Защита данных вашей организации имеет огромное значение. Но столь же важно предоставить сотрудникам право пользоваться собственными устройствами. Способны ли специалисты по безопасности сочетать одно с другим?

В нынешнем глобальном обществе, где все взаимосвязано через Интернет, компании любых размеров должны готовиться к неведомому, чтобы обладать гибкостью, позволяющей противостоять неожиданным крупномасштабным событиям, касающимся безопасности. Чтобы воспользоваться новыми тенденциями в технологии и киберпространстве, организациям необходимо управлять рисками такими способами, которые отличаются от традиционно используемых для обеспечения информационной безопасности, поскольку новые атаки отразятся как на репутации компании, так и на стоимости ее акций.

Панорама мобильности сегодня

Широко задокументирован всплеск использования на рабочих местах персональных мобильных устройств, получивший название «принеси свое устройство» (BYOD) и «приноси что хочешь свое» (BYOx). Gartner прогнозирует, что к 2016 г. две трети мобильных сотрудников будут обладать смартфонами и 40% всех сотрудников станут мобильными. Более того, разнообразие подключенных устройств (планшеты, фаблеты, носимые устройства), условий их использования, мобильных приложений и сервисов облачных вычислений еще больше увеличивают сложность картины.

По мере того, как набирает силу тенденция к использованию на рабочих местах своих мобильных устройств и приложений, облачного хранения и доступа в облака все компании независимо от размера продолжают сталкиваться с рисками информационной безопасности. Эти риски порождаются как внутренними, так и внешними угрозами, включая ошибки в управлении самими устройствами, манипулирование уязвимостями ПО извне и развертывание плохо протестированных, ненадежных бизнес-приложений.

Инициативы BYOx создают серьезные проблемы, как и широкое распространение социальных сетей. Сегодня руководители подразделений ИТ (CIO) и информационной безопасности (CISO) должны быстрее учитывать существование этих технологий или сопутствующих им рисков. Хотя защита данных вашей организации имеет огромное значение, для более продуктивной работы и конкурентоспособности, а также для хорошего морального климата и удержания талантливых работников важно предоставить сотрудникам возможность безопасно и гибко использовать собственные устройства, приложения и облачное хранение.

Защита ваших данных

С ростом количества потребительских устройств, а также объема данных, пересекающих множество границ, организации должны активно защищать секретные сведения. Поскольку чем дальше, тем больше пользователей будут выбирать BYOx, организациям необходимо понять и устранить некоторые появившиеся уже довольно давно проблемы, потратив необходимое время и ресурсы на управление этим важнейшим компонентом бизнеса.

Само собой разумеется, что бизнес-лидеры признают огромные преимущества цифровых технологий и то, как Интернет и особенно растущее сегодня использование подключенных к нему устройств многократно повышают уровень инноваций, сотрудничества, производительности, конкурентоспособности и вовлеченности в дела клиентов. К сожалению, им трудно оценить соотношение рисков и выгод. Что организации обязаны сделать в эти дни и в эту эпоху, так это убедиться, что они приняли стандартные меры безопасности.

Недавно организация Information Security Forum (ISF) выпустила вторую версию методологии оценки информационного риска (Information Risk Assessment Methodology version 2, IRAM2), имеющую много общего с другими популярными методологиями оценки риска. Однако если прочие методологии заканчиваются оценкой риска, то IRAM2 более полно освещает весь жизненный цикл управления рисками, представляя собой практическое руководство по работе с рисками. Методология оценки рисков IRAM2 способна помочь компаниям любого размера любым из своих разделов, в которых подробно раскрываются шаги и основные мероприятия, необходимые для достижения целей раздела. При этом определяются важнейшие факторы информационного риска и их последствия. IRAM2 предоставляет компаниям любого размера простую и практичную, но при этом строгую методологию оценки рисков, которая помогает компаниям определить, проанализировать и учесть информационные риски по всей организации.

Кроме того, ISF разработала практический подход к созданию основных показателей производительности труда (key performance indicators, KPI) и основных показателей риска (key risk indicators, KRI), на который опирается принятие решений при наличии достаточной информации. Это дает компаниям любого размера уверенность, что CIO и CISO, а также вся защита информации проактивно реагируют на приоритеты и потребности бизнеса.

Подход ISF побуждает CIO и CISO к ведению нужных переговоров с нужными людьми. Он рассчитан на применение на всех уровнях организации и складывается из четырех этапов:

  • придайте актуальность, привлекая специалистов для понимания бизнес-контекста; определите общие интересы и разработайте комбинации KPI и KRI;
  • генерируйте идеи, привлекая специалистов к созданию, отладке и интерпретации сочетаний KPI и KRI;
  • обеспечьте влияние, привлекая специалистов к даче рекомендаций, касающихся общий интересов, и принимайте решения о последующих шагах;
  • учитесь и совершенствуйтесь, привлекая специалистов к разработке планов обучения и совершенствования.

Данный подход откроет перед CIO и CISO путь к успеху посредством привлечения различных групп к определению общих интересов, выбору релевантных данных, выдвижению надежных гипотез и оказанию влияния с опорой на правильно выбранные KPI и KRI. Это, в свою очередь, подкрепляет принятие решений на основе достаточной информации.

Сейчас самое время

Время критично, и компаниям следует формулировать ответ на набирающую силу тенденцию к использованию мобильных устройств на рабочих местах с учетом того, что делать это нужно срочно. Сосредоточившись на имеющейся в организации информации как основе для оценки риска в рамках программы BYOx, можно сделать принятие решения гораздо более обоснованным, поскольку оно не будет зависеть от конкретных устройств и сможет повторно использоваться при развертывании BYOx в других условиях. Такой подход должен умерить желание руководства пойти на повышенный риск ради BYOx.

Важнейшую роль в управлении связанным с BYOx риском играет избрание в качестве отправной точки самой информации. Благодаря этому внимание концентрируется на том, на чем оно и должно быть сосредоточено, а не на технических деталях. Распространение новых устройств и приложений означает, что план управления связанным с BYOx риском, разработанный на базе одного единственного решения, может оказаться ограниченным. Концентрация внимания на информации имеет больше шансов привести к созданию гибкой и адаптируемой программы.