BIS Journal №1(28)/2018

26 февраля, 2018

Shadow IT. Всем выйти из тени!

В современной России развитие сегмента облачных технологий опережает общемировой уровень. Согласно отчету IDC, в 2018 году рост облачных технологий ожидается на уровне 11,8%.

Облака все больше привлекают внимание и частных предпринимателей, и крупных холдингов, при этом информационная безопасность и контроль за потоками данных становятся все более актуальными.

Что же конкретно сулит движение бизнеса в «облака» и что с этим делать ИБ-специалистам, рассказал генеральный директор компании Web Control Андрей Акинин.

- Облачные сервисы сегодня: что они собой представляют и какие из них набирают наибольшую популярность?

Сегодня мы используем облака, даже не замечая этого. Почтовые службы, CRM-системы, офисные приложения все больше внедряют облачные технологии. Сотрудники компаний используют десятки, а то и сотни облачных сервисов. И это естественно. Облачные сервисы – это удобно, они позволяют компаниям избавиться от жесткости физической ИT-инфраструктуры и привести её в соответствие с изменившимися бизнес-потребностями.

Однако, как это ни парадоксально, сегодня мало кто в полной мере осознает, что такое облачные сервисы. В основном ими считают довольно узкую группу сервисов, объединяющих Google, Amazon, Яндекс и т.п. На самом деле, даже заходя на обычные банковские сайты, можно найти множество скриптов, таких как SDM (Service Data Management), RuTarget, Google Analytics, Google tag manager и прочих, - а это тоже облака. Соответственно, заходя на многие современные сайты, мы автоматически становимся пользователями облаков и наши данные начинают перемещаться в облака, и гипотетически это является потенциальной угрозой. Современные социальные сети – тоже по сути облачные сервисы, и часто они становятся рабочим инструментом бизнеса. При этом возрастает роль облачных бизнес-систем – CRM, конференций, инструментов совместной работы.

Все они могут стать каналами, и не только утечки информации, но и проникновения вредоносного ПО или целенаправленной атаки.

Важно, что сотрудники компаний используют облака вне зависимости от того, разрешено это корпоративной политикой или нет, и далеко не всегда это вредно для бизнеса!

- В какой момент облачные сервисы становятся проблемой для бизнеса и как избежать этого?

Если социальными сетями достаточно легко управлять, поскольку они на виду, то облачные бизнес-системы могут представлять значительную угрозу. Например, так называемые Shadow IT, то есть сторонние ИТ-решения, неподконтрольные корпоративному управлению. И это не всегда облака, это могут быть любые информационные системы, находящиеся вне зоны видимости или контроля.

Информационная безопасность, к счастью, имеет достаточно инструментов для выявления облачной активности. Нужно только уметь ими пользоваться. Гораздо легче это делать не запрещая и блокируя, а регулируя и наблюдая за использованием. Чем жестче борьба, тем быстрее она уйдет в тень, где ее трудно контролировать.

Инфраструктура Shadow IT не всегда зло, часто она возникает из «добрых» побуждений, для оптимизации легитимных бизнес-процессов. Поэтому ее нужно выявлять и анализировать, и только при необходимости предложить альтернативу. Это даст возможность сделать облачную среду контролируемой, удобной и безопасной.

Изначально нужно иметь гибкий подход к облакам. С одной стороны, есть разные сервисы, платформы и инфраструктуры; с другой, все они делятся на глобальны/локальные, безопасные/небезопасные, надежные и не очень, и всегда можно найти оптимальный вариант. Необходимо выявлять потенциально небезопасные или ненадежные сервисы, и искать им надежную и безопасную альтернативу.

- Как возведение периметра отражается на взаимоотношениях между бизнес-подразделениями, ИБ и ИТ-структурами?

Те, кто пытаются сохранить четкий периметр безопасности вокруг корпоративной сети и отстаивают жесткую политику ограничений, по сути возбуждают неприятие среди сотрудников компании. Сегодня добиться гибкости бизнес-процессов и оптимизации затрат можно только при полном взаимодействии ИБ-служб, бизнес-подразделений и пользователей.

Представители ИБ должны осознать, что их задача - обеспечить безопасную деятельность пользователей, выявляя потенциальные аномалии в ИТ-структуре компании, сглаживая и выравнивая их.

Одно из наиболее эффективных решений, способных помочь наладить систему контроля за облачными сервисами, - Cloud Access Security Broker (CASB), о котором, мы и будем говорить на «облачной» сессии X Уральского форума.

CASB-решения в данном контексте делают облачные сервисы контролируемыми и безопасными, поскольку могут быть интегрированы с различными компонентами контроля облачных сервисов.

- Как компания Web Control пришла к идее продвижения решений от Symantec? В чем их отличие от других технологий, представленных на российском рынке?

За нас выбор сделал рынок. Являясь дистрибьютором Blue Coat Systems, мы активно продвигали идею обеспечения безопасного поведения пользователей в Интернет, однако эти решения обеспечивали в основном сетевую безопасность. Слияние Blue Coat с Symantec дало нам возможность значительно расширить наши возможности реализации этой идеи.

Symantec – один из мировых лидеров в области производства систем ИБ для всего спектра информационных систем от ПК до глобальных облачных сервисов. На мой взгляд, преимущество Symantec заключается в том, что развитие его продуктовой линейки идет от еndpoint («пользовательский компьютер»). Периметр безопасности современных ИТ систем сужается до границ endpoint и его защищенность становится фундаментом всей безопасности компании.

Мы традиционно занимаемся вопросами внутренней безопасности корпоративных сетей, то есть вопросами обеспечения правильного/безопасного поведения сотрудников внутри инфраструктуры компании. Как показывает наша практика, а мы работаем в этой сфере более 10 лет, значительная часть проблем сосредоточена внутри периметра, который сейчас все больше сужается до границ еndpoint. Поэтому Symantec и получил то естественное преимущество, которое делает его лидером - управление контентом внутри периметра и его полный контроль.

- Как выбрать облачного провайдера и на какие параметры необходимо обращать внимание?

Мировой рынок все больше уходит от исключительно облачных услуг (SAAS) к все более востребованной корпоративным заказчиком инфраструктуре как сервису (IAAS). Cейчас эти решения активно предлагает Ростелеком, Microsoft Azure, Google и другие компании. При этом возникает вопрос: как обеспечить в них целостность, безопасность и, что самое важное, понимать, что происходит внутри?

Бизнес всегда принимает решения, исходя из коммерческой целесообразности, и старается обойти неудобные для себя решения. Соответственно ИБ- и ИТ-службы должны делать жизнь бизнеса безопасной и эффективной. Для этого, выбирая какие-либо облачные технологи, важно обратить внимание на такие критерии: контроль привилегированного доступа (как внешнего, так и внутреннего), надежность и управляемость сервиса, а также информативность отчетности о его использовании. В рамках облачной сессии Уральского форума мы попробуем все вместе более детально ответить на вопрос, на что обращать внимание при выборе облачного провайдера.

- Что дает мониторинг Shadow IT и какие перспективы открывает для будущего?

Прежде всего, он позволяет увидеть реальную картину использования облачных технологий внутри компании. Облачные сервисы нужно учиться контролировать, а не запрещать, ведь отказаться от них - значит потерять свои конкурентные преимущества в бизнесе. Чем жестче ограничения по безопасности, тем больше вероятность, что их будут обходить. Мониторинг использования облачных сервисов позволит вывести Shadow IT из тени и превратить облачные технологии из угрозы в преимущество бизнеса.

Необходимо формировать безопасную траекторию поведения при использовании сети, что позволит эффективно и безопасно его использовать. Служба ИБ должна заботиться не о том, как запретить что-то, а о том, как сделать это безопасным и удобным для бизнеса. Это сложная задача, требующая понимания всех бизнес-процессов. 

Вообще, хватит пугать бизнес, это контрпродуктивно! Давайте искать, как ему помочь, в том числе, выявляя Shadow IT и унифицируя подходы безопасного использования облаков.

Беседовала Анна Воробьева

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

11.10.2024
Очередная медицинская организация США стала объектом интереса хакеров
11.10.2024
Рыбалка вредит морякам. Морской SOC выявил главные угрозы для судоходства
11.10.2024
Регулятор обязал банкиров ускориться
11.10.2024
Краснов: Работа ведомственных антихак-подразделений должным образом не ведётся
11.10.2024
Минцифры отпустило идею создания национального репозитория
11.10.2024
Оплата картой «Мир» в Никарагуа — вопрос перспективы
11.10.2024
CISA и ФБР опасаются, что иранские хакеры могут навредить выборам
10.10.2024
ЦСР: К 2028 году объём российского рынка ИБ достигнет 715 млрд рублей
10.10.2024
22 октября в Москве пройдёт V Конференция по информационной безопасности ПрофИБ
10.10.2024
Это уже слишком. Теперь весь интернет знает, что вы едите «Огненное Воппер Комбо на двоих» в одиночку

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных