вторник, 10 апреля 2012 г.

#8 - Кибершпионы, хактивисты и воры..

Очередной совсем непрофессиональный перевод. Перевести решил сам, ввиду того, что не нашел перевода среди авторов, чьи блоги я чту. Если уже переводилось - не обессудьте.


Интересное заявление прозвучало в статье журнала CIO, названной «АйТи необходимо сменить свои стратегии безопасности, для борьбы с киберпреступниками». В статье Стив Дюрбин (Вице-президент ISF) говорит: «Традиционные принципы управления рисками не достаточно гибки, чтобы справиться с угрозами из киберпространства». Информационная безопасность в части управления рисками базируется, ну или должна базироваться, на постулате о том, что реализуемый контроль безопасности должен быть соизмерим выявленным рискам.
С тем же успехом компания может использовать не соответствующие системе управления рисками методы, но они могут быть достаточно гибки для поддержания управления рисками в киберпространстве на требуемом уровне. Чем серьезнее становится проблема, тем более бездумно компании принимают решения слепо следовать стандартам, таким как PCI DSS, в части управления рисками, вместо того чтобы на самом деле придерживаться принципов управления рисками. Недавних новостных сводок должно быть достаточно, что бы показать, что система защиты, основанная на неосознанном соответствии каким-либо пунктам защищенности («галочная» защита), представленная бизнесом, или даже регулирующими стандартами, в недостаточной мере способствует защите данных и еще меньше защищает компании от последствий такого компромисса. Даже в 2012 году идея о «хорошо защищенной оболочке с уязвимым ядром» преобладает в области безопасности данных. Хактивисты, киберпреступники и спонсируемые государствами шпионы, все они используют схожие инструменты для проникновения через системы защиты. Основные различия между ними лишь в мотивации их действий, а не в методах атак. Независимо от их мотивов, лучшим подходом к обеспечению защиты является ориентированный на данные принцип управления рисками. 28 февраля генеральный директор RSA в своем вступительном слове на конференции заявил: «В нашу Сеть будут проникать. Мы больше не должны удивляться этому». Пока это заявление соответствует действительности, компаниям стоит прибавить к нему следующее: «Пока в нашу Сеть будут проникать, наши данные должны оставаться защищенными».

Комментариев нет:

Отправить комментарий