Rambler's Top100
Статьи
Лилия ПАВЛОВА  13 октября 2011

Д. Савченко («Микротест»): "В данной ситуации гораздо легче действовать через масс-медиа"

Бизнес хорошо информирован об угрозах информационной безопасности, но знает ли он, как эти угрозы от себя отвести? Насколько важна в этом отношении просветительская роль операторов? Читайте полную версию Дискуссионного клуба темы номера "ИКС" №9'2011, "Безопасность от оператора. Бизнесу-быть?" Часть 8.   

 

Как вы оцениваете уровень информированности специалистов по информационной безопасности в корпоративном секторе о возможностях средств защиты, о схемах использования того или иного инструментария, о порядке действий при инцидентах, а также о технических средствах защиты? Может ли (и должен ли) оператор взять на себя "просветительскую" роль в этом отношении? 
Игорь Яртым, директор по развитию и маркетингу услуг ИТ-аутсорсинга Tieto: Оцениваю слабо. Да, может; но не уверен, что должен.


Валерий Андреев, заместитель директора ИВК по науке и технологиям:  Если хочет вести такой бизнес — обязан. Уровень информированности — невысокий.

Кирилл Керценбаум, представитель по продажам решений по безопасности, IBM в России и СНГ: Осведомленность специалистов высока. Глобальный опыт свидетельствует, что основная обязанность оператора – предоставлять канал связи, он не должен пропагандировать средства безопасности и правила ее обеспечения. Существуют организации по ИБ, например, IBM X-Force, - на них лежит ответственность по предоставлению информации компаниям и домашним пользователям. Пока действует трехзвенная система “клиент-провайдер-вендор”, основная нагрузка по информированию лежит на производителе. Другая ситуация сложилась для мобильных операторов: так как бизнес другой, их “просветительская” роль повышает их рентабельность. 


Аркадий Прокудин, заместитель руководителя отдела информационной безопасности компании АйТи: Оператор, несомненно, имеет больший опыт в области информационной безопасности, чем корпоративные специалисты по ИБ. Естественно, оператор может формировать рекомендации по организации защиты для клиента.

Алексей Иванов,  руководитель проектов, Digital Design: Корпоративный сектор в настоящее время, в основном, достаточно консервативен в вопросах информационной безопасности. Во многих крупных компаниях в отделах ИБ работают бывшие сотрудники спецлужб, которые с недоверием относятся к любым изменениям во вверенной им области, тем более, если эта область так и норовит уйти из-под их контроля. Поэтому они могут быть достаточно информированы о каких-либо новшествах, однако не желать что-либо кардинально менять в действующей структуре защиты информации компании. Осведомленность рядовых специалистов не играет в данном случае большую роль, их мнение, скорее всего, не будет интересовать вышестоящее руководство. Поэтому, на наш взгляд, в первую очередь просветительскую миссию нужно нести на уровне топ-менеджмента компании, объясняя, какие преимущества получит компания (меньшая стоимость, лучшая защищенность и т.д.) при внедрении того или иного решения. Однако есть вариант, который может устроить даже самых «отпетых» сотрудников отдела ИБ – построение «частного облака» внутри компании. В этом случае «облако» информационной безопасности строится на оборудовании главного офиса, а филиалы используют данный продукт в качестве сервиса. Управление и контроль здесь остается «в руках» внутренних специалистов ИБ. Для сектора SMB, с одной стороны, информированность даже небольшого руководителя ИТ может положительно сказаться на принятии решения, с другой  - для них основным будет вопрос цены, так как бюджет достаточно ограничен.


Дмитрий Огородников, директор по направлению информационной безопасности INLINE: Уровень информированности специалистов ИБ достаточно высок. Однако современные системы ИБ развиваются очень динамично, и просветительская роль операторов важна не только для повышения этого уровня, но и для установления доверительных отношения с заказчиками (клиентами).

Павел Антонов, инженер-консультант, Cisco: В нашей стране информированность об угрозах информационной безопасности, как у частных Интернет пользователей, так и у бизнеса,  находится на достаточно высоком уровне. О вирусах, спаме, мошенничестве с кредитными картами и тому подобным, наслышаны многие, а вот решить эти проблемы самостоятельно могут далеко не все. Этот факт является хорошим фундаментом для развития операторских услуг ИБ, так как налицо наличие озабоченности рядом проблем, которые операторы связи могут помочь решить своим клиентам.

Дмитрий Савченко, руководитель бизнес направления по информационной безопасности компании «Микротест»: Зачастую сотрудники служб безопасности со стороны заказчика – это бывшие военные, причем не обязательно из служб защиты информации. Уровень квалификации может быть самым разным. Однако в большинстве случаев главный принцип сотрудников СБ – затраты на средства защиты не должны превышать стоимость урона от потери информации. Люди, прежде чем что-то внедрять, оценивают свои активы информационные и риск, а потом принимают решение, что делать. Бывают современные специалисты, они реально оценивают риски.  Но, к сожалению, в большинстве случаев подход такой: «Нам это в будущем не понадобится». Если говорить о схемах использования того или иного инструментария при возникновении инцидентов, то в большинстве случаев компании к чрезвычайным ситуациям не готовы. В идеале, когда строится система безопасности, формируется штат, должна разрабатываться концепция безопасности. Например, мы активно работаем с банками. У них уровень готовности к инцидентам связанным с ИБ гораздо выше по сравнению с другими отраслями бизнеса.  Но нет идеальных систем, есть вещи, которые всегда уязвимы и нет двух одинаковых инцидентов. Может ли (и должен ли) оператор взять на себя "просветительскую" роль в этом отношении? В данной ситуации гораздо легче действовать через масс-медиа - если человек прочитает какой-то обзор-статью, осмыслит и придет к выводу: да, действительно, это необходимо. Тогда эффект будет больше, нежели придет человек и скажет: «Вы вообще все не то делаете!» - тогда произойдет отторжение.

Александр Трошин, технический директор "Манго Телеком": В крупных компаниях обычно есть и менеджеры по ИБ, и большой отдел по ИБ с высококлассными специалистами, которые в курсе последних трендов в данном сегменте, и в курсе технологий различных вендоров, и в курсе рынка этих услуг со стороны операторов связи. Не только в крупных, но даже в средних компаниях специалисты по ИБ – люди самообучаемые, которые перед внедрением какой-то системы в компании сами обучаются – у вендоров конкретных, внедряемых в настоящий момент (или планируемых к развертыванию) систем, у них популярны всяческие вебинары по продуктам и проч. Поэтому уровень информированности специалистов по ИБ сегодня довольно высок. Другое дело, что не всегда этому способствует компания – очень часто это собственная инициатива сотрудника, а мотивировать специалиста на дальнейшее развитие должна, по моему мнению, компания. Хочу заметить, что сегодня информацию о выходе каких-то новых систем безопасности, о более широких возможностях средств защиты на рынок поставляют, в основном, вендоры. Курсы в реале, мультимедийные курсы, вебинары – одно из лучших средств для этого. Потому что в большинстве случаев именно специалисты ИБ оценивают рынок информационных услуг, выбирают средства и пути реализации проектов, наиболее близкие им по духу.  Но и оператор может и должен «просвещать» специалистов по ИБ. Например, есть масса вариантов просветительских активностей, совместных с вендорами и оператор может и должен их реализовывать. Но «вендорская» часть все равно останется лишь частью «евангелизма» в этой области. А вот часть, рассказывающая о том, как дальше эксплуатируются инструментарий и оборудование для обеспечения ИБ – это как раз забота и обязанность оператора. Где это стоит, в каком это дата-центре, каковы условия эксплуатации и приемки этого оборудования, какие специалисты должны участвовать во внедрении системы – вопросов масса и «просветительство» здесь совершенно необходимо.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!