Сказать, что мир сильно изменился за последние годы, было бы только преуменьшением. С точки зрения кибербезопасности изменения были значительными — в значительной степени потому, что многие люди продолжают работать удаленно или чередуют домашние офисы и корпоративные объекты. Организации также используют больше облачных сервисов и больше занимаются электронной коммерцией.
Все эти изменения означают, что предприятиям необходимо обновить свои ИТ-политики, чтобы обеспечить безопасность. Вот некоторые из наиболее важных ИТ-политик, которые, по мнению экспертов по кибербезопасности, требуется внедрить, пишет издание CSO.
Допустимое использование
Политика приемлемого использования определяет, что организация определяет как приемлемое использование своих активов и данных, и даже поведение, связанное с организацией, влияющее на нее и отражающее ее. «Политика приемлемого использования является краеугольным камнем всех ИТ-политик, — говорит Марк Лиггетт, генеральный директор Liggett Consulting и давний эксперт в области ИТ и кибербезопасности. - Эта политика объясняет всем, что ожидается при использовании вычислительных ресурсов компании».
По словам Лиггетта, такая политика обеспечивает основу, которой должны следовать все пользователи в рамках своей работы. «Если в вашей организации нет другой политики, связанной с компьютерами, используйте эту», — говорит он.
По словам Заиры Пирзада, директора исследовательской компании Gartner, предоставляя конечным пользователям рекомендации о том, что делать, и ограничения на то, как что-то делать, организация снижает риски действий пользователя.
Классификация данных
Политика классификации данных — один из наиболее важных компонентов программы информационной безопасности, однако ее часто упускают из виду, — говорит Пирзада. «Без хорошей, последовательной классификации данных организации не могут ответить на важные вопросы, например, сколько стоят их данные, как они снижают риски для своих данных и как они эффективно отслеживают и управляют ими», — говорит он.
Лицам, принимающим бизнес-решения, которые в настоящее время распределены по организациям и выходят за пределы традиционного сетевого периметра, требуется руководство от ИТ-отдела о том, как принимать обоснованные решения о рисках при транзакциях, совместном использовании и использовании конфиденциальных данных. Чтобы обеспечить это, руководители безопасности и управления рисками выиграют от создания политики классификации данных и сопутствующих стандартов или руководств. «Вместе они обеспечивают как компас, так и путь к безопасному использованию, хранению, обработке и передаче данных», — говорит Пирзада.
Удаленный доступ
Наличие четкой и эффективной политики удаленного доступа стало чрезвычайно важным (). Поскольку многие организации переходят на гибридную рабочую среду или продолжают поддерживать механизмы работы на дому, это не изменится. «Политика удаленного доступа определяет принципы информационной безопасности организации и требования к подключению к ее сети с любой конечной точки, включая мобильные телефоны, ноутбуки, настольные компьютеры и планшеты», — говорит Пирзада.
Целью такой политики является минимизация рисков, которые могут возникнуть в результате несанкционированного использования активов компании из-за ее пределов. «Эти риски включают повреждение, потерю или неправильное использование конфиденциальных данных и/или систем, последствия которых могут быть значительными», — отметил эксперт.
Реакция на инцидент
Как организация должна реагировать на такие инциденты, как утечка данных, взлом, атака со стороны вредоносного ПО или другие действия, связанные с риском? Ответ может означать разницу между незначительным событием или катастрофическим ударом по бизнесу.
«Аварии, взломы, нарушения политики; сегодня это обычное дело, — говорит Пирзада. - Политика реагирования на инциденты необходима для обеспечения того, чтобы организация была готова реагировать на инциденты кибербезопасности, чтобы защитить системы организации, данные, а также предотвращать сбои».
По словам Пирзады, политика гарантирует, что инцидент систематически обрабатывается, предоставляя рекомендации о том, как свести к минимуму потери и разрушения, устранить недостатки, восстановить услуги и принять превентивные меры с целью устранения будущих инцидентов. «В этой политике должны быть подробно описаны необходимые элементы управления для обработки инцидентов, отчетности, мониторинга, обучения, тестирования и помощи в реагировании на инциденты», — говорит он.
По словам Лиггетта, план реагирования на инциденты — это оперативный документ, который необходимо пересматривать и корректировать каждый год, если не чаще. По его словам, в документе должны быть подробно описаны роли и обязанности в случае инцидента и определены уровни события и последующие действия, включая официальное объявление об инциденте.
По словам Лиггетта, план объединяет заинтересованные стороны компании, включая отдел кадров, юристов, специалистов по связям с общественностью, менеджмент и страховые компании. «Такое понимание шагов и действий, необходимых при инциденте, снижает количество ошибок, возникающих при управлении инцидентом», - отметил он, добавив, что это напрямую связано с планом аварийного восстановления и обеспечением непрерывности бизнеса.
Аварийное восстановление/непрерывность бизнеса
По словам Лиггетта, план аварийного восстановления и обеспечения непрерывности бизнеса (DR/BC) является одним из самых важных, которые должны быть у организации. Как и в случае с реагированием на инциденты, эти планы представляют собой оперативные документы, которые необходимо пересматривать и корректировать «ежегодно, если не чаще, - говорит он. - Эти планы должны включать рутинную практику восстановления и прозрачность».
По словам Лиггетта, планы также имеют решающее значение, поскольку они определяют организацию множества мероприятий, обязанностей и подотчетности во время кризиса. «Одна из основных причин, по которой компании прекращают свою деятельность после стихийного бедствия, — это невыполнение планов восстановления и обеспечения непрерывности», - заявил он.
Сторонние риск
Сторонняя политика безопасности содержит требования к тому, как организации проводят комплексную проверку информационной безопасности сторонних организаций. «Значение политики и процедур управления рисками для третьих сторон продолжает расти благодаря более высокому уровню сотрудничества за пределами организации и повышенному риску, который может быть связан с системами», — говорит Пит Линдстром, вице-президент по стратегиям безопасности в International Data Corp. (IDC).
Цель этой политики — «получить уверенность в том, что информация, системы, услуги и заинтересованные стороны организации защищены в пределах их склонности к риску, - говорит Пирзада. - Важность этой политики проистекает из того, что в настоящее время широко используются сторонние поставщики и услуги».
К ним относятся облачные службы и поставщики управляемых услуг, поддерживающие критически важные для бизнеса проекты. «Эти отношения несут в себе неотъемлемые и остаточные риски безопасности, - говорит Пирзада. - Третья сторона может иметь доступ к критически важным системам или информации, что требует контроля и процессов смягчения для минимизации этих рисков».
По словам Лиггетта, компании более чем когда-либо связаны, обмениваясь данными и рабочими потоками со своими поставщиками и вендорами. «Необходимость этой политики должна быть легко понятна и обеспечивает то, как данные обрабатываются и защищаются во время хранения и передачи», - говорит он. Политика должна содержать положения, касающиеся шифрования данных в состоянии покоя и использования безопасных протоколов связи для передачи данных.
Поездки за границу
Возможно, это не то, о чем люди подумали бы включить в список ИТ-политики, особенно во время пандемии, но важно знать, как правильно и безопасно использовать технологии во время поездок за границу. «Американский штат Колорадо разрабатывает политику в отношении международных поездок, в которой будет указано, какие требования должны быть выполнены для тех государственных служащих, которые путешествуют по миру и планируют работать в течение какой-то части своей поездки», - рассказала Дебора Блит, директор по информационным технологиям штата.
«Эта политика будет включать в себя такие вещи, как получение предварительного одобрения поездки руководством человека, информацию о том, какие международные места они планируют посетить, а также определение и указание о том, может ли потребоваться выпуск специального оборудования для этой поездки», - отметила Блит.
Например, «для некоторых стран, где копируемое устройство или устанавливаемое вредоносное ПО представляют угрозу высокого риска, государство, скорее всего, выдаст во временное пользование устройство, на котором изначально не будет данных о состоянии, и оно будет удалено сразу после возврата», - сообщила она.
Автор: Bob ViolinoНажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться