| |
Уважаемые пользователи!
Как основные тенденции и изменения в IT влияют на ИБ-портрет организации и что нужно учесть, реагируя на требования бизнеса?
Мы собрали самые важные и практичные тенденции в IT и сосредоточились на ИБ-аспектах каждой из них. Итак, поехали!
Оптимизация IT
Для служб IT — это серьезный пересмотр операционных затрат. Мы говорим, о расходах на облака, поскольку 60% данных организаций уже сегодня хранятся там. Во многих компаниях переход в облако происходил стихийно и несистемно, что привело к накоплению неэффективно используемых SaaS-контрактов, а также неоптимально настроенных виртуальных машин и других облачных сред. Компаниям нужно создавать культуру, когда о стоимости облака думают не только айтишники, но и сами пользователи облаков.
ИБ-аспект. При оптимизации и консолидации происходит перенастройка облачных сервисов, переносы данных между разными облачными средами и т. п. Важно выделить время и ресурсы на аудит состояния системы после переноса, чтобы убедиться в применении корректных настроек безопасности, отсутствии служебных аккаунтов, которые были нужны на время переноса портов, и так далее.
Open source
Экономические выгоды приложений с открытым исходным кодом многообразны: компании-разработчики ПО снижают затраты и время до выхода на рынок, используя уже готовый код; компании-пользователи получают систему, которую при необходимости можно дорабатывать и поддерживать своими силами.
ИБ-аспект. Главный риск open source — уязвимости и закладки в чужом коде, который использует компания. Нередко организация пользуется библиотекой или фрагментом программы, не зная об этом. Для устранения рисков open source нужны системы инвентаризации и сканирования кода.
Управление данными
Чтобы развивать бизнес при помощи данных, нужен четкий порядок их сбора, каталогизации, хранения и использования. Для этого внедряют стратегию управления данными — Data Management и Data Governance. Она описывает структуры и характер хранимой информации, полный жизненный цикл данных, позволяет управлять их хранением и использованием.
ИБ-аспект. Зная, где и какие данные хранятся, организация может лучше оценивать свои риски, обеспечивать все пулы данных адекватной защитой, соблюдать требования законов по хранению персональных данных. ИБ-службе нужно активно участвовать в создании и воплощении стратегии управления данными, отразить в ней: политики доступа и шифрования, контроль compliance, меры по защите данных в покое и при пересылке, процедуры получения доступа и так далее.
Low code & no code
Подход low code позволяют модифицировать и развивать бизнес-системы, не привлекая программистов. Среди распространенных доработок — модификация интерфейса приложений и сайтов, создание новых сценариев анализа или контроля данных, автоматизация бизнес-процессов, проходящих на компьютере (RPA). Это помогает развивать CRM-решения, электронный документооборот, создавать маркетинговые веб-страницы и так далее.
ИБ-аспект. Системы low code создают существенные риски, поскольку такая система имеет довольно широкий доступ к данным и другим IT-системам организации, а настраивают и используют ее пользователи без глубокой подготовки в IT и ИБ. В результате возможны утечки данных, разные формы повышения привилегий, выполнение действий с низким уровнем их протоколирования, а также неавторизованный доступ к информации. ИБ-служба должна разработать специализированную политику и процедуры для каждого приложения low code, применяемого в организации. Администраторы и владельцы приложения должны пройти глубокое обучение по этим ИБ-процедурам, а для обычных пользователей приложения low code нужен базовый специализированный тренинг.
Устойчивость и надежность (robustness & resilience)
Можно выделить несколько направлений развития устойчивости:
- глубокое тестирование IT-систем при их разработке (devops, devsecops);
- разработка систем, продолжающих функционирование при частичном выходе из строя (избыточность, дублирование);
- внедрение систем мониторинга, позволяющих отслеживать как ИБ- так и IT-аномалии и предотвращать инциденты на ранних стадиях (отказ баз данных, дисбаланс нагрузки, запуск вредоносного ПО и так далее);
- внедрение многоуровневой системы информационной безопасности в организации и так далее.
ИБ-аспект. Здесь IT- и ИБ- требования тесно переплетены, и реализация любого из перечисленных направлений потребует глубокого сотрудничества соответствующих служб. В идеале одно решение, например система резервного копирования, решает задачи IT и ИБ одновременно, а определение требований к ним, учения по их использованию и тому подобное, проходят совместно. В результате организация получает целостный план повышения киберустойчивости.
Ознакомиться с полной статьей Вы можете здесь. Источник новости: www.kaspersky.ru
Помните, что не только Вашему бизнесу нужна защита!
Защиту для домашних пользователей можно купить в интернет-магазине компании «ЮКОЛА-ИНФО».
Если у Вас возникли вопросы или желаете получить консультацию по определенному решению - позвоните нам по телефонам:
+375 (17) 28 28 903 МГТС
+375 (29) 128 34 62 А1 (Viber)
+375 (33) 666 59 03 МТС
Приятной работы!
|