аутсорсинг жизнеспособной и необходимой для рассмотрения стратегией. Тем не менее, ответственные за ИТ безопасность на предприятии также должны принимать во внимание, что бизнес колеблется между требованиями большей гибкости и большей закрытости систем, в зависимости от того, какие настроения царят в информационном поле по этому вопросу. Это делает управление и долгосрочное планирование ИТ безопасностью весьма сложным.
Управление требованиями аутсорсинга ИТ и безопасности операций может быть сложной задачей. Тем не менее, можно реализовать наиболее удачные подходы, которые обеспечивают большую часть требований, независимо от того, реализованы ли они внутренними или внешними средствами. Такие инструменты как удаленный доступ делают аутсорсинг возможным, но могут также представлять угрозу безопасности, если он изначально реализованы и не управляется должным образом.
Важно также, чтобы доступ поддерживался на постоянном уровне. Вместо того, чтобы выключать услуги или изменять подходы в ответ на последние страшилки из новостной ленты, очень важно планировать действие заранее, чтобы улучшить и поддерживать производительность, предоставляя доступ, который является безопасным, управляемым и контролируемым.
Приведем конкретный пример. PCI DSS (Payment Card Industry Data Security Standard – стандарт безопасности данных индустрии платежных карт) распространяется на все организации, которые связаны с платежами по картам, в том числе в области розничной торговли, платежных систем и банков. Третья редакция вступила в силу в январе 2015 года, и основная цель этой версии состоит в том, чтобы сделать соблюдение требований PCI простым для компаний - в сущности, превращая его из чего-то, что было обременительным, в то, что будет соответствовать более успешным общепринятым практикам.
Одной из самых сложных областей этого направления являлось распределение обязанностей по данным платежных карт. Платежи могут пройти через несколько сторон сделки – от точки розничной торговли через платежную систему или через третью сторону, а затем через банк заказчика, а затем снова проделать весь путь - так что все эти компании должны быть в безопасности и соответствовать требованиям отрасли. Тем не менее в случае нарушения разграничение ответственности за безопасность может быть нечетким.
PCI DSS 3.0 возлагает ответственность за ИТ-безопасность на плечи ритейлера, даже в случае применения им аутсорсинга. Эта тема ответственности должна быть расширена, чтобы включить всю ИТ-инфраструктуру компании в целом, а не только электронные платежи.
Причина кроется в том, что атаки могут произойти через доступ третьей стороны. После того, как внешний периметр будет нарушен, можно эскалировать вопрос из этой начальной точки. Вместо того, чтобы искать виноватых, ответственность за безопасность должна относиться к самой розничной торговле.
Для всех компаний подход, с помощью которого реализовано соблюдение PCI DSS, может быть ценным в качестве чуть ли не учебного пособия. Задача состоит в том, чтобы одновременно сохранить чувства ответственности и собственности, даже когда несколько третьих сторон объединяются вокруг операций по обеспечению безопасности.
Один из подходов, который может быть полезен здесь для CIO, это наличие постоянной связи между его или ее компанией и третьими сторонами. Вместо того, чтобы полагаться на любые удаленные подключения, которые сам выберет аутсорсер, CIO могут предусмотреть, как и когда аутсорсеры получат доступ к сети.
Это означает, что компания может поддерживать свой собственный аудит и контроль доступа, а не полагаться для этого на третье лицо. Этот подход может рассматриваться как сохранение политики безопасности в области доступа, которая предусматривает только «приглашение» в сеть, когда кому-либо необходим этот доступ, не позволяя никому получить свободный доступ во все время.
Другой подход заключается в том, чтобы организовать журналы логов доступа к управлению и данным для совместного использования на регулярной основе - это обеспечит ИТ-директора необходимой информацией, чтобы показать, что его или ее партнеры работают в правильном направлении и выполняют правильные процессы.
Такой подход ставит акцент на корректности отчетов, и, понимая их, CIO или CISO всегда может указать на то, как соблюдаются их правила о доступе и поддержке.
Одной из областей, которая обязательно должна быть рассмотрена в области аутсорсинга операций по обеспечению безопасности ИТ, является привилегированное управление доступом. Большинство CISO знают о привилегированном управлении учетными записями, который охватывает контроль над доступом к конфиденциальными данными в конкретных приложениях.
Привилегированный доступ относится к типу доступа к сетевым активам извне пределов организации – и также должен быть под контролем, особенно учитывая наличие аутсорсинга и удаленных рабочих мест. Контроль этого доступа является особенно важным во время реализации аутсорсинговых проектов, поскольку обе принимающие участие стороны хотят иметь возможность продемонстрировать, что они действуют в соответствии с правилами, которые сами установили.
Необходимо отметить, что компании могут рассмотреть и более активное использование ИТ аутсорсинга, поскольку он может быть важной частью их инфраструктуры. Конечно, руководители и директора сами понимают, как IT-решения в области безопасности могут повлиять на их бизнес. Но чтобы быть успешным в этой среде, важно понимать разделение между операциями и ответственностью.