• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

А. Лукацкий (Cisco Systems): "Безопасность подстраивается под принцип "офис там, где работа"

Доступность ИТ–приложений везде, где есть Интернет? – это безусловное удобство и дополнительные риски публичных облачных услуг. Найти баланс между  безопасностью и комфортом пользования сложно. Читайте полную версию Дискуссионного клуба темы номера "ИКС" №9'2012 "Дорожная карта облачной безопасности". Часть 9.

 "ИКС": Как найти разумный баланс между информационной безопасностью и комфортом пользования собственными мобильными устройствами в рабочих целях, в том числе в облачных средах?

Валерий Андреев, заместитель директора по науке и развитию, ЗАО ИВК: Необходима глубокая проработка (в том числе теоретическая) вопросов ИБ облачной среды. Только на основе взвешенного решения экспертного сообщества и внедрением необходимой документальной базы ИБ будет возможность создать такие продукты, которые бы обеспечили пользователю комфортное функционирование в облаке.

Алексей Иванов, руководитель проектов, департамент инфраструктурных решений, Digital Design: Баланс между безопасностью и комфортом должен быть, как минимум, дифференцированным. Не нужно ударяться в крайности и рассматривать все сервисы под одним углом. Если приложение бизнес-критичное, необходимо максимально обезопасить его независимо от того, что думают пользователи. В тоже время, например, сервис корпоративного онлайн общения не требует сильной защищенности, здесь достаточно базовой защиты и можно обеспечить максимум удобств.

Тщательный анализ возможных угроз при перемещении сервиса в интернет – главное в процессе перехода.

Алексей Филатенков, начальник отдела ИБ, Открытые Технологии:  Все участники рынка (вендоры, системные интеграторы, провайдеры облачных услуг) готовы к обеспечению информационной безопасности ровно настолько, насколько пользователи готовы за это платить. На мой взгляд, отсутствуют технические препятствия, не позволяющие обеспечить сохранность данных и целостность системы. Решение этой задачи затрагивает не только аспекты, связанные с "облаком", а ещё и в большей степени инфраструктуру в традиционном смысле этого слова. Практика показывает, что пользователи недооценивают важность защиты информации, халатно относятся к процедурам обеспечения защиты данных и игнорируют регламенты нераспространения сведений, составляющих тайну. 

Михаил Готальский, генеральный директор TrueConf:  Разумный баланс всегда зависит от бизнеса компании. Любое удобство - это всегда компромисс с безопасностью. Сотрудники отделов ИБ должны правильно разграничить общедоступные и конфиденциальные сервисы и обеспечить для каждого из них необходимый уровень безопасности. При необходимости всегда можно привлечь квалифицированных консультантов или системных интеграторов, которые помогут во всем разобраться.

Сергей Щербина, заместитель генерального директора компании Esri CIS:Однозначного ответа на этот вопрос нет. Ведь известно, что даже несмотря на  существование различных технологий безопасного доступа к «обычному» Интернету, некоторые организации полностью закрывают доступ «наружу» для своих сотрудников. В то же время, мобильный доступ уже стал частью ИТ-ландшафта. По данным исследвоания Juniper Networks,  44% респондентов используют мобильные устройства для доступа к корпоративным сетям, причем 81% из них делают это без уведомления и разрешения, а 14% даже не защищают свои устройства паролем (опрос проводился в 2010 году в 16 странах). Это означает, что даже простое введение соответствующих корпоративных регламентов на удаленный мобильный доступ могло бы существенно снизить риски, не прибегая к тотальным запретам и ограничениям.

Антон Хрипунов, руководитель направления Центров Обработки Данных компании CTI: Баланс между безопасностью и удобством найти всегда сложно. Задача облачных провайдеров и интеграторов - создавать и предлагать комплексные решения облачных сервисов без потери удобства работы с ними клиентов, но при этом регулируя безопасность в зависимости от потребностей клиента, требований регуляторов и ситуации с текущим и прогнозируемым уровнем хакерской активности.

Артем Гарусев, исполнительный директор компании CDNvideo: Найти баланс можно, сочетая два непрерывных процесса. С  одной стороны, это непрерывный мониторинг и анализ потребностей, угроз и методов их преодоления. С другой, – совершенствование систем безопасности в «облаке», а так же методов и инструментов информационного обмена между облаком и клиентом.

Роман Крючков, технический директор группы USN: В облако стоит выносить те сервисы, которые наименее критичны для компании, и по которым уже существуют наработки. Кроме того, лично моё мнение – не стоит выносить в облако всё то, где присутствует критичная для компании конфиденциальная информация.

Александр Трошин, технический директор «Манго Телеком»: Очень тяжело оценить стоимость информации, которая находится у человека в мобильном телефоне. Это может быть как частная переписка, так и письмо партнера к коммерческому директору, в котором содержатся какие то уникальные условия сделки. И попадание этого мобильного устройства не в те руки, конечно, может очень дорого обойтись и человеку, и компании. Я считаю верным простое правило и призываю ему следовать: «стоимость защиты информации не должна превышать стоимости самой информации». Думаю, каждая компания, в рамках единой политики ИБ, должна четко ранжировать информацию, разделяя ее на «критически важную» и «некритическую». И определить для этих статусов допустимый порядок действий и допусков. На практике это выражается вот в чем: если, например, в политике по ИБ какой либо компании прописано, что рабочие письма не должны приходить на мобильные девайсы, - значит, нужно это реализовывать технически (что несложно) и четко этому правилу следовать.

Александр Колыбельников, эксперт по информационной безопасности «Микротест»:  Сегодня уже стоит смириться, что понятия «периметр безопасности» уже не существует, и мы, в основном благодаря компании Apple, имеем в корпоративной сети огромное количество смартфонов и прочих мобильных услуг, являющихся полноправными узлами корпоративной сети. С ними необходимо работать, их необходимо защищать, их стоит учитывать. Это требование времени. Можно сказать, что мы работаем только со стационарными компьютерами, запретить беспроводное соединение и в итоге ни к чему это не приведет, мы получим отсталую IT-инфраструктуру. И отставание будет увеличиваться. Поэтому стоит с ними работать. Технологии защиты таких соединений существуют, и обезопаситься вполне возможно. Как пример – использование шлюзов для защиты удаленного доступа, использование сертификатов для аутентификации подключаемых устройств, использование специальных приложений для защиты непосредственно самих мобильных устройств, для проверки их безопасности.

Владимир Удалов, руководитель направления корпоративных продуктов в странах развивающихся рынков «Лаборатории Касперского»: Прежде всего, необходимо оценивать и соотносить те преимущества, которые дает публичный облачный сервис с теми рисками, которые сопутствуют его использованию. Если говорить о мобильности, безусловно, использование мобильных устройств качественно повышает уровень доступности сотрудников, удобство работы, и, как следствие, эффективность бизнеса. Вместе с тем, это создает дополнительные риски IT-безопасности. Мобильное устройство легче похитить или потерять, а вместе с ним– и корпоративные данные. Поэтому необходимо обеспечивать надежную защиту мобильных устройств, а точнее хранящихся на них данных, утечка которых может сильно ударить по бизнесу. В частности, иметь возможность удаленного контроля над данными, например, удаленно заблокировать устройство в случае его утери или удалить с украденного устройства рабочие документы и почту.

Дмитрий Митрофанов, заместитель директора СЦ по производству компании "Ай-Теко": Производители планшетов и смартфонов включают средства защиты в производимые устрвойства, и эти средства поддерживаются и провайдерами облачных услуг.  Так что в любом случае, требования безопасности здесь учитываются. Но для особых случаев, если компании считают, что стандартных средств недостаточно, есть специализированные решения, обеспечивающие более высокий уровень защиты. В том числе они есть и для мобильного доступа. Задача провайдеров – знать об этих решениях, информировать о них клиентов, учитывать, что в таких решениях тоже есть большая потребность.

Разумный баланс между безопасностью и комфортом пользования облачных сервисов достигается разработкой политик безопасности, учитывающих специфику бизнеса, компетенции сотрудников, долгосрочные цели развития компании. Эти политики недостаточно разработать и зафиксировать в виде документов: их исполнение должно контролироваться как с точки зрения работы с поставщиками сервисов, так и с точки зрения соблюдения этих политик сотрудниками.

Антон Разумов, руководитель группы консультантов по безопасности Check Point Software Technologies Ltd: Действительно, требование бизнеса "подключаться откуда угодно, с любого устройства" серьезно конфликтует с требованием безопасности. Понятно, что идеально вообще отрезать систему от внешнего мира. В реальном же мире приходится искать компромисс. И современные решения для предоставления удаленного доступа вполне позволяют решить эту задачу ко всеобщему удовлетворению. Кстати, данный вопрос - вопрос удаленного доступа - не менее остро встает и без виртуализации. Например, многие, предоставляя доступ к корпоративным данным с мобильных устройств, забывают, что при этом по умолчанию секретные документы могут уплыть в iCloud. И поэтому необходимо использовать решения сторонних производителей, много лет специализирующихся на безопасности.

 Александр Бондаренко, технический директор компании LETA: Надо понимать, что синергия мобильных и облачных технологий рождает долгосрочный тренд, от которого уже никуда не деться. Бизнес однозначно будет использовать все преимущества, которые дает возможность работы всегда и везде с корпоративными ресурсами на мобильном устройстве. Поэтому главная задача – это обеспечить надежную и безопасную среду для ведения бизнес-деятельности в новых условиях. Это задача в первую очередь разработчиков средств защиты под мобильные и облачные платформы, и во вторую очередь специалистов по информационной безопасности, которые должны эти самые технологии правильно применить в реальной бизнес-среде. В настоящий момент на рынке решений по защите мобильных устройств уже достаточно различных механизмов, которые позволяют обеспечить защиту. Это решения уровня MDM (моbile device management) по управлению устройствами, системы защиты от утечки информации, средства антивирусной защиты, средства шифрования информации, средства контроля доступа и другие.  

Джабраил Матиев, руководитель группы информационной безопасности IBS Platformix: Для разумного баланса необходимо: предотвратить бесконтрольное подключение устройств к облаку (то есть, обеспечить предварительную регистрацию устройств в системе и подключение только с зарегистрированных устройств); обеспечить соответствие устройств политикам безопасности компании (то есть, допустим, наличие антивируса на мобильном устройстве, обновленной версии прошивки, заданного набора приложений и т.д.); обеспечить усиленную аутентификацию, например, на основе технологии OTP (One Time Password, одноразовый пароль); желательно использование шифрованных туннелей от мобильных устройств до облака.

Владимир Алеев, главный архитектор бизнес-решений ЦОД ОАО «СИТРОНИКС»: Каждая компания ищет ответ на этот вопрос самостоятельно, исходя из действующей политики информационной безопасности и бизнес-стратегии. Использование сотрудниками мобильных устройств, как правило их собственных, должно рассматриваться как изменение в организации доступа к корпоративной сети и пройти тщательный анализ на предмет связанных с этим изменением новых рисков и угроз. По результатам этого  анализа стоимость парирования новых рисков должна быть сопоставлена с дополнительными преимуществами для развития бизнеса и ускорения бизнес-процессов, которые получает компания от BYOD (Bring Your Own Device). Остановить это движение уже нельзя, это свершившийся факт, но департамент информационной безопасности должен поставить этот процесс под свой контроль, исходя из интересов бизнеса.

Михаил Башлыков, руководитель направления информационной безопасности компании КРОК: Баланс можно  найти после анализа рисков удаленного подключения с мобильных устройств и в случае, когда они очень высоки. Не исключено, что потребуется вообще запретить любую удаленную работу с мобильных устройств в публичном облаке. При низком риске степень вложения в защиту соответствующего сервиса может быть минимальной.

Илья Трифаленков, начальник отдела информационной безопасности ОАО «Ростелеком»: Разумный баланс обеспечивается на основе анализа рисков. Общих рекомендаций тут не существует, поскольку все сильно зависит от того, какая информация и в каких целях обрабатывается. Средства защиты мобильных приложений быстро развиваются и уже сейчас есть вполне эффективный инструментарий. Хотелось бы при этом заметить, что далеко не со всеми приложениями удобно работать с мобильных устройств, так что эта проблема, хотя и актуальна для ряда случаев, но вряд ли определяющая.

 Алексей Лукацкий, бизнес-консультант по безопасности Cisco Systems: До прихода в "Сиско" я работал в российском интеграторе информационной безопасности и у нас был запрещен удаленный (и тем более мобильный) доступ к информации и приложениям, размещенным внутри локальной сети; об облаках тогда никто не думал (да и сейчас мало кто из российских ИБ-компаний пользуется облачными сервисами для обеспечения своей деятельности). Когда я пришел в "Сиско", я поразился тому, что у нас не было стационарного компьютера (только лэптопы) и никто не заставлял тебя приходить в офис и сидеть с 9-ти до 6-ти за своим рабочим столом. Принцип «офис там, где работа, а не работа там, где офис» в "Сиско" был реализован чуть ли не с самого основания компании. И безопасность подстраивалась под такие условия труда, оснащая лэптопы сотрудников соответствующими техническими решениями, прозрачными для сотрудников, но обеспечивающих нужный уровень безопасности (надо заметить, что 70% этих решений было разработано нами же). Потом компания перешла на доступ с мобильных устройств, а спустя всего год или два разрешила сотрудникам использовать собственные мобильные устройства. И было это задолго до появления термина BYOD и активного внедрения этой концепции по миру. Как нам удалось достичь такого успеха? Основной акцент был сделан не на технологиях (их как раз в избытке на рынке), а на работе с пользователями. Регулярное обучение, пилотные проекты, тестирование на продвинутых пользователях, регулярное выслушивание мнения сотрудников, приоритет бизнеса над безопасностью… Все это позволило нам не только найти баланс между комфортом и безопасностью использования мобильного доступа, но и тесно интегрировать первое со вторым.