Nowe podejście do bezpieczeństwa IT, czyli konwergencja i zorientowanie na człowieka

Wymagania w zakresie bezpieczeństwa IT ewoluują obecnie w stronę etapu, w którym technologia nie jest już jedynym ważnym czynnikiem w zabezpieczaniu środowiska IT przedsiębiorstw. Dziś firmy muszą brać pod uwagę relacje między technologią, ludźmi i procesami w firmie.

Coraz więcej pracowników na co dzień korzysta w pracy z różnych technologii - tabletów, smartfonów, usług udostępniania i przechowywania plików w chmurze obliczeniowej. Zmusza to przedsiębiorstwa do nowego zdefiniowania strategii bezpieczeństwa IT tak, aby pozwolić zatrudnionym korzystać z nowości technologicznych, ale równocześnie chronić sieć korporacyjną przed zagrożeniami wynikającymi z korzystania z nich.

System informatyczny stał się centralnym punktem prowadzonych procesów biznesowych i ma kluczowe znaczenie dla wzrostu lub spadku wydajności i zysku firm. Zaawansowana technologia jest wyróżnikiem konkurencyjnym i źródłem innowacji biznesowych, a przedsiębiorstwa i instytucje są coraz bardziej uzależnione od technologii. Ponadto, najnowsze trendy konsumenckie wkraczają na arenę firmową. Rośnie popularność aplikacji webowych, pojawia się coraz więcej urządzeń mobilnych w przestrzeni przedsiębiorstwa.

Zobacz również:

  • Jedną z metod obrony przed skutkami ataków ransomware może być taśma
  • Jedna trzecia wiadomości zgłaszanych przez pracowników to phishing

Kolejnym problemem dla bezpieczeństwa IT jest fakt, że technologiczny postęp spowodował łączenie elektronicznej komunikacji zawodowej i osobistej w tym samym miejscu. Pracownicy mogą dziś pracować w domu, podczas podróży, a także surfować w internecie w biurze. To przenikanie się rodzi wiele zagrożeń.

Dlatego firmy powinny zacząć od minimalizowania zagrożeń, jakie mogą pojawić się w wyniku nierozważnych zachowań użytkowników sieci korporacyjnej. A więc:

  1. Wszystkie uprawnienia kontrolne powinny spoczywać w ręku administratora IT, a nie poszczególnych pracowników.
  2. Rozwiązania w zakresie zabezpieczenia infrastruktury i informacji muszą być w coraz większym stopniu zorientowane na ludzi.
  3. Firmy powinny zidentyfikować całą gamę ryzykownych zachowań pracowników, które mogą nieść potencjalne zagrożenie, a następnie stworzyć różne profile ryzyka dla różnych osób lub grup w firmie.
  4. Istotne jest, aby ustawić indywidualne poziomy dostępu i korzystania z zasobów sieci korporacyjnej, dostosowane do skali ryzyka.
  5. Poprzez wprowadzenie i egzekwowanie wytycznych polityki bezpieczeństwa, administratorzy będą mieli większą kontrolę nad stanem bezpieczeństwa sieci.

Ponadto, przedsiębiorstwa muszą zacząć traktować bezpieczeństwo IT z perspektywy zarządzania ryzykiem i zarządzania korporacyjnego, a nie jako kwestię czysto technologiczną. Istotne jest dostosowanie polityki bezpieczeństwa IT do procesów biznesowych oraz wprowadzenie wewnętrznych zasad kontroli dla pracowników. Personel powinien wiedzieć jakie są możliwe zagrożenia i jak się przed nimi uchronić.

W projektowaniu systemu bezpieczeństwa w firmie trzeba odejść od tradycyjnej roli zabezpieczania zasobów IT i skupić się na kompleksowej ochronie funkcji biznesowych przedsiębiorstwa. Konieczne jest przyjęcie nowego, wieloaspektowego i głębszego podejścia do polityki bezpieczeństwa tak, aby sprostać coraz bardziej wyrafinowanym atakom i stale zwiększającej się liczbie luk w aplikacjach i systemach.

Mariusz Rzepka jest country managerem w firmie Fortinet Polska.


TOP 200