Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах
IDG  •  PC World  •  Computerworld  •  CIO  •  CFO  •  Networkworld  •  Дискусии  •  Кариерна зона  •  Събития
COMPUTERWORLD | Киберсигурност
17 сеп
2015
 
 

Джей Ранадей: Рискът не може да е нулев

3401 прочитания, 0 коментара

Джей Ранадей е специалист по ИТ мениджмънт, преподавател по Управление на информационната сигурност и етичен риск мениджмънт в New York University и хонорован професор в St John University преподавайки счетоводни информационни системи, ИТ одит, вътрешен одит, разследвания на проблеми със сигурността и оперативен риск мениджмънт. Издал е 35 книги на теми като компютърни мрежи, ИТ сигурност, операционни системи, програмни езици и др. Той изнесе лекция по време на 14-тата Международна конференция по информационна сигурност, организирана от ICT Media и ISACA-Sofia Chapter.

Джей Ранадей

Прочетете още: Министър Ненчев: Работи се по Национална стратегия за киберсигурност

Г-н Ранадей, разкажете накратко за какво говорихте по време на презентацията си на коференцията и за работния семинар който ще проведете в София (на 18 септември, бел. авт.).

Днешната презентация бе за последните тенденции и промени в областта на киберсигурността. Това е много динамична среда, като постоянно се появяват нови и нови заплахи и уязвимости и спектърът на киберсигурността се променя.

Повечето кибератаки се случват защото не “запушваме” уязвимостите в нашите системи. Другата голяма причина е грешното конфигуриране на системите. Много атаки идват от мобилни устройства – ако ги използвате, сте беда, ако не го правите, също. Всяко мобилно устройство е интелигентна техника, която може да е входна точка за мащабна атака срещу вашите компютърни бизнес системи. Причини за провеждането им могат да бъдат DDoS (distributed denial-of-service) атаки, кражби на данни и т. н., списъкът е дълъг.

Темата на работния семинар е управлението на риска в ИТ. В него ще съчетая информация, която обикновено преподавам за пет дни. Тъй като не разполагаме с неограничени ресурси за сигурност, трябва правим всичко на базтаа на онова, с което разполагаме. Точно затова говорим за управление на риска.

Може ли да се твърди, че сигурността бе по-проста и по-лесно постижима в миналото спрямо сега? Преди време имаше сървъри и компютри, докато днес говорим за смартфони, таблети, носими устройства, хакерски атаки срещу автомобили. Всичко е свързано с интернет или други мрежи и може да бъде атакувано.

Да, действително материята стана по-трудна. Но, ако не използвате новите устройства, няма да имате ръст, така че трябва да ги използвате, за да носят стойност за организацията. Същевременно основният принцип на риска е, че съществува ли стойност съществува и определен риск. Той трябва да бъде управляван. Главните изпълнителни директори и членовете на борда гледат стойността и искат от ИТ директорите и мениджърите по сигурността да измислят начини за минимизиране на риска при използването на тези устройства. След пет или десет години ще се появи нещо ново, спрямо което рискът от мобилните устройства ще изглежда минимален. Тук основното е управлението на риска – ако не го правите, спирате да растете.

Да, преди 15 години животът бе по лесен. Преди 50 години, когато не е имало компютри, той също е бил по-прост. Това обаче е цената на прогреса.

Целта е да се минимизира рискът, той не може да бъде елиминиран…

Рискът никога не може да бъде нулев. Той трябва да бъде смекчен до нивото, в което ще си кажете “Приемам го”. Това е нещо, което наричаме остатъчен риск. Той зависи от т. нар. рисков апетит на организацията. Целта е рискът да бъде намален до приемливо ниво за управляващите, в случая – членовете на борда.

Постигането на нулев риск изисква наличие на безкрайни ресурси. Същото важи и в живота. Когато шофираме автомобил ние знаем, че има шанс да бъде ударени и даваме най-доброто от себе си, така че това да не се случи – караме бавно, оглежаме се, разполагаме с въздушни възглавници, затраховки. Остатъчният риск е цената, на която живеем на този свят.

Чувал съм за т. нар. Аксиоми на Ранадей. Разкажете за какво става въпрос?

Преди 10 или 11 години, по времето когато работех в България като консултант за Мобилтел и пътувах, за да преподавам в Ню-Йорк, установих че всяка професия може да бъде обобщена с до 500 едноредови израза. Тези обобщения наричам аксиоми. По време на водените от мен курсове осигурявам на участниците свободен достъп до тях. Много пъти хора са ми казвали, че са минали изпити благодарение на тях. Не знам дали това е вярно, но много от моите студенти демонстрират световни успехи и са в челните 5-10% по успеваемост.

Разговора води Тихомир Иванов

НАЙ-НОВИ НАЙ-ЧЕТЕНИ ПРЕПОРЪЧАНИ
ТОП100 НА ТЕХНОЛОГИЧНИТЕ КОМПАНИИ


Слайдшоу
ИНТЕРВЮ
Тод Англин, Progress:  София има страхотна общност от софтуерни разработчициТод Англин, Progress: София има страхотна общност от софтуерни разработчици

Конференцията DevReach се завръща в София, има месец до събитието, а всички билети вече са разпродадени, коментира главният евангелист на Progress.

ПРИЛОЖЕНИЯ
АНКЕТА

Какво мислите за FireFox OS?

Информация за Вас