Revista si suplimente
MarketWatch
Inapoi Inainte

MIRROR SECURITY – “Qvo Vadis my business?” sau cum sa aleg un partener de securitate a informatiei

24 Februarie 2007



Vremurile cand securitatea informatiei se rezuma la alegerea (de cele mai multe ori, pe criterii financiare) unui antivirus si a unui firewall ca solutie optima de securitate au apus de mult. Uraganul de amenintari si atacuri care s-a abatut peste intreaga lume (foarte interesant de analizat cauzele acestui fenomen!) a complicat foarte mult lucrurile. Acum, specialistii din securitatea informatiei sunt pusi fata in fata cu dificila provocare de a gasi noi solutii de incredere pentru a putea proteja organizatiile impotriva hackerilor, impostorilor si a altor persoane rau intentionate, care devin din ce in ce experimentati in “arta razboiului cybernetic”.


MirrorNu exista o formula magica


Conform spuselor lui Francis Pineda, seful departamentului de consultanta in securitatea informatiei de la I-Sentry Solutions Inc., organizatiile induc o tendinta, aflata intr-o continua crestere, de a achizitiona cele mai performante si mai noi tehnologii de securitate, neacordand prea mare atentie obiectului protectiei. La prima vedere, aceasta varianta pare a fi alegerea ideala. Dar, chiar daca investitia s-ar justifica, e posibil ca o alta solutie sa fie cea mai indicata pentru organizatia dvs. “A cumpara este cel mai usor lucru; dar este obligatoriu sa intelegeti de ce resursele organizatiei trebuie protejate, sa depistati amenintarea care planeaza asupra lor, sa fixati nivelul la care se disputa problema si sa descoperiti impactul potential care v-ar putea afecta afacerea”, declara Pineda. Cum ati putea stii pana la urma? Daca nu puteti raspunde la aceasta intrebare, nu va ramane decat o singura solutie: sa consultati un specialist, care s-ar putea (daca avantajele sunt reciproce) sa se transforme in-tr-un partener de afaceri. Ajungem iata si la tema principala a acestor randuri: cum sa-ti alegi un partener in aceasta spinoasa, dar actuala, problema a securitatii informatiei. Lasand la o parte argumentele subiective (cum ca e var cu tata sau ca e tot din PNL), chiar daca uneori aceste argumente sunt (oare de ce ma mira?) chiar mai puternice decat cele obiective, este evident ca trebuie luate in considerare anumite lucruri atunci cand va ganditi serios la aceasta alegere.


Nivelul de securitate


Problema trebuie privita din doua puncte de vedere diferite. Primul este punctul de vedere managerial (cel mai important), iar cel de-al doilea este cel tehnic (secundar, dar deloc de neglijat). Managerial vorbind, cel mai important este sa stabiliti care ar fi nivelul de securitate pe care ati vrea sa-l implementati si (in mod sigur) cati bani ati vrea sa cheltuiti. Desigur ca aceste doua obiective sunt influentate serios de industria in care fiintati si de marimea organizatiei dvs. Parerea unanima a specialistilor din securitatea informatiei este ca nivelele de securitate pe care le alegeti pentru organizatia dvs. sunt determinate de cantitatea si calitatea informatiilor ce trebuie protejate si de costurile implementarii pe diferitele nivele de securitate. Daca lucrurile sunt limpezite la acest nivel (din pacate, de multe ori aici apar probleme, deoarece top managementul organizatiilor inca mai considera securitatea informatiei ca fiind “ceva” care costa foarte mult si care foloseste foarte putin - dar desigur ca nu toti sunt la fel), trecem la partea a doua a problemei, cea tehnica. Aici intra in scena specialistii (va sugerez cu tarie sa nu folositi “inlocuitori”) care au sarcina de a analiza cele mai bune solutii de securitate care sa se adreseze nivelului de securitate vizat si sa se incadreze in bugetul stabilit. Nu pot da sfaturi specialistilor fiindca nu sunt un specialist, ceea ce cred ca ar fi interesant de urmarit aici este a vedea cum se incadreaza solutia tehnica in business plan-ul organizatiei. Ca lucrurile sa decurga fara sincope, ar fi excelent daca la aceasta treaba ar lucra o echipa mixta “management-tehnic”. Evident, este nevoie de o flexibilitate mare de ambele parti pentru a gasi solutia optima (caci si aici exista, de cele mai multe ori, neintelegeri). Dupa lupte seculare (sau poate nu, depinde doar de dvs.) ati ajuns sa definiti aproape toate criteriile necesare pentru alegerea viitorului partener de securitate. Ar mai ramane de discutat doar partea legata de incredere, integritate si etica vizavi de organizatia cu care veti incepe colaborarea. Aici fiecare are standardele sale si fiecare va alege, cred, in functie de propriile valori ce definesc un parteneriat.


Costurile ne omoara!


Cat le costa pe organizatii lipsa de securitate? Daca exista scurgeri de informatie, care sunt consecintele? Chiar daca managerul tehnic nu poate estima pierderile in totalitate, puneti pe hartie tot ce puteti: numarul de ore pierdute in cazul in care “cade” un server sau o statie de lucru, timpul pierdut (uneori peste program) pentru a incerca o refacere a sistemului, oamenii care isi pierd slujbele sau parasesc organizatia, oportunitatile avantajoase de business compromise, etc. Odata ce aveti o vedere ampla asupra efectelor produse de insecuritatea unei organizatii, sunteti in masura sa gasiti solutiile de securitate adecvate care vor motiva costurile investitiilor. Francis Pineda accentueaza importanta unui “research” serios si a unor testari riguroase, atunci cand vine vorba de alegerea celor mai performante solutii (hardware si software) de securitate a informatiei. “Luati in calcul sfaturile a cat mai multi specialisti. Achizitionati produsele doar de la un distribuitor sau reseller de incredere. Si nu va decideti niciodata luand in considerare doar pretul” (bravo, domnule Pineda!), avertizeaza seful departamentului de consultanta in securitatea informatiei de la I-Sentry Solutions Inc. “Pentru ca intotdeauna primesti ceea ce platesti.”


A se avea in vedere factorul uman


Conform unui sondaj recent efectuat de catre Meta Group, “mai mult de 75% dintre organizatii identifica o lipsa de informare specifica a utilizatorilor. In consecinta, eficienta solutiilor de securitate este redusa considerabil, atingand uneori cote alarmante.” Lipsa de informare este atribuita incapacitatii personalului IT de a comunica eficient politicile si regulile de securitate pe toate nivelele organizatiei. Expertii in securitate pun accent in unanimitate pe “factorul uman”, atunci cand vine vorba de a determina cea mai performanta solutie de securitate pentru o organizatie. Dupa cum am mai mentionat, va fi nevoie de un dialog intern intre manageri (pe toate nivele) si personalul IT pentru a se lua o hotarare cu privire la solutiile optime de securitate. Dar, pentru a se obtine acest lucru, managerii de securitate vor trebui sa dovedeasca ingeniozitate atat in arta comunicarii, cat si in domeniul tehnic.


“Cea mai buna solutie este si cel mai bun administrator”, declara Pineda. “Unele companii reusesc sa achizitioneze solutii adecvate de securitate, dar administratorul de securitate esueaza in a folosi eficace aceste solutii. De aceea, personalul din securitatea informatiei, pe langa pregatirea necesara de specialitate, trebuie sa arate si calitati deosebite in arta comunicarii care il ajuta sa informeze reprezentantii tuturor nivelelor organizatiei si sa obtina sprjin din partea managerilor si utilizatorilor. Daca nu reusiti sa gasiti o astfel de echipa, atunci poate ca a venit momentul sa va intrebati daca nu cumva merita sa “outsoursati” respectivul serviciu.”



Parerea ta conteaza:

(0/5, 0 voturi)

Lasa un comentariu



trimite