Siguri

Pesë gabimet më të mëdha në IT siguri

Kor 26 2011
0 Shpërndarje
Pesë gabimet më të mëdha në IT siguri

Ngjashëm sikur pastrimi i dritareve, IT siguria mund të jetë një punë e paçmuar sepse ajo vërehet vetëm kur nuk e bëni. Por, që ta kryeni këtë punë me sukses në këtë kohë të virtualizimit, celularëve të mençur dhe teknologjisë cloud, ju duhet të shmangni gabimet teknike dhe politike.

Disa prej këtyre gabimeve më të rëndësishme po i japim më poshtë:

1. Pandehja që pikëpamja biznesore e organizatës është e njëjtë me atë të para 5 viteve.

Nuk është. Fuqia dhe influenca juaj po ikin derisa organizata po hap dyert për pajisjet mobile të punëtorëve, dhe po drejton aplikacionet tradicionale në cloud, nganjëherë edhe pa dijen tuaj. Ju duhet të jeni pro-aktiv në prezantimin e praktikave të arsyeshme të sigurisë në atë se cilat janë zgjedhjet më të reja teknologjike që shpesh ndodhin të gjithat jashtë IT departamentit. Është një detyrë si “mision i pamundur”, por është e juaja.

2. Dështimi i krijimit të një lidhje pune me IT menaxherët dhe ata të nivelit të lartë.

IT siguria është një divizion relativisht i vogël në krahasim me divizionet tjera brenda IT departamentit. IT siguria më shumë mbështetet tek kryerja e punëve themelore nga IT stafi. Profesionistët e sigurisë mund të kenë dituri të specializuar për këtë fushë dhe një çantë me certifikata si CISSP, por kjo s’do të thotë që ai apo ajo është e admiruar për shkak të kësaj, veçanërisht pasi shumica e punonjësve të IT sigurisë janë ata që zakonisht thonë “jo” për projektet e të tjerëve.

Për më tepër mos mendoni që struktura e fuqisë është gjithmonë duke lëvizur drejt CIO-së si vendimmarrësi kryesor. Një ndryshim thelbësor është duke ndodhur që pozitën tradicionale të CIO-së si udhëheqës i IT projekteve po e largon duke i dhënë më shumë kompetenca CFO-së për këto projekte. Disa fakte tregojnë që CFO-të as që i pëlqejnë IT departamentet. Idetë e tyre për sigurinë mund të shkojnë deri në atë shkallë të “pajtueshmërisë” me legalitetin e përgjithshëm. Puna e një profesionisti të sigurisë duhet të jetë në lidhje me sa më shumë komunikim me të tjerët.

3. Mos kuptimi që virtualizimi ka hequr tepihun e sigurisë nga dyshemeja për të gjithë

Organizatat janë në rrugë për të arritur 80% të virtualizimit të infrastrukturës së tyre të serverëve dhe me të njëjtin trend po rriten edhe projektet virtuale të desktopëve. Por, siguria po mungon, derisa shumica mendojnë që ajo fillon dhe mbaron me VLAN-ët. Realiteti është që arkitekturat e virtualizimit ndryshojnë gjithçka duke hapur rrugëdalje të reja që duhet të eksplorohen më pas. Ashtu siç ka ndodhur shumë herë më parë në IT industrinë, teknologjitë e reja inovative janë vënë në dispozicion pa shfaqur kujdes të merituar për sigurinë e tyre.

Disa produkte tradicionale të sigurisë, si për shembull softuerët anti-virus shpesh nuk funksionojnë siç duhet në makinat virtuale. Pajisjet fizike mund të kenë “pika verbuese” të reja. Sot, produktet e specializuara të sigurisë për ambientet virtuale më në fund po vijnë në treg, dhe profesionistët e sigurisë kanë nevojë të vendosin nëse duhet të përdorin ndonjërin prej tyre, në të njëjtën kohë duke qëndruar në hap me plane evoluese të sigurisë nga firma si VMware, Microsoft dhe Citrix.

4. Mos-përgatitja për thyerjen e të dhënave.

Është një skenar ankthi kur të dhëna të ndjeshme vidhen ose aksidentalisht përhapen. Pos zbulimit teknik dhe riparimit, në vjedhjen e të dhënave duhet të ndiqet edhe ligji. Por, cili ligj? Pothuajse çdo shtet tani ka ligjet e saja në lidhje me vjedhjen e të dhënave, siç janë Akti HI-TECH që prek disa industri, si shëndetësia. Kur të ndodh vjedhja, kjo do të jetë një ngjarje e madhe dhe e shtrenjtë që do të kërkoj pjesëmarrje koordinuese të menaxherit të IT sigurisë, IT departamentit, departamentit ligjor, divizionit të burimeve njerëzore dhe departamentit të marrëdhënieve publike, nëse jo edhe më tepër. Organizatat duhet të takohen që të përgatitin një plan për skenarët më të këqij në lidhje me vjedhjen e të dhënave të organizatës.

5. Vetëkënaqësia me tregtarët e IT sigurisë.

Është e nevojshme që të ketë një “partneritet” në mes të tregtarëve IT dhe të divizionit të sigurisë. Por, rreziku është humbja e vështrimit të produkteve me anë të syrit kritik pas partneritetit kohëgjatë me ndonjë tregtar, veçanërisht në arritjen e kuptimit se çfarë ata kanë më shumë ose më pak me konkurrentët e tyre në lidhje me problemet themelore të autorizimeve, qasjes ndaj problemeve të sigurisë dhe mbrojtjen nga malware të ndryshëm. Shumë tregtar po hasin në probleme të adaptojnë kontrollet tradicionale të sigurisë në kompjuterizimin virtual dhe në cloud. Disa ndjejnë që është kohë kaosi derisa IT industria po kalon nëpër një ri-zbulim. Por, kjo do të thotë vetëm që IT siguria duhet të kërkoj edhe më shumë zgjidhje para se të marr atë që beson se organizata ka nevojë tani dhe në të ardhmen.