Безопасность данных и стратегия защиты: актуальные проблемы

Не только масштаб, но и сложность проблемы безопасности данных и их защиты со временем всё возрастает. В ситуации, когда организации уже давно нуждаются в защите интеллектуальной собственности и конфиденциальной информации, изменения в информационных технологиях и бизнес-моделях выводят на авансцену новых игроков, новые угрозы и новые правила. В складывающихся условиях организациям нужно мыслить, выходя за рамки традиционных моделей безопасного периметра здания и запирания на замок особо важных сегментов инфраструктуры ИТ; им также нужно четко сформулировать свои цели по защите данных. Среди проблем, с которыми организации сталкиваются в Интернете, выделяются следующие:

  • Такая же активная защита информации, принадлежащей другим людям, как и своей собственной информации. Возросшая осведомленность клиентов о случаях утечки данных и вопросы конфиденциальности в целом приводят к привлечению пристального внимания к тому факту, что почти любая информация может быть украдена или использована не по назначению. Для сохранения отношений, важных для ведения бизнеса, организации должны убедительно демонстрировать клиентам и партнерам, что их информация будет в безопасности. 
  • Понимание, кому и что можно доверить. Организации постоянно теряют контроль над своими системами и рабочей силой. Тенденция распространения таких явлений как виртуализация, передача части работы сторонним организациям, использование персонала по контракту, и приход клиентов в офисные помещения организаций со своими мобильными устройствами – всё это осложняет для организаций следование политике обеспечения безопасности и мониторинг соблюдения стандарта безопасности. Неизбежно, когда часть чувствительной информации всегда будет находиться в системах, устройствах или руках пользователей, над которыми организация имеет лишь ограниченный контроль.
  • Постоянно на шаг опережать взломщиков. Постоянство и сложность атак взломщиков возрастает, поскольку потенциально возрастают суммы, которые они могут присвоить. Велико разнообразие криминальных лиц/ группировок и вредоносных программ. В последние десятилетия появился термин «Постоянно существующие высокотехнологичные угрозы» (APT); он отражаетнаиболее сложные формы вредоносных программ. Личные данные клиентов являются особенно привлекательной мишенью для взломщиков, и именно этот сорт новостей имеет тенденцию пестрить во всех заголовках в СМИ. Но многие другие виды информации (такие как формулы продуктов, стратегии бизнеса или другие коммерческие секреты) также подвергаются значительному риску.
  • Знание, какие нормативы и какие стандарты применять. Правительственные и индустриальные структуры уже приняли много законов, постановлений и стандартов, чтобы мотивировать организации активно защищать конфиденциальность информации. В разных регионах и в разных отраслях промышленности ответственность может очень широко варьировать; многие организации сталкиваются с большим количеством постановлений, некоторые из которых противоречат друг другу, а это приводит к неопределенности и растерянности. Когда происшествие, связанное с брешью в системе безопасности, происходит в плохо подготовленных к этому организациях, у таких организаций иногда не остается другого выбора, как начать раскрывать всю информацию, иногда и ту, в которой не было необходимости. 

Читать далее

Определение вашей стратегии

В большинстве организаций в настоящее время имеется та или иная форма защиты данных, но они постоянно ищут способы еще больше снизить риск. Ниже приведены три основных принципа, которые будут полезны руководителям, принимающим решения: они могут помочь им сформулировать стратегии эффективной защиты данных, и они подходят для организации любого типа:

  • Принятие подхода, при котором в центре стратегиибезопасности будут данные, а не материальные объекты. Лучший способ защиты важных данных – это сосредоточиться на самих данных. Это может казаться очевидным, пока вы считаете правильным то, что многие усилия по обеспечению безопасности сосредоточиваютсяна защите конкретного приложения, или территории, на которой расположено здание, или центра хранения данных, или аппаратного зала, или даже какого одного отдельного компьютера, или устройства хранения данных. Но защита данных – это совершенно буквально защита данных, поэтому организациям нужно переместить центр своего внимания на сами данные в течение всего срока, пока они существуют, начиная с их создания или приобретения организацией и вплоть до их уничтожения. Данные могут перетекать по всей организации и оказываться в неожиданных местах – но и в этом случае они должны быть защищены, где бы они ни подвергались риску перехвата.
  • Стремление к выходу на более высокие уровнинадежности. От организаций во всё возрастающей степени требуется не просто защищать свои данные, но важно также, насколько хорошо они их защищают и насколько сильны эти механизмы защиты; то есть, вопрос ставится так: на каком уровне надежности организована защита данных? На самом базовом уровне высокая надежность означает более высокую безопасность, достигаемую благодаря процедурам и технологии, - чем больше проверок и сверок и чем лучше проводится аудит, тем выше физическая безопасность, тем лучше системы защищены от вмешательства. Спускаясь вниз от наивысшей надежности к высокой надежности, мы находим в области безопасности классический компромисс, когда усилия по повышению безопасности приводят в западню или к трениям, которые могут стать причиной роста расходов или даже нарушить существование бизнеса.
  • Тщательный выбор, с чем бороться.  Для защиты своего бюджета, а также своих данных, организациям нужно идентифицировать и проанализировать все факторы риска, с которыми они сталкиваются, и выстроить иерархию приоритетов, во что следует инвестировать финансы для защиты данных, чтобы получить наибольшее снижение риска. Чувствительная и высокоценная информация может требовать усилий по целенаправленной защите данных, которая не обязательно будет согласоваться с внешними нормативами о защите данных. Легко подпасть под влияние склада ума, сконцентрированного на соблюдении предписанного стандарта безопасности; но организациям вместо этого иногда нужно отступить назад и оценить более широкую картину защиты данных – посмотреть на свои бизнес-контакты с более широкой перспективы. 

Скрыть раздел

Риски

  • Неприменение эффективных мер по защите данных может оставить организацию безоружной перед лицом атак, но выработка плана действий еще до завершения изучения основных данных и классификация данных наилучшим образом приведут к нахождению хотя бы частичного решения.
  • Защита данных выходит за пределы защиты конфиденциальности и защиты частной жизни; и планы также должны быть адресованы угрозам целостности данных, модификациям или заменам массивов данных, которые могут привести к последующим атакам взломщиков, которые будут иметь гораздо более серьезное негативное влияние, чем только потеря записей с индивидуальными данными.
  • Потоки данных и варианты использования часто задействуют многие слои организации и домены управления, и тогда становится сложно установить стабильность, а иногда выявляются “зазоры” или слабые звенья между различными режимами безопасности.
  • Применение громоздких мер безопасности может привести без необходимости к поискукомпромисса между безопасностью и функциональной эффективностью – получается,или безопасность или рост себестоимости продукции.
  • Успешная защита данных – это движущаяся цель – постоянно меняются постановления о конфиденциальности, появляются новые все более изощренные методы атак и изменения в среде ИТ – всё это ведет к необходимости частой переоценки стратегий защиты данных.

Стратегия защиты данных: решения компании Thales e-Security

Все продукты и услуги, предлагаемые компанией Thalese-Security, преследуют единственную цель: помочь предприятиям бизнеса, правительственным структурам и другим организациям успешно преодолеть трудности защиты данных, связанные со сложностями сегодняшнего и завтрашнего дня. Мы предоставляем проверенные продукты и услуги для обеспечения безопасности, которые максимизируют функциональную эффективность, минимизируют весь объем расходов владельца бизнеса и придают организациям маневренность в плане соблюдения требований и постановлений, системы ИТ со временем меняются. Нижняя линия: на которую должны выйти организации: нужно сделать свою систему более безопасной, но не за счет снижения надежности или эффективности или гибкости. Ни одна организация не может себе позволить такой безопасности.

Решения компании Thales делают упор на пяти важнейших областях: защитные аппаратные модули (HSM), сетевое шифрование, управление ключами, присвоение временных меток, и управление идентификацией. Мы работаем в тесном контакте не только с предприятиями бизнеса и правительственными структур амии, которыеиспользуют наши продукты и услуги, но также и со многими партнерами-разработчиками технологий во всем мире, - включая партнеров OEM, которые применяют нашу технологию в своих собственных продуктах. Мы тестируем наши продукты на популярных прикладных защитных программах и на бизнес-приложениях, чтобы заранее классифицировать наши решения и ускорить их применение нашими клиентами. Все наши продукты независимо сертифицированы как отвечающие стандарту FIPS, «Общим критериям», или другим стандартам безопасности, и это дает возможность нашим клиентам уверенно применять эффективные решения по защите данных.

Компания Thales полагает, что выход на более высокие уровни надежности бизнес-систем должен выходить за рамки всего лишь постепенного улучшения безопасности, так как он должен также позволять минимизировать временные прекращения бизнес-операций в случае наличия атаки. Мы помогаем организациям минимизировать риск ошибки, автоматизировать процессы, чтобы выйти на более высокие уровни эффективности, и в случае, если атака будет иметь место, восстанавливать системы с большей легкостью. Более того, мы делаем упор на производительности систем и гибком маневрировании между западнями, что может быть реализовано при внедрении криптографических процессов, таких как шифрование и цифровая подпись. Воспользовавшись преимуществами продуктов компании Thales и консультационными услугами наших экспертов, организация сможет понять спектр факторов риска, в условиях которых находятся ее чувствительные данные и приложения, - и снизить уровень риска по наиболее серьезным направлениям; - многие предприятия бизнеса и правительственные агентства во все мире улучшают защиту своего имущества, представленного их важнейшими данными, и более эффективно согласуют свои бизнес-операции со своими стратегическими целями и обязанностями.

Преимущества:

  • Работа с ведущими экспертами в области защиты данных и управления ключами защиты.
  • Использование преимуществ применения проверенных продуктов в широком диапазоне направлений защиты данных.
  • Повышение уверенности - опора на независимо сертифицированные продукты.
  • Выбор вариантов применения опций - покупка только тех возможностей, в которых ваша организация нуждается сегодня, и беспроблемное обновление впоследствии, когда вам понадобятся изменения,
  • Ускорение применения продуктов и услуг – компания Thales работает с широким рядом партнеров-разработчиков технологий, и это позволяет обеспечить функциональную совместимость с ведущими коммерческими системами и приложениями.