Как рассказал ведущий архитектор ActiveCloud по информационной безопасности Антон Грецкий, безопасность данных становится все более актуальной в современном мире. Отношение к этому вопросу за последние несколько лет сильно изменилось. Если раньше специалисту по безопасности требовалось обосновать выделение хотя бы минимального бюджета на покупку даже антивирусного ПО, то сегодня руководители компаний начинают понимать, что информационная безопасность — это не просто вопрос выполнения требований законодательства.
«Непрерывность бизнеса, доступность ресурсов позволяют оптимизировать бюджет, а инциденты, связанные с потерей данных, как своих, так и клиентских, выливаются в репутационные, а следом, и в финансовые потери. В такой ситуации клиент может сделать выбор в пользу конкурентов, у которых инцидентов не было», — убежден Антон Грецкий.
Естественным в таких случаях будут вопросы: С чего начать? Как именно обеспечить информационную безопасность? Как сделать это наиболее эффективно и без существенного ущерба для бюджета? Как соответствовать требованиям закона.
Не смотря на то, что процедура обеспечения информационной безопасности вопрос сложный и индивидуальный, на базовые и часто задаваемые вопросы есть ответы.
1. Выявление объектов риска. Первым шагом должен стать аудит — следует сперва понять, какими активами вы располагаете и что действительно необходимо защищать. Объекты защиты — это то, вокруг чего строится система защиты информации. Хорошая система защиты не должна быть избыточной — она должна быть достаточной, ведь не бизнес работает на информационную безопасность, а информационная безопасность на бизнес.
2. Определение рисков. После того, как объекты защиты определены, необходимо понять, каким рискам они подвергаются. Что грозит и грозит ли хоть что-то? Какие риски вы вынуждены брать на себя, а какие можно передать, минимизируя в дальнейшем потери.
3. Задачи систем защиты. Сформулировав эти постулаты, мы сможем понять, какие же задачи должна решать наша система защиты информации. Задачи эти тоже не должны быть избыточными, ведь именно на их решение и будут потрачены важные для любого бизнеса ресурсы — время, деньги и компетенции.
«Решение задач начинается с создания процессов, обеспечивающих функционирование того или иного модуля нашей комплексной системы защиты, — делится эксперт. — Что и как будет бэкапироваться, как будут собираться данные об инцидентах и что есть инцидент для компании. Важно понимать, что для каждого бизнеса понятие инцидент разное в зависимости от специфики».
4. Выявление источников привлечения ресурсов. Для реализации процессов защиты данных необходимы ресурсы: компетенции, средства (программные или аппаратные) и, конечно же, время.
Компетенции можно приобрести на рынке, задействовав HR-отдел. С программными средствами сейчас гораздо сложнее в силу неопределённости ситуации на рынке.
«Я бы рекомендовал обращаться к услуге защищенных облаков — там все уже реализовано, и останется только воспользоваться той системой защиты информации, которая была построена для вас. Сейчас это удобно и выгодно», — резюмирует Антон Грецкий.
Теме обеспечения безопасности данных и будет посвящен бесплатный вебинар 12 октября, на котором ведущие специалисты компании ActiveCloud расскажут об основах построения системы информационной безопасности, разберут кейсы и ответят на вопросы участников.
На правах рекламы