[medgimet]

Gartner: сисадмины ничего не понимают в безопасности

Выступив на конференции Gartner IT Security Summit в Лондоне, вице-президент Gartner Джей Хейзер заявил, что фундаментальная проблема чисто технического подхода заключается в том, что профессионалы по ИТ-безопасности не понимают бизнеса. Предприятиям нужно выращивать и продвигать людей, разбирающихся не только в вопросах безопасности, но и в хитросплетениях бизнеса.

«Ответственный за управление рисками» теперь важнее, чем традиционный специалист по безопасности, который, одновременно занимаясь сетевым администрированием, видит свою задачу в том, чтобы «тянуть деньги из директора по ИТ» и блокировать проекты, которые могли бы принести пользу организации, пояснил Хейзер. «Брандмауэром может управлять любой выпускник колледжа», — добавил он, призывая предприятия взяться за решение более важной задачи оценки собственных рисков и их приоритетов.

В качестве примера компании, принявшей подход использования на руководящих должностях в сфере безопасности бизнес-ориентированных менеджеров, можно привести страхового гиганта Zurich. Стефан Вогт, директор Zurich по ИТ-рискам, рассказал участникам конференции, что его компания отдала на субподряд традиционные аспекты ИТ и безопасности, такие как управление брандмауэром, профилями пользователей и доступом к данным, сосредоточившись на более стратегических вопросах.

«Мы не считаем управление брандмауэром своей повседневной задачей. У нас в организации нет людей, которые этим занимаются. Теперь мы работаем на стратегическом уровне, — сказал он. — Мы перешли от реагирования к предвосхищению и прогнозу возможных ситуаций в будущем». Вог добавил, что в верхней строке его списка приоритетов теперь значится политика, а брандмауэр опустился на последнее место. По его словам, принятие такого подхода внесло значительный вклад в снижение годовых расходов Zurich на ИТ почти с $2 млрд до «около $1 млрд».

По словам Хейзера, рано распознавая риск, вместо того, чтобы бороться с уже осуществившимися угрозами, предприятие значительно улучшает и окупаемость инвестиций. Например, компании, которые вкладывают слишком много средств в защиту по периметру, возможно, не понимают гигантского риска потери интеллектуальной собственности внутри предприятия из-за того, что персонал бесконтрольно вносит и выносит из компании портативные устройства.

«Перестаньте думать только о технике и позвольте предприятию интегрировать все вопросы безопасности», — заявил Хейзер, утверждая, что компании, которые продолжают бросать деньги в топку своих ИТ-подразделений, живут в «блаженном неведении» о том, на что расходуются их инвестиции. Идеальными кандидатами на роль моста через эту пропасть, по его словам, могут быть специалисты по коммуникациям и управлению проектами — желательно, окончившие также бизнес-школу по специальности «Управление рисками».

Хейзер добавил, что очень мало шансов на то, что технически мыслящий человек сможет перешагнуть на эту новую промежуточную почву, оставаясь в рамках ИТ-подразделения, если только у него нет очень хорошего представления об общей картине бизнеса.

Вице-президент Gartner Пол Проктор добавил, что требования регулирующих органов уже заставили компании вступить на этот путь: они начинают понимать, что хоть ИТ-подразделение и участвует в процессе выполнения этих требований, ему трудно охватить более широкую картину всех сторон бизнеса.
(c)ZDNet.ru