Nowe podejście do bezpieczeństwa IT, czyli konwergencja i zorientowanie na człowieka
- Mariusz Rzepka,
- 30.06.2011, godz. 08:36
Wymagania w zakresie bezpieczeństwa IT ewoluują obecnie w stronę etapu, w którym technologia nie jest już jedynym ważnym czynnikiem w zabezpieczaniu środowiska IT przedsiębiorstw. Dziś firmy muszą brać pod uwagę relacje między technologią, ludźmi i procesami w firmie.
Coraz więcej pracowników na co dzień korzysta w pracy z różnych technologii - tabletów, smartfonów, usług udostępniania i przechowywania plików w chmurze obliczeniowej. Zmusza to przedsiębiorstwa do nowego zdefiniowania strategii bezpieczeństwa IT tak, aby pozwolić zatrudnionym korzystać z nowości technologicznych, ale równocześnie chronić sieć korporacyjną przed zagrożeniami wynikającymi z korzystania z nich.
System informatyczny stał się centralnym punktem prowadzonych procesów biznesowych i ma kluczowe znaczenie dla wzrostu lub spadku wydajności i zysku firm. Zaawansowana technologia jest wyróżnikiem konkurencyjnym i źródłem innowacji biznesowych, a przedsiębiorstwa i instytucje są coraz bardziej uzależnione od technologii. Ponadto, najnowsze trendy konsumenckie wkraczają na arenę firmową. Rośnie popularność aplikacji webowych, pojawia się coraz więcej urządzeń mobilnych w przestrzeni przedsiębiorstwa.
Zobacz również:
- Przeglądarka Chrome będzie jeszcze jakiś czas akceptować pliki cookie
- FBI ostrzega - masowy atak phishingowy w USA
Kolejnym problemem dla bezpieczeństwa IT jest fakt, że technologiczny postęp spowodował łączenie elektronicznej komunikacji zawodowej i osobistej w tym samym miejscu. Pracownicy mogą dziś pracować w domu, podczas podróży, a także surfować w internecie w biurze. To przenikanie się rodzi wiele zagrożeń.
Dlatego firmy powinny zacząć od minimalizowania zagrożeń, jakie mogą pojawić się w wyniku nierozważnych zachowań użytkowników sieci korporacyjnej. A więc:
- Wszystkie uprawnienia kontrolne powinny spoczywać w ręku administratora IT, a nie poszczególnych pracowników.
- Rozwiązania w zakresie zabezpieczenia infrastruktury i informacji muszą być w coraz większym stopniu zorientowane na ludzi.
- Firmy powinny zidentyfikować całą gamę ryzykownych zachowań pracowników, które mogą nieść potencjalne zagrożenie, a następnie stworzyć różne profile ryzyka dla różnych osób lub grup w firmie.
- Istotne jest, aby ustawić indywidualne poziomy dostępu i korzystania z zasobów sieci korporacyjnej, dostosowane do skali ryzyka.
- Poprzez wprowadzenie i egzekwowanie wytycznych polityki bezpieczeństwa, administratorzy będą mieli większą kontrolę nad stanem bezpieczeństwa sieci.
Ponadto, przedsiębiorstwa muszą zacząć traktować bezpieczeństwo IT z perspektywy zarządzania ryzykiem i zarządzania korporacyjnego, a nie jako kwestię czysto technologiczną. Istotne jest dostosowanie polityki bezpieczeństwa IT do procesów biznesowych oraz wprowadzenie wewnętrznych zasad kontroli dla pracowników. Personel powinien wiedzieć jakie są możliwe zagrożenia i jak się przed nimi uchronić.
W projektowaniu systemu bezpieczeństwa w firmie trzeba odejść od tradycyjnej roli zabezpieczania zasobów IT i skupić się na kompleksowej ochronie funkcji biznesowych przedsiębiorstwa. Konieczne jest przyjęcie nowego, wieloaspektowego i głębszego podejścia do polityki bezpieczeństwa tak, aby sprostać coraz bardziej wyrafinowanym atakom i stale zwiększającej się liczbie luk w aplikacjach i systemach.
Mariusz Rzepka jest country managerem w firmie Fortinet Polska.