Сегодня понедельник, 06.07.2026, 05:44, ньюсмейкеров: 45125, сайтов: 1203, публикаций: 3597571, просмотров за сутки: 519265
27.02.2018 13:34
Аналитика.
Просмотров всего: 17546; сегодня: 1.

5 стратегических приоритетов директора по безопасности на 2018 год

Если компания упоминается в новостях, связанных с кибербезопасностью, по всей видимости, ее «взломали». А если так, то директор по безопасности (Chief Security Officer, CSO) не может быть спокоен за свое рабочее место, как, возможно, и его боссы. Поэтому очень важно поддерживать безопасность данных и ИТ-систем. Но как?
Прошли времена, когда директор по безопасности мог надеяться защитить ИТ-ресурсы с помощью лишь файервола. Реальность такова, что новые инициативы, которые развивают сотрудники, еще больше «открывают двери» для возможных угроз. Речь идет о сокращении циклов разработки приложений, наращивании числа используемых публичных облачных сервисов, расширении мобильности сотрудников и разнообразии применяемых ими устройств.
В 2018 году на директора по безопасности возлагается такая функция - помогать организациям достичь стоящих перед ними целей роста и открытости, а сотрудникам при этом - четко понимать риски и надлежащим образом снижать их. Конечно, данная задача - не из легких. Но, выбрав в качестве приоритетов следующие пять, вполне можно этого добиться, считает Акшай Бхаргава, вице-президент Cloud Business Group корпорации Oracle.
1. Безопасность на этапе разработки.
«Больше всего разработчики хотят, чтобы их программным обеспечением пользовались», - говорит Акшай Бхаргава, и это может быть на руку директору по безопасности. «Первое, что потенциальные пользователи увидят при доступе к новому приложению, - это процесс обеспечения безопасности и идентификации», - рассказывает он, цитируя недавнее исследование McKinsey, в котором показано: чтобы приложение приобрело и удерживало больше пользователей, оно должно быть как простым, так и безопасным. «Простота использования очень важна, и разработчики знают об этом, - отмечает Акшай Бхаргава, - Но если приложение воспринимается как небезопасное, то оно быстро теряет пользователей». Стоит обратить внимание на облачные сервисы управления идентификацией (IDM), предоставляющие разработчикам быстрый способ сделать аутентификацию в приложении одновременно и надежной, и простой.
Кроме того, «методы обеспечения безопасности должны быть в жизненном цикле разработки ПО, а не просто дополнительными мерами», - подчеркивает Бхаргава. В противном случае «разработчики будут сосредоточены на быстром цикле разработки и выпуска программного обеспечения и станут рассматривать безопасность как нечто опциональное».
В 2018 году ИТ-директора (CIO) должны взаимодействовать с разработчиками приложений для того, чтобы реализовать безопасный процесс DevOps, не требующий «остановки конвейера» ради отдельных рекомендаций по безопасности. «Действуйте с опережением и внедряйте соответствующие технологии, процессы и методы обучения разработчиков, которые гарантируют, что безопасность будет встроена в разработку ПО на всех этапах жизненного цикла», - говорит Акшай Бхаргава. Например, Oracle использует методологию Oracle Software Security Assurance (OSSA) для обеспечения безопасности в процессе проектирования, создания, тестирования и сопровождения своих продуктов.
2. Автономные ИТ-процессы для защиты данных.
В 2018 году две проблемы безопасности данных потребуют большей автоматизации.
Во-первых, это перегрузка системы безопасности различными уведомлениями. Современные гибридные ИТ-системы генерируют слишком много предупреждений безопасности (их количество исчисляется десятками тысяч), чтобы с этим потоком мог справиться человек. Во-вторых, это незакрытые уязвимости. «ИТ-отделу нужно найти время, чтобы остановить работу программного обеспечения и пропатчить его, а для этого никогда не будет подходящего момента», - поясняет Акшай Бхаргава. В результате приложения, базы данных, программное обеспечение с открытым исходным кодом, сетевое программное обеспечение, серверы - «остаются непропатченными долгое время после обнаружения уязвимости и широкого распространения информации о ней в хакерском сообществе».
Обе проблемы можно решить с помощью автоматизированных процессов, которые, насколько это возможно, осуществляются без участия человека. Чтобы справиться с сообщениями систем безопасности, CSO следует рассмотреть облачные сервисы, такие как автономная база данных от Oracle (Oracle Autonomous Database). Получив предупреждение от систем безопасности, она использует огромные вычислительные мощности и алгоритмы машинного обучения в процессах поиска, проверки и устранения пробелов в защите без вовлечения человека. Для автоматического обновления всего стека программного обеспечения в момент выпуска патча без остановки работы директору по безопасности стоит обратить внимание на облачную инфраструктуру.
3. Целостный подход к регулированию и отчетности.
«Уметь продемонстрировать, что вы защищаете данные, почти так же важно, как защищать их», - считает Акшай Бхаргава. Для этого есть две главные причины. Первая заключается в том, что регулирующие органы ужесточают правила обеспечения безопасности данных.
Во-вторых, директору по безопасности необходимо повысить эффективность соблюдения нормативных требований. В исследовании «Society for Information Management» (SIM), в ходе которого были опрошены 1178 ИТ-директоров и других ИТ-руководителей, отмечается, что кибербезопасность стала для компаний проблемой №1 в сфере ИТ и вопросом, который больше всего их беспокоит. Однако в 2017 году компании фактически потратили меньше денег на кибербезопасность в процентах от своего ИТ-бюджета в целом, чем в 2016 году. В 2018 году CSO потребуется продолжать объединять ИТ-инфраструктуру в систему, одной из стандартных задач которой являются отчеты по соответствию нормативным требованиям.
Важным побочным эффектом этого процесса является то, что он поможет CSO и CIO отчитываться перед CEO и советом директоров, представляя им достоверную оценку состояния кибербезопасности в организации. Это подводит нас к следующей приоритетной задаче.
4. Метрики безопасности на языке CEO.
Руководители компаний считают информационную безопасность чрезвычайно сложной и непонятной для оценки. По этой причине важно иметь четкие и понятные показатели состояния безопасности. Руководство должно видеть уровни риска для организации, чтобы принимать обоснованные решения о том, как наилучшим образом их уменьшить, сократить расходы и продолжить внедрение инноваций.
Например, «Центр безопасности (Security Operations Center, SOC) в организации ежедневно получает тысячи оповещений», - рассказывает Акшай Бхаргава. Такие показатели как «Среднее время реагирования» (Mean Time to Respond) должны давать директору по информационной безопасности понимание того, как эти предупреждения обрабатываются. «Данные метрики показывают: «Вот столько оповещений мы получили, столько из них было реальными, столько времени нам потребовалось, чтоб отреагировать на реальные тревожные сообщения», - объясняет Бхаргава. - Более быстрое реагирование означает, что у хакеров намного меньше времени на то, чтобы проникнуть в систему и улизнуть, прежде чем средства контроля безопасности их остановят. Такое объяснение будет понятно генеральному директору и совету директоров».
Это возвращает нас к упомянутой выше автоматизации. Директора по безопасности должны уделять первоочередное внимание внедрению автоматизированного программного обеспечения, которое может получать предупреждения и использовать машинное обучение для обнаружения аномального поведения, зная, что с этим делать. «Все управляется, анализируется, устраняется и завершается без человеческого участия», - утверждает он. Затем система может сгенерировать отчет по среднему времени реагирования, которое поможет руководителям компаний почувствовать себя более осведомленными о состоянии безопасности ИТ.
5. Защита бренда.
При проникновении хакеров в систему и потере данных «ущерб для репутации бренда может привести к большим потерям, чем отказ системы», - уверен Бхаргава. Он отмечает, что даже самые уважаемые бренды в результате нарушения безопасности могут потерять миллиарды на фондовом рынке. Но CSO способен помочь пресечь волну негативных публикаций, продемонстрировав быструю и профессиональную реакцию.
«Надейтесь на лучшее, но готовьтесь к худшему», - учит Акшай Бхаргава. Процесс реагирования на инциденты в случае подобных событий должен охватывать каждого – от специалистов по ИТ-безопасности до юристов, сотрудников, ответственных за внешние коммуникации, и топ-менеджмента.
«Для вас как для CSO всегда лучше, если вы сможете своевременно обнаружить вторжение хакеров и остановить их, прежде чем они украдут ваши данные», - заключает Акшай Бхаргава. Но, даже если этого не произойдет, говорит он, нужно иметь четкие рекомендации и научить сотрудников компании следовать им.

Тематические сайты: PublisherNews - портал системы продвижения публикаций, Безопасность, Информтехнологии, связь, Интернет
Сайты стран: Индия

Ньюсмейкер: Oracle — 37 публикаций

Интересно:

Нижегородские изобретатели. Иван Орлов
01.07.2026 18:09 Персоны
Нижегородские изобретатели. Иван Орлов
Возьмите любую крупную купюру, и вы увидите на ней тонкие узоры, напечатанные переливающимися красками – будто цвета радуги перетекают друг в друга. Это орловская печать. А изобрел ее Иван Иванович Орлов (1861-1928).  Иван Орлов был выходцем из народа, как сейчас говорят, self-made man. Родился мальчик в селе Меледино Нижегородской губернии. Отец уехал на заработки в Таганрог, где и умер, когда Ване исполнился всего год. Мать отправилась работать в Нижний, а Иван и две его сестры остались на попечении бабушек. Когда нужда была особенно сильной, ходили по окрестным деревням, прося милостыню. Ивану помогли талант, упорство и толика везения. В детские годы мальчик интересовался всякими техническими «новинками»: водяной мельницей, керосиновой лампой, карманными часами. Местный священник, узнав, что мальчик соорудил модель церкви, сказал: «Высоко и далеко ему придется летать!» Излюбленным занятием Ивана было рисование. В семье потомков...
МАП усиливает присутствие бизнеса в федеральной промышленной повестке
27.06.2026 21:25 Мероприятия
МАП усиливает присутствие бизнеса в федеральной промышленной повестке
Какие направления сегодня становятся приоритетными для государственной промышленной политики, обсудили участники выездной стажировки Минпромторга РФ «Федеральная практика», которая прошла 24–25 июня в Ленинградской области.  В приветственном слове заместитель министра промышленности и торговли РФ Иван Куликов по видеосвязи напомнил о масштабных задачах, стоящих перед отраслью, и привел конкретные цифры, иллюстрирующие потенциал Северо-Запада: «Для выполнения поставленных Президентом задач к 2030 году необходимо на 40% нарастить объемы производства в обрабатывающей промышленности. Северо-Западный округ обладает мощным потенциалом, в том числе в машиностроении, производстве средств производства, в сфере химии и новых материалов, легкой промышленности, лесопромышленном комплексе и судостроении. За время работы Фонда развития промышленности в СЗФО профинансировано 155 проектов на общую сумму более 82 млрд рублей. На...
Как русский гренадер спас генерал-аншефа Суворова
26.06.2026 9:05 Персоны
Как русский гренадер спас генерал-аншефа Суворова
Об одном из самых колоритных эпизодов Русско-турецкой войны 1787-1791 годов - читайте в публикации. Кинбурнская баталия 12 октября 1787 года турецкий флот предпринял попытку захватить русскую крепость Кинбурн, которая находилась недалеко от турецкой крепости Очаков и базы русского флота в Херсоне. Захват Кинбурна позволял бы туркам восстановить контроль над Крымом. Во главе обороны крепости стоял генерал-аншеф Александр Васильевич Суворов. В крепости было 1500 человек гарнизона. А ещё 2500 человек были в резерве, но они находились в 30 километрах от Кинбурна. В 9 часов утра турки под началом Хасан-паши начали высаживать десант на берег. Суворов позволил туркам полностью высадить войска и закрепиться на берегу, они даже подошли к Кинбурну на расстояние в 200 метров. В тот момент и была отдана команда на проведение штыковой атаки. В бой пошли Орловский, Шлиссельбургский и Козловский полки. Русским войскам удалось выбить турок из 10...
25.06.2026 23:50 Консультации
Антикоррозионные видеокамеры: надежность видеонаблюдения
Системы видеонаблюдения сегодня используются практически на любых объектах — от городской инфраструктуры до промышленных предприятий. Однако условия эксплуатации могут существенно различаться. Если для большинства уличных установок достаточно стандартной защиты от пыли и влаги, то на объектах с повышенной коррозионной активностью требования к оборудованию значительно выше. К таким объектам относятся морские порты, прибрежные зоны, химические производства, очистные сооружения, предприятия нефтегазового комплекса, сельскохозяйственные комплексы и пищевые производства. Здесь основную угрозу для оборудования представляет не проникновение воды, а постоянное воздействие агрессивных сред, вызывающих коррозию металлических элементов конструкции. Для эксплуатации оборудования в таких условиях LUIS+ разработал решение — антикоррозионные видеокамеры LTV. Видеокамеры LTV-3CN серии имеют опциональное покрытие и имеют обозначение буквой...
Как Лев Толстой защищал Севастополь
18.06.2026 9:06 Аналитика
Как Лев Толстой защищал Севастополь
13 сентября 1854 года (25 сентября по н. ст.) началась первая героическая оборона Севастополя. 349 дней русские моряки и солдаты отстаивали город при численном превосходстве противника и продемонстрировали всему миру свой героизм, мужество и отвагу. Среди защитников города был и молодой подпоручик Лев Николаевич Толстой – в будущем знаменитый русский писатель. Почти мировая война 4 октября 1853 года Турция в очередной раз объявила России войну, и вновь Россия ответила тем же. Но в этот раз Турцию поддержали Англия и Франция, которые очень внимательно следили за развитием событием и совсем не были заинтересованы в усилении России на Черном море. В феврале 1854 года они заключили военный союз с Турцией и сразу же выдвинули России ультиматум о выведении войск из Дунайских княжеств. Россия, естественно, не стала выполнять такие требования, и 15 марта союзники объявили ей войну. Англия и Франция попыталась начать боевые действия с...