20.09.2005г.
Gartner: не доверяйте безопасность одним технарям
Аналитическая фирма считает, что предприятия больше не должны позволять техническим специалистам диктовать им, как защитить свою сеть.
Выступив на конференции Gartner IT Security Summit в Лондоне, вице-президент Gartner Джей Хейзер заявил, что фундаментальная проблема чисто технического подхода заключается в том, что профессионалы по ИТ-безопасности не понимают бизнеса. Предприятиям нужно выращивать и продвигать людей, разбирающихся не только в вопросах безопасности, но и в хитросплетениях бизнеса.
"Ответственный за управление рисками" теперь важнее, чем традиционный специалист по безопасности, который, одновременно занимаясь сетевым администрированием, видит свою задачу в том, чтобы "тянуть деньги из директора по ИТ" и блокировать проекты, которые могли бы принести пользу организации, пояснил Хейзер. "Брандмауэром может управлять любой выпускник колледжа", — добавил он, призывая предприятия взяться за решение более важной задачи оценки собственных рисков и их приоритетов.
В качестве примера компании, принявшей подход использования на руководящих должностях в сфере безопасности бизнес-ориентированных менеджеров, можно привести страхового гиганта Zurich. Стефан Вогт, директор Zurich по ИТ-рискам, рассказал участникам конференции, что его компания отдала на субподряд традиционные аспекты ИТ и безопасности, такие как управление брандмауэром, профилями пользователей и доступом к данным, сосредоточившись на более стратегических вопросах.
"Мы не считаем управление брандмауэром своей повседневной задачей. У нас в организации нет людей, которые этим занимаются. Теперь мы работаем на стратегическом уровне, — сказал он. — Мы перешли от реагирования к предвосхищению и прогнозу возможных ситуаций в будущем". Вог добавил, что в верхней строке его списка приоритетов теперь значится политика, а брандмауэр опустился на последнее место. По его словам, принятие такого подхода внесло значительный вклад в снижение годовых расходов Zurich на ИТ почти с $2 млрд до "около $1 млрд".
По словам Хейзера, рано распознавая риск, вместо того, чтобы бороться с уже осуществившимися угрозами, предприятие значительно улучшает и окупаемость инвестиций. Например, компании, которые вкладывают слишком много средств в защиту по периметру, возможно, не понимают гигантского риска потери интеллектуальной собственности внутри предприятия из-за того, что персонал бесконтрольно вносит и выносит из компании портативные устройства.
"Перестаньте думать только о технике и позвольте предприятию интегрировать все вопросы безопасности", — заявил Хейзер, утверждая, что компании, которые продолжают бросать деньги в топку своих ИТ-подразделений, живут в "блаженном неведении" о том, на что расходуются их инвестиции. Идеальными кандидатами на роль моста через эту пропасть, по его словам, могут быть специалисты по коммуникациям и управлению проектами — желательно, окончившие также бизнес-школу по специальности "Управление рисками".
Хейзер добавил, что очень мало шансов на то, что технически мыслящий человек сможет перешагнуть на эту новую промежуточную почву, оставаясь в рамках ИТ-подразделения, если только у него нет очень хорошего представления об общей картине бизнеса.
Вице-президент Gartner Пол Проктор добавил, что требования регулирующих органов уже заставили компании вступить на этот путь: они начинают понимать, что хоть ИТ-подразделение и участвует в процессе выполнения этих требований, ему трудно охватить более широкую картину всех сторон бизнеса.
Источник: ZDNET
При перепечатке материала ссылка на innov.ru обязательна
Все новости рубрики
