Ралица Карамфилова е Мениджър стратегическо развитие на Лирекс. Тя заема тази позиция в последните 2 години, а е част от ръководния екип на компанията вече близо 10 години. Била е търговски директор и маркетинг мениджър на компанията, а в позицията си в момента работи по единна визия и подход в Маркетингa и Търговския отдел, както и за цялостното развитие на компанията в дългосрочен план. Ралица е бакалавър по бизнес администрация от Университета Вашингтон, САЩ, и е завършила магистърска програма Executive MBA в Американския университет в България.
Устойчиви на рисковете и ефективни в реакциите си - защо цялостният подход към информационната сигурност е ключов за всеки бизнес? В днешно време киберсигурността е основна тема за бизнеса по целия свят. Говори се за заплахи, уязвимости и рискове. Каква е разликата между трите и трябва ли да обърнем приоритетно внимание за някое от тях?
Тези три термина в контекста на информационната сигурност са различни един от друг. Заплахите се делят на три категории: природни заплахи - наводнения, пожари и др.; неумишлени заплахи - неизправности в хардуера, човешки грешки и др., и умишлени заплахи, каквито са хакерските атаки и преднамерените зловредни действия на служители.
Уязвимостите са слабости в самата защита на информацията на дадена компания, които могат да бъдат използвани за постигането на пробив. А рисковете, от своя страна, са оценката на евентуалните загуби за компанията, при успешен пробив в сигурността. Рисковете обикновено се оценяват като ниски, средни или високи, като се взимат предвид размера на щетата за компанията и колко вероятно е да се случат.
Когато преценяваме степента на риска, е добре да изчислим вероятните финансови загуби, които бихме претърпели, за да оценим колко би си струвало да инвестираме в понижаването на риска.
Заплахите, уязвимостите, и рисковете са от изключителна важност, и са неразривно свързани по между си, така че не можем да кажем, че има приоритет на едното или другото. Важно е да се подходи цялостно, за да се осигури ефективна защита за компанията.
Какъв е най-добрият подход за една компания?
Когато говорим за информационна сигурност, трябва да разгледаме защитата на данни в 3 аспекта – цялост, наличност и конфиденциалност. А заплахите, от които трябва да се защитим, както споменах по-рано, са природни, неумишлени и умишлени. Разбирате, че има различни ъгли, от които трябва да се погледне и да се мисли за информационната сигурност. Ето защо най-добрият подход е холистичният - този, при който разглеждаме и оценяваме всеки аспект на данните спрямо всяка заплаха.
Преди да споделя нашия опит с този, на пръв поглед, сложен и дълъг процес, искам да обърна внимание на някои от най-честите грешки, които допускат компаниите.
Най-разпространената грешка е фокусирането само върху технологичната защита от кибератаки. Компаниите пропускат, че има други заплахи, срещу които да се защитават и други възможни мерки, които да имплементират. За минимизиране на неумишлените заплахи, например, са необходими адекватни вътрешни правила и процедури, ефективни процеси и технологии за поддържане на резервни копия и архиви, както и ограничаване на чисто физическия достъп до данни.
Втора често срещана грешка е концентрирането само върху конфиденциалността на информацията – изтичане или кражба на данни. Има случаи, в които наличността и целостта на информацията са много по-критични аспекти и могат да имат по-сериозно въздействие върху бизнеса ви. В допълнение, информацията трябва да бъде защитена не само на местата, на които се съхранява и обработва, а и по време на нейното движение – трафика на данни. За пример, ако вашите клиенти плащат, за да използват създадено от вас приложение, то ключово е то да е винаги достъпно и работещо. В същото време за потребителя е важно приложението да работи и бързо и сигурно. Това също са заплахи, които трябва да се адресират.
Третата често срещана грешка е компаниите да имплементират мерки за защита, но след това да не проверяват дали те реално работят, както е предвидено. Добрите практики тук включват регулярни стрес тестове и/или тестове за пробиви (penetration test). Друга добра практика, която се неглижира, е тестването дали възстановяването на данни от бекъп и резервни копия, може да се осъществи както е планирано, така сякаш бедствие е настъпило.
Последната грешка, на която ще се спра, е въвеждането на мерки за защита, които обаче възпрепятстват и забавят оперативната работа. Когато се избират конкретни мерки за защита на информацията, те винаги трябва да се разглеждат и от гледна точка на това да не създават административни и оперативни пречки в работния процес. Трябва да се търси добър баланс между мерките за защита, рисковете и безпрепятствената оперативна дейност на служителите.
Илюстрирам тези грешки, за да стане ясна практическата важност на холистичния подход към информационната сигурност. Най-добрият начин да избегнем допускането на такива грешки е да мислим от перспективата на защита на бизнес дейностите, а не за защита на конкретен хардуер или конкретна информация. Важно допълнение е необходимостта информационната сигурност да стане приоритет и тема за целия мениджмънт на организацията, а не само за ИТ директора или отговорника по сигурността.
Тези две ключови промени в начина, по който се гледа на информационната сигурност в една компания, ще доведат по естествен път до цялостния подход, и ще намалят значително възможността от подценяване или пренебрегване на сериозни рискове за сигурността. Ще бъде много по-лесно да се определят приоритетите за компанията, когато се мисли в широката рамка на голямата картина.
Погледнато в стъпки, този процес започва с подредбата на бизнес активностите според тяхната значимост за организацията. След това определете какво е ключово във всяка от дейностите и тогава да разгледайте възможните заплахи. Чак тогава направете оценка на риска като по този начин можете да оцените всеки аспект. След това изберете подходящите мерки и технологични и организационни, взимайки предвид производителността и оперативността.. Проверявате регулярно дали внедрените мерки работят по предназначение. И накрая направете този процес непрекъснат, защото скоростта, с която се развива технологичният свят, изисква постоянно внимание към защитата.
Може ли една компания да си осигури пълна защита и какво трябва да направи, за да го постигне?
Важно е да се уточни, че състояние на "пълна защита" на практика не съществува. Причините за това са много. От една страна, бюджетите на компаниите не са неограничени и те трябва да съобразяват мерките, които взимат, с възможностите си. От друга страна, както вече споменах, прекалено многото мерки за сигурност могат сериозно да застрашат ефективността на ежедневната работа на компанията. Представете си вашият дом да има толкова много ключалки, че да ви отнема повече от 5 минути само да отключите вратата си. Ами ако трябва да я отключвате десетки пъти на ден?! Да не говорим и за човешкия фактор. Има безброй много проучвания по света, които сочат, че служителите са една от основните заплахи за пробиви в сигурността.
Това, за което ние говорим, е осигуряване на механизми за намаляване на рисковете и за ускоряване на времето за реакция, в което една компания успява да разкрие пробив и да реагира адекватно, за да минимизира щетите от него. Нашите експерти по информационна сигурност помагат на компаниите да постигнат този цялостен подход, с който да могат да бъдат устойчиви на рисковете и ефективни в реакциите си.