На исследования и разработки в области информационной безопасности Cisco ежегодно расходует примерно 10% всех средств, ассигнуемых на НИОКР, т.е. около 300 млн долларов, что превышает годовой оборот многих зарубежных компаний, работающих в этом сегменте рынка. В своей статье вице-президент, главный директор компании Cisco по информационной безопасности Джон Стюарт (John N. Stewart) рассуждает о важности защиты корпоративных ресурсов перед лицом нарастающих сетевых атак
Хакерские атаки становятся все более изощренными. Раньше защиту информационных систем испытывали на прочность только компьютерные вирусы и черви, причем вирусы сочиняли не для нанесения ущерба, а для того, чтобы наделать шума и тем самым прославиться. Такие вирусы не представляли смертельной опасности, тем более, что их изначально писали так, чтобы предупредить об угрозе. В конце концов хакеры своего добились: вирусы и черви привлекли всеобщее внимание.
Сегодня мы живем в другую эпоху, когда основная угроза исходит от тайных краж информации и целенаправленных атак на те или иные организации. В таких атаках нередко присутствуют электронный шпионаж и так называемые "инсайдеры" — сотрудники вашей компании, на самом деле работающие против вас. В принципе, в этом нет ничего нового, просто сетевые атаки приняли несколько иную форму. Те, кто организует целенаправленные атаки на ту или иную компанию, учитывают особенности ее инфраструктуры, личность ее сотрудников и принятые в этой компании бизнес-процессы. Добыть такие данные несложно, поскольку сегодня компании предают огласке много информации о себе. Атакующий не проламывает крепостные стены с криком "ура", а тихонько просачивается сквозь системы защиты и до поры до времени "залегает на дно", а затем выкрадывает у компании ценную информацию. Такая угроза приносит гораздо больше ущерба, чем любые вирусы недавнего прошлого.
Так или иначе, я считаю, что любая программа информационной безопасности должна начинаться с обучения персонала. Всегда нужно начинать с человека, особенно, в наш кибернетический век, когда учиться приходится всю жизнь. Бизнес быстро меняется, и ваши системы информационной безопасности должны встречать эти перемены во всеоружии. К примеру, у вас может появиться много сотрудников, работающих через каналы удаленного доступа, что потребует дополнительных усилий для защиты корпоративной информации. Так или иначе, любая организация должна обучать своих работников, чтобы они знали обо всех новых угрозах и проблемах, связанных с защитой данных.
Забота об информационной безопасности, не устает повторять глава нашей компании Джон Чемберс (John Chambers), касается каждого работника, независимо от его должности. В Cisco мы постоянно обсуждаем текущую ситуацию, изучаем различные сценарии из реальной жизни, размышляем над защитой ценной информации и анализируем события за последние 90 дней и 180 дней. Каждую пятницу более 30 высших руководителей Cisco получают через систему голосовой почты отчет обо всем, что произошло в области безопасности за последнюю неделю. Если у нас возникает та или иная проблема, то о ней знают все и прежде всего — высшие руководители, которые делают все возможное для скорейшей ликвидации этой проблемы за счет изменения бизнес-процессов и внедрения передового опыта. Таким образом, информационная безопасность стала одним из главных приоритетов руководства Cisco. Таким же приоритетом она должна стать и для каждого сотрудника.
Проблемы безопасности стоят не только перед крупными корпорациями, но и перед малым и средним бизнесом, однако у малых предприятий нет тех ресурсов, которыми располагают более крупные компании. На малом предприятии если и есть штатный ИТ-специалист, то он отвечает за все, включая информационную безопасность. В результате предприятие вручает свои самые ценные ресурсы сетевому администратору или администратору базы данных, причем руководство компании так и норовит урезать его бюджет, забывая об огромной ответственности, лежащей на этом человеке. Ведь он, по сути, — единственный защитник вашей самой важной информации. В таких людей необходимо вкладывать деньги, чтобы они могли эффективно решать стоящие перед ними проблемы. Им нужно постоянно повышать квалификацию и учиться, и этот процесс не остановить.
Как планировать действия в области информационной безопасности? Во-первых, не откладывайте решений в этой области: если ждать следующего квартала или, тем более, полугодия, то их можно и не дождаться. Безопасность нужно оценивать в категориях риска. Какой уровень риска вы можете себе позволить? Насколько уменьшится риск при тех или иных инвестициях? Стоит ли игра свеч? Однозначного ответа на эти вопросы не существует, все зависит от конкретной ситуации.
Cisco всегда стремится предвидеть возможный ущерб и затем делает все возможное, чтобы этого ущерба избежать, тогда как многие компании лишь реагируют на атаки, ничего не делая для их предотвращения. Следует помнить, что фундаментальный принцип кризисного управления состоит в упреждающей разработке планов на все случаи жизни и реализации готового плана при наступлении той или иной кризисной ситуации.
Мы в Cisco считаем, что информационная безопасность должна войти в плоть и кровь корпоративной культуры. Я часто говорю с коллегами и обсуждаю их планы. Эти планы могут быть разными, но при всем их различии каждый из них должен учитывать возможный риск. Мы уверенно идем вперед, преодолевая время от времени те или иные опасности и накапливая опыт решения проблем. Этот опыт невозможно переоценить.