Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах
IDG  •  PC World  •  Computerworld  •  CIO  •  CFO  •  Networkworld  •  Дискусии  •  Кариерна зона  •  Събития
COMPUTERWORLD | Киберсигурност
22 сеп
2013
 
 

Gartner: Топ 10 мита за киберсигурността

4714 прочитания

Когато става въпрос за информационна сигурност, има много недоразумения и преувеличения относно както заплахите, които застрашават организациите, така и технологиите, които могат да бъдат използвани за защита на информационните активи, смята анализаторът от Gartner Джей Хайзър. Всички тези неправилни схващания са част от митовете за сигурността, някои от които са широко разпространени сред потребителите и дори сред професионалистите в сферата на киберсигурността, както и сред компаниите, които се опитват да опазят данните и системите си.

В опит да развенчае някои от най-популярните митове, Хайзър проведе презентацията „Top 10 Security Myths“ в рамките на събитието Gartner Security & Risk Management Summit в Нешънъл Харнър, Мериленд, което се проведе през юни тази година. Ето кои са те:

1. Няма да се случи на мен

Причина: свикването с многото шум около рисковете за сигурността и оставянето на служителите да правят каквото си искат, за да бъдат избегнати разходи и отговорности.

Препоръка: изправете се лице в лице с бизнес отговорността си да имате контрол върху собствената си сигурност; изградете работна рамка за класификация на защитата.

2. Бюджетите за киберсигурност са 10% от разходите за ИТ

Причина: самозалъгването. Скорошно проучване на Gartner показва, че този процент средностатистически е около 5%.

Препоръка: открийте реалните средни стойности в региона и индустрията си и преценете доколко вашите възможности и нужди им съответстват.

3. Рисковете за сигурността могат да бъдат количествено оценени

Причина: илюзията, че можете да оправдаете необходимостта от конкретен бюджет за киберсигурност чрез Excel таблица – често срещана заблуда в разпространената култура на изчисляването на всичко.

Препоръка: разработете методи за изразяване на рисковете, чиито резултати не са някакви стойности в таблица. Опитайте се да направите така, че отделът, за който е необходим този бюджет, поема отговорност за своите ИТ рискове.

4. Имаме физическа сигурност (или SSL), така че данните ви са защитени

Причина: отново самозалъгването, както и слабото разбиране на рисковете.

Препоръка: бъдете информирано сигурни, че начините, по които подсигурявате данните си, са адекватни спрямо критичността на тези данни.

5. Паролите със срокове и сложните пароли намаляват риска

Причина: инерцията. „Знаем, че в паролите има някои фундаментални пропуски, но разбиването им не е основният. Паролите не биват разбивани, а преписвани“, изтъкна Хайзър.

Препоръка: няма универсална.

6. Изнасянето на CISO извън ИТ отдела автоматично ще доведе до добра сигурност

Причина: просто прехвърляне на топката. „Става въпрос за старата практика на разрешаване на културен проблем чрез реорганизиране на нещо“, посочи Хайзър.

Препоръка: анализирайте корените на слабостите в сигурността си.

7. Спазването на практиките за сигурност е проблем на CISO

Причина: отново прехвърляне на топката. Бизнес отделите винаги искат рисковете за сигурността да са грижа на някой друг, като обикновено всичко се струпва на гърба на главния директор по информационна сигурност (CISO), макар че в същото време не желаят CISO да им казва какво да правят и какво да не правят.

Препоръка: изградете програма за киберсигурност около специфичната култура в организацията.

8. Купете този инструмент и той ще разреши всичките ви проблеми

Причина: желанието за откриване на външни магически решения на трудните проблеми, което също води до самозаблуди.

Препоръка: методично анализирайте и приоритизирайте рисковете и правете това в рамките на дългогодишен план за ИТ сигурност.

9. Нека да стартираме тази политика и всичко ще се нареди

Причина: самозалъгването.

Препоръка: решете кой какви отговорности трябва да има и не залагайте всичко на една карта.

10. Криптирането е най-добрият начин за опазване на чувствителни файлове

Причина: когато криптирането наистина работи, то работи брилянтно. Но то може да доведе до повече вреди отколкото ползи, когато има наивни очаквания от една такава деликатна технология. Понякога това се превръща в търсене на Свещения граал.

Препоръка: бъдете сигурни, че разполагате със солидна експертиза криптографията преди да вземате решения в тази сфера.

В заключение Хайзър изтъкна, че много от тези митове възникват поради фактори, които са плод на човешката склонност да свръхреагира в непознати ситуации и на често срещаната практика да се прехвърлят отговорности и вина на някой друг. „Прехвърлянето на топката характеризира бюрократичното управление на риска“, отбеляза той, добавяйки, че „няма причина един CISO просто да приема всеки горещ картоф“, особено когато служителите все по-активно използват в работата си потребителски технологии.

Network World САЩ

НАЙ-НОВИ НАЙ-ЧЕТЕНИ ПРЕПОРЪЧАНИ
Фирмите представят
Безпрецедентна производителност в новите супербързи х86 сървъри на FUJITSU

Безпрецедентна производителност в новите супербързи х86 сървъри на FUJITSU

Изключително бързи възможности за обработка на трудоемки и тежки задачи, както и на невъобразими до момента количества данни

Слайдшоу
ИНТЕРВЮ
Рей О’Фаръл, VMware: Светът на облаците ще е хибриденРей О’Фаръл, VMware: Светът на облаците ще е хибриден

Техническият директор на компанията е уверен, че публичните услуги няма да заменят собствените сървъри.

ПРИЛОЖЕНИЯ
АНКЕТА

Какво мислите за FireFox OS?

Информация за Вас