Достаточны ли ваши затраты на компьютерную безопасность?

При анализе вопросов компьютерной и сетевой безопасности на первый план выходит проблема скорости распространения угрозы для информационных технологий. Всего за каких-то несколько недель, отделяющих написание этой статьи от ее публикации, существует вероятность очередного компьютерного взлома или появления множества заявлений о том, что компании не предпринимают достаточных усилий для обеспечения гарантий компьютерной безопасности.

Денис БрандлПри анализе вопросов компьютерной и сетевой безопасности на первый план выходит проблема скорости распространения угрозы для информационных технологий. Всего за каких-то несколько недель, отделяющих написание этой статьи от ее публикации, существует вероятность очередного компьютерного взлома или появления множества заявлений о том, что компании не предпринимают достаточных усилий для обеспечения гарантий компьютерной безопасности.

Чтобы понять беспокойство, связанное с компьютерной и сетевой безопасностью, которое ощущают компании разного ранга и величины, следует рассмотреть ряд случаев нападений хакеров на сайте SecurityStats.com: так, в частности, незащищенный сервер, созданный в Интернете в середине 2003 г., подвергся 467 атакам в первые же 24 часа. Тот же сервер определил 626 попыток взлома в течение следующих трех недель. Червю SQL Slammer понадобилось всего 10 минут для распространения по всему миру, при этом его размер увеличивался в два раза каждые 8,5 секунд.

В среднем убытки компаний от червя MS Blaster составили 500 000$, в то время как большие компании оценили ущерб в миллионы долларов; в пике активности вируса MyDoom им было разослано по электронной почте каждое двенадцатое сообщение. Вирусы, по некоторым оценкам, обошлись мировому бизнесу в 2003 г. в 55 миллиардов долларов.

 

Сохраняйте их разделенными

Обычно сетевой экран компании и устройства безопасности защищают внутреннюю сеть организации, включая производственные сети и сети автоматизации. Однако предпочтительней отделить производственные сети и сети автоматизации от сети организации, используя сетевой экран, виртуальные локальные сети (VLAN), или вообще отсоединить их.

Операционные и автоматизированные системы часто являются существенно важными для выполнения работ. Другими словами, для продолжения производства они должны оставаться в рабочем состоянии в любых ситуациях. К сожалению, эти системы работают, подчас, без защиты от вирусов и текущих исправлений. Но в этом, как правило, нет вины производителей. В 2003 году корпорация Microsoft опубликовала 51 предупреждение по использованию защиты по всем продуктам – около одного исправления в неделю, чтобы помочь пользователям противостоять новым вирусам и червям, которые ежедневно порождаются тысячами вандалов.

Все это вызывает вопрос: сколько надо тратить на безопасность и на соответствующую инфраструктуру сети?

 

Аппаратура, программное обеспечение, персонал

Согласно различным общественным опросам, безопасность компьютерного оборудования, программного обеспечения и персонала составляет около 4% бюджета информационных технологий (ИТ). Некоторые организации, например финансовые компании и университеты с зависящей от целевого назначения структурой ИТ, тратят больше, в среднем – около 7% бюджета ИТ (до 20% в редких случаях). Дополнительно 7% расходуются на сетевую инфраструктуру, часть из этих средств уходит на решение вопросов безопасности.

По оценкам META Group (аналитическая организация в области ИТ) к 2006 г. в США средние капиталовложения в безопасность ИТ достигнут 8–12% от величины бюджета, выделяемого на информационные технологии. Эти вложения делятся примерно на три равные части: безопасность работы компьютерного оборудования (межсетевые экраны, система определения взломов, сканеры электронной почты и т. д.), безопасность работы программного обеспечения и безопасность работы персонала.

Исходя из производственных стандартов, средняя организация, работающая с информационными технологиями, должна тратить на безопасность примерно 5–10% производственного бюджета. Это сравнительно небольшой процент, и его легко забыть или отклонить при принятии основных проектов и ежегодных бюджетов.

Тем не менее издержки на безопасность должны быть включены в общие расходы, так же как и расходы на страхование, потому что эти издержки представляют собой чистые затраты без осязаемой выгоды до тех пор, пока они не станут востребованными.

 

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *