Раздел 3. Преимущества
Преимущества управления рисками, связанными с безопасностью в ИТ
На самых высоких уровнях улучшенные и автоматизированные средства внутреннего контроля могут оказать значительное влияние на эффективность работы и структуру затрат группы ИТ. Также они могут помочь улучшить работу компании в целом.
Более того, развертывание программы ERM - это лучший способ обеспечить достижение следующих целей.
Защита ресурсов Защита широкого спектра корпоративных ресурсов обеспечивается в значительной мере благодаря управлению доступом к ресурсам.
Непрерывная доступность служб Обеспечение времени доступа 24/7 и качества обслуживания, которое требуется для большинства современных систем и приложений. Это обеспечивается защитой от атак злоумышленников и управлением системных уязвимостей.
Соответствие нормам Обеспечение соответствия отраслевым и правительственным нормам нужно не только для удовлетворения законодательных требований, но и для создания ценности бренда и укрепления доверия со стороны инвесторов. Для этого нужны надежные средства внутреннего контроля.
РАЗДЕЛ 4
Заключение
Основным элементом любых успешных усилий ERM является эффективная программа по управлению рисками безопасности ИТ. Безопасность ИТ подразумевает целый ряд рисков, которые нужно учитывать единым и целостным образом. Это нужно для того, чтобы гарантировать, что важные ресурсы компании защищены, а доступность бизнес-услуг никогда не будет нарушена. Хорошая программа управления рисками ИТ может стать основой эффективной и действенной программы обеспечения соответствия законодательным требованиям. На рис. D приведены некоторые основные элементы каждой области управления рисками. Эти элементы нужно учитывать в любой всеобъемлющей программе по управлению рисками безопасности ИТ.
Элементы всеобъемлющего управления рисками, связанными с ИТ
Рисунок D
Всеобъемлющая программа управления рисками ИТ должна учитывать три основных области.
Что нужно защищать
Защита ресурсов
- Веб-приложения
- Веб-службы
- Корпоративные приложения
- Доступ к операционной системе
- Важные системные файлы и базы данных
- Контроль за системными службами
- Права доступа суперпользователя
- Системные журналы
- Никому не принадлежащие пользовательские учетные записи
- Ресурсы мэйнфреймов
От чего нужно защищать
Непрерывная доступность служб
- Вирусы
- Спам
- Попытки вторжения
- Программы-шпионы
- Атаки "отказ в обслуживании"
- Клавиатурные шпионы
- Другие вредоносные программы
- Системные уязвимости
Результаты...
Соответствие законодательным требованиям
- Надежные средства внутреннего контроля безопасности
- Проверяемое соответствие
Самым эффективным подходом для защиты корпоративных ресурсов является интегрированная платформа для управления идентификацией и доступом. Такой тип решения может внедрить строгие политики безопасности, относящиеся к доступу ко всем важным ресурсам. Также это решение может отслеживать и контролировать все попытки доступа пользователей к этим ресурсам.
Самым эффективным подходом к обеспечению непрерывной доступности служб является всеобъемлющее и интегрированное решение для управления угрозами. Попытки развертывания нескольких точечных решений от различных производителей часто неэффективны для борьбы с этими рисками.
Наконец, успешное развертывание решений такого типа может значительно облегчить процесс обеспечения соответствия правительственным и отраслевым нормам. Улучшенные и автоматизированные средства внутреннего контроля могут улучшить не только эффективность работы и структуру затрат группы ИТ, но и работу компании в целом.
Раздел 5
Об авторе
Самнер Блаунт связан с разработкой и маркетингом программных продуктов уже свыше 25 лет. Он руководил большой группой, занятой разработкой операционных систем для больших компьютеров в компаниях Digital Equipment и Prime Computer. Также он руководил группой по работе с продуктами для распределенных вычислений (Distributed Computing Product Management Group) в компании Digital. Позже он занимал ряд позиций, связанных с руководством выпуском различных продуктов, включая должность менеджера по семейству продуктов SiteMinder в компании Netegrity. В настоящее время он занимает пост директора по решениям для безопасности в компании CA.