CIOPolecane tematy
Jak skutecznie zarządzać ryzykiem poprzez ochronę stosowanych aplikacji i danych Promocja
Promocja
Każdego roku wydatki firm na rozwiązania z zakresu bezpieczeństwa IT stanowią jeden z najważniejszych punktów na listach ich priorytetów. Jednak same rozwiązania nie zapewnią pełnej ochrony firmowych danych, gdyż codziennie pojawiają się nowe zagrożenia ciężkie do wykrycia przez istniejące narzędzia, a sama ich ilość również rośnie. Ważne jest zatem określenie priorytetów zarządzania ryzykiem poprzez ochronę wrażliwych informacji szczególnie, gdy takie czynniki jak coraz częściej implementowany dostęp z urządzeń mobilnych do zasobów firmy stają się normą.
W każdym sektorze (również w tych objętych bardziej restrykcyjnymi regulacjami), firmy chcą bazować na rozwiązaniach, które pozwolą im jak najlepiej zabezpieczyć i ochronić prywatność istotnych informacji. Równie ważne jest dla nich jednoczesne zapewnienie bezpieczeństwa danych i zgodności wdrożonych systemów z wymogami i funkcjonalnościami istniejących w firmie aplikacji, bez konieczności ustępstw po stronie elastyczności biznesowej. Jednak ochrona informacji wymaga też zmodyfikowanego podejścia ze strony IT.
Widocznym trendem jest chęć kontroli całej firmowej sieci, przy jednoczesnym ignorowaniu faktu, że współczesna przestrzeń pracy, w jakiej działa coraz większa liczba pracowników podlega ewolucji i stale się rozszerza. Urządzenia coraz częściej stają się zarówno prywatne jak i firmowe, coraz więcej pracowników wybiera aplikacje ulokowane w chmurze (często nawet nie zdając sobie z tego do końca sprawy) dzięki czemu mogą pracować elastyczniej, z dowolnego miejsca objętego zasięgiem sieci. Widok osoby biorącej udział w wideokonferencji i jednocześnie sprawdzającej dokumenty np. na stacji metra czy w kawiarni przestaje już kogokolwiek dziwić – szczególnie w dużych miastach.
Różnorodność urządzeń, aplikacji oraz miejsc do potencjalnej pracy zwiększa ilość zagrożeń i komplikuje sam proces ich zabezpieczania, co ma przełożenie na definiowanie wymogów bezpieczeństwa i poszukiwanie nowych rozwiązań w tym zakresie. A te muszą uwzględniać takie czynniki jak: możliwość elastycznej pracy zdalnej oraz telepracy, czy też różne grupy odbiorców, w tym pracowników kontraktowych, partnerów biznesowych oraz zewnętrznych konsultantów, którzy z jednej strony często stanowią istotną część określonego zespołu, z drugiej zaś niekoniecznie są częścią rdzennej, firmowej sieci.
Dostęp oparty na kontekście i kontrola w zakresie komunikacji sieciowej, które pozwalają na korzystanie z firmowych aplikacji i danych z różnych miejsc to jedne z najbardziej kluczowych zagadnień. Dziś firmy muszą mieć możliwość wsparcia służbowych zasobów, na zarówno zarządzanych jak i niezarządzanych przez IT urządzeniach bez pogorszenia poziomu bezpieczeństwa czy zwiększenia ew. ryzyka. Ponadto, warto zadbać o: bezpieczeństwo firmowych danych, prywatnych informacji w ramach określonych polityk bezpieczeństwa, pełne przeniesienie procesów biznesowych, odpowiednie raportowanie oraz audyt by móc osiągnąć pełną zgodność z wymogami i regulacjami. Dodatkowo kluczowym jest zapewnienie ciągłości działania poprzez umożliwienie bezpiecznego dostępu do zasobów, z dowolnego miejsca, zarówno podczas planowanych prac jak i przypadkowych problemów.
• Skoncentrować się na zbalansowaniu potrzeb w zakresie bezpieczeństwa z wymaganiami użytkowników dotyczącymi ich standardu pracy.
Zamiast zarządzać jedynie urządzeniami warto, aby organizacja przyjęła bardziej holistyczne podejście w odniesieniu do bezpieczeństwa, stawiając nacisk na zrównoważenie kwestii dotyczących standardu pracy i produktywności pracowników z zachowaniem bezpieczeństwa dla urządzeń, aplikacji, danych, sieci czy nawet tożsamości użytkowników.
• Zastosować elastyczne opcje przechowywania danych, dostępu do nich oraz ich zarządzania.
Zarówno ze względu na wygodę jak i efektywność kosztową rozproszonych pracowników, przechowywanie firmowych informacji w dowolnym miejscu – od pamięci mobilnej po aplikacje chmurowe – wymaga większej kontroli ze strony IT w zakresie tego, gdzie, jakie informacje powinny być przechowywane oraz z kim mogą być dzielone. Często firmy szukają elastycznego połączenia scentralizowanej kontroli nad serwerami w centrach danych, przechowywania danych w chmurze oraz konteneryzacji punktów końcowych.
• Zastosować politykę bezpieczeństwa opartą na kontroli kontekstowej.
Zamiast dawać użytkownikom pełny dostęp w firmowej sieci (WLAN, wifi) a blokować dostęp z zewnątrz warto zastanowić się nad wprowadzeniem zasad bezpieczeństwa, opartych na analizie treści / kontekstu. Łączy ona informacje o osobie i jej roli w firmie, jej lokalizacji w danym momencie, typie urządzenia z jakiego korzysta i informacji kto jest właścicielem danego urządzenia z informacjami do jakich zasobów i informacji chce ona uzyskach dostęp. To pozwala specjalistom IT ustalić odpowiednie zasady i polityki bezpieczeństwa, które będą właściwie zarządzały dostępem do informacji na bazie ich kontekstu, w tym także do zasobów poufnych czy zastrzeżonych danych w ramach wszystkich scenariuszy biznesowych.
• Wprowadzić efektywne zarządzanie zgodnością z przepisami i raportowanie.
Na całym świecie organizacje muszą mierzyć się z ponad 300 różnymi standardami w zakresie bezpieczeństwa czy prywatności, regulacjami i przepisami prawnymi i ponad 3500 różnymi rodzajami kontroli. Rozwiązania w zakresie bezpieczeństwa powinny zapewniać pełne i zautomatyzowane funkcje monitoringu, logowania i raportowania wykorzystania danych, poszczególnych aktywności użytkowników i wykorzystania sieci tak, by szybko i efektywnie odpowiedzieć na wszelkie pytania w razie audytu czy innej kontroli.
• Zmniejszyć ilość ew. cyberataków i jednocześnie obniżyć koszty IT.
Ogólny cel ograniczenia ewentualnych ataków może iść w parze z redukcją kosztów operacyjnych i zmniejszeniem wydatków na konkretne technologie mające zapewnić bezpieczeństwo IT (szczególnie w przypadku urządzeń) poprzez skoncentrowanie się na aspektach związanych z bezpiecznym korzystaniem z danych i aplikacji. Firmy powinny zwrócić uwagę na bezpieczne dostarczanie aplikacji z wykorzystaniem technik szyfrowania danych zarówno w trakcie ich użytku, wtedy, gdy są przechowywane a także gdy są przesyłane czy udostępniane pomiędzy użytkownikami i lokalizacjami.
Sebastian Kisiel, Senior Sales Engineer, Citrix Systems Poland.
