RSA опубликовала новый отчет SBIC с рекомендациями по модернизации процессов управления рисками
Руководители служб безопасности международных компаний предлагают пять рекомендаций по трансформации устаревших процессов информационной безопасности
МОСКВА, 17 декабря 2013 г. Компания RSA, подразделение безопасности корпорации EMC (NYSE:EMC), опубликовала новый отчет Совета SBIC (Security for Business Innovation Council) «Трансформация информационной безопасности: процессы, ориентированные на будущее». В отчете рассказывается, как организации могут получить новые конкурентные преимущества путем трансформации устаревших процессов использования и защиты информационных активов. Специалисты SBIC подробно рассматривают основные сложности и усовершенствованные методики защиты данных, а также предлагают компаниям практические рекомендации по планированию и разработке новых процессов управления рисками кибербезопасности.
Эксперты Совета отмечают, что бизнес-подразделения в организациях все активнее участвуют в управлении информационными рисками. При этом устаревшие процессы обеспечения безопасности препятствуют инновациям и затрудняют успешную борьбу с новыми рисками кибербезопасности. Специалисты рекомендуют службам информационной безопасности теснее взаимодействовать с функциональными бизнес-подразделениями для создания новых систем и процессов, помогающих быстрее и точнее выявлять, оценивать и отслеживать риски кибербезопасности.
В числе способов улучшить процессы обеспечения безопасности эксперты называют количественную оценку рисков, вовлечение бизнес-подразделений, оценку средств контроля, проведение оценок рисков внешними организациями и обнаружение угроз. Также предлагаются пять рекомендаций по развитию программы обеспечения информационной безопасности, которые помогут бизнес-подразделениям превратить риски в источники новых конкурентных преимуществ.
1. Перенос внимания с технических активов на критически важные бизнес-процессы
Эксперты призывают выйти из тесных рамок технической концепции защиты информационных активов и совместно с бизнес-подразделениями задокументировать критически важные бизнес-процессы, чтобы сформировать полную картину использования информации на предприятии.
2. Оценка рисков кибербезопасности с точки зрения бизнеса
Опишите риски кибербезопасности в терминах и цифрах, понятных бизнесу, и интегрируйте их в глобальный процесс оценки рисков.
3. Оценка рисков со стороны бизнес-подразделений
Внедрите автоматизированные средства отслеживания информационных рисков, чтобы бизнес-подразделения могли активно участвовать в выявлении опасных ситуаций и предотвращении рисков, повышая свою долю ответственности за безопасность предприятия.
4. Ориентация на контроль качества на основе доказательств
Разработайте и задокументируйте методы сбора данных для систематического подтверждения эффективности средств контроля.
5. Разработка методик сбора информативных данных
Целенаправленно формируйте архитектуру данных, которая будет улучшать видимость и расширять возможности аналитики. При идентификации релевантных источников данных ориентируйтесь на типы задач, которые решает аналитика данных.
Мнения руководителей
Арт Ковьелло (Art Coviello), исполнительный вице-президент корпорации EMC, исполнительный директор RSA — подразделения безопасности корпорации EMC
«В современном цифровом мире успешное внедрение инноваций невозможно без переоценки мер по управлению рисками кибербезопасности. Службы безопасности должны перейти от пассивного подхода на основе защиты периметра к проактивному сотрудничеству с бизнес-подразделениями. Если бизнес-процессы будут обновлены, как это описано в рекомендациях Совета, организации смогут лучше представлять риски и управлять ими, извлекая при этом выгоду для себя».
Дейв Мартин (Dave Martin), вице-президент и руководитель службы безопасности корпорации EMC
«Если документирование бизнес-процессов станет общей задачей, то полученные результаты максимально точно отразят риски, имеющиеся в системе. Мы никогда не поймем ценность конкретной информации для бизнеса лучше владельцев бизнес-процессов, а они, в свою очередь, никогда не предскажут киберугрозы лучше специалистов из службы безопасности».
О совете Security for Business Innovation Council
Совет Security for Business Innovation Council — это группа ведущих специалистов по безопасности, работающих в компаниях из списка Global 1000 и объединившихся для обмена мнениями и совместной работы с целью развития информационной безопасности во всем мире. Совет периодически публикует отчеты, посвященные информационной безопасности как важнейшему фактору внедрения инноваций в бизнесе. Это второй из трех отчетов, посвященных созданию программы информационной безопасности следующего поколения. Первый отчет доступен по ссылке: Трансформация информационной безопасности: формирование современной расширенной ИТ-службы.
В составлении этого отчета участвовали 19 ведущих специалистов по безопасности, представляющих крупнейшие глобальные компании:
ABN Amro
FedEx Corp.
Nokia
ADP, Inc.
Fidelity Investments
SAP AG
Airtel
HDFC Bank Ltd.
TELUS
AstraZeneca
HSBC Holdings plc
T-Mobile USA
Coca-Cola
Intel
Walmart
eBay
Johnson & Johnson
EMC Corp.
JPMorgan Chase
Дополнительные материалы
• Загрузите последний отчет SBIC (Security for Business Innovation Council)
• Загрузите инфографику, на которой представлены пять рекомендаций SBIC
• Блог RSA: Five Ways to Future-proof Information Security Processes (Лора Робинсон / Laura Robinson, председатель SBIC)
• Загрузите первый отчет серии: Трансформация информационной безопасности: формирование современной расширенной ИТ-службы
• Следите за новостями RSA в Twitter, Facebook, YouTube, LinkedIn и в блоге и подкасте RSA «Speaking of Security»
• Следите за публикациями в EMC Pulse — новостном блоге EMC о продуктах и технологиях!
Информация о RSA
RSA, подразделение безопасности корпорации EMC, является главным поставщиком решений для обеспечения безопасности на основе аналитики. RSA помогает ведущим мировым организациям успешно разрешать стоящие перед ними сложные задачи обеспечения безопасности и конфиденциальности (управление организационными рисками, обеспечение безопасности при мобильном доступе и совместной работе, предотвращение интернет-мошенничества и защита от угроз повышенной сложности).
Сочетая гибкие средства контроля идентификации, обнаружения мошенничества и защиты данных с надежной платформой Security Analytics и лидирующими в отрасли средствами GRC и консультационными услугами, компания RSA обеспечивает надежность и прозрачность работы с личными данными миллионов пользователей, их транзакциями и создаваемыми в результате данными, а также работы базовой ИТ-инфраструктуры. Для получения дополнительных сведений посетите сайт www.EMC.com/RSA.
О корпорации EMC
Корпорация EMC является глобальным лидером, помогающим компаниям и сервис-провайдерам преобразовать свою работу и предоставлять ИТ как сервис. Основой таких преобразований являются облачные вычисления. Инновационные продукты и сервисы EMC ускоряют переход к облачным вычислениям, помогая ИТ-подразделениям более динамично, надежно и экономично хранить, управлять и анализировать информацию, которая представляет для них самый важный актив. Подробные сведения о корпорации EMC можно найти на веб-сайте http://russia.emc.com.
###
RSA и EMC являются зарегистрированными товарными знаками или товарными знаками Корпорации EMC в США и других странах. Все прочие знаки и наименования могут являться товарными знаками соответствующих правообладателей.
Эксперты Совета отмечают, что бизнес-подразделения в организациях все активнее участвуют в управлении информационными рисками. При этом устаревшие процессы обеспечения безопасности препятствуют инновациям и затрудняют успешную борьбу с новыми рисками кибербезопасности. Специалисты рекомендуют службам информационной безопасности теснее взаимодействовать с функциональными бизнес-подразделениями для создания новых систем и процессов, помогающих быстрее и точнее выявлять, оценивать и отслеживать риски кибербезопасности.
В числе способов улучшить процессы обеспечения безопасности эксперты называют количественную оценку рисков, вовлечение бизнес-подразделений, оценку средств контроля, проведение оценок рисков внешними организациями и обнаружение угроз. Также предлагаются пять рекомендаций по развитию программы обеспечения информационной безопасности, которые помогут бизнес-подразделениям превратить риски в источники новых конкурентных преимуществ.
1. Перенос внимания с технических активов на критически важные бизнес-процессы
Эксперты призывают выйти из тесных рамок технической концепции защиты информационных активов и совместно с бизнес-подразделениями задокументировать критически важные бизнес-процессы, чтобы сформировать полную картину использования информации на предприятии.
2. Оценка рисков кибербезопасности с точки зрения бизнеса
Опишите риски кибербезопасности в терминах и цифрах, понятных бизнесу, и интегрируйте их в глобальный процесс оценки рисков.
3. Оценка рисков со стороны бизнес-подразделений
Внедрите автоматизированные средства отслеживания информационных рисков, чтобы бизнес-подразделения могли активно участвовать в выявлении опасных ситуаций и предотвращении рисков, повышая свою долю ответственности за безопасность предприятия.
4. Ориентация на контроль качества на основе доказательств
Разработайте и задокументируйте методы сбора данных для систематического подтверждения эффективности средств контроля.
5. Разработка методик сбора информативных данных
Целенаправленно формируйте архитектуру данных, которая будет улучшать видимость и расширять возможности аналитики. При идентификации релевантных источников данных ориентируйтесь на типы задач, которые решает аналитика данных.
Мнения руководителей
Арт Ковьелло (Art Coviello), исполнительный вице-президент корпорации EMC, исполнительный директор RSA — подразделения безопасности корпорации EMC
«В современном цифровом мире успешное внедрение инноваций невозможно без переоценки мер по управлению рисками кибербезопасности. Службы безопасности должны перейти от пассивного подхода на основе защиты периметра к проактивному сотрудничеству с бизнес-подразделениями. Если бизнес-процессы будут обновлены, как это описано в рекомендациях Совета, организации смогут лучше представлять риски и управлять ими, извлекая при этом выгоду для себя».
Дейв Мартин (Dave Martin), вице-президент и руководитель службы безопасности корпорации EMC
«Если документирование бизнес-процессов станет общей задачей, то полученные результаты максимально точно отразят риски, имеющиеся в системе. Мы никогда не поймем ценность конкретной информации для бизнеса лучше владельцев бизнес-процессов, а они, в свою очередь, никогда не предскажут киберугрозы лучше специалистов из службы безопасности».
О совете Security for Business Innovation Council
Совет Security for Business Innovation Council — это группа ведущих специалистов по безопасности, работающих в компаниях из списка Global 1000 и объединившихся для обмена мнениями и совместной работы с целью развития информационной безопасности во всем мире. Совет периодически публикует отчеты, посвященные информационной безопасности как важнейшему фактору внедрения инноваций в бизнесе. Это второй из трех отчетов, посвященных созданию программы информационной безопасности следующего поколения. Первый отчет доступен по ссылке: Трансформация информационной безопасности: формирование современной расширенной ИТ-службы.
В составлении этого отчета участвовали 19 ведущих специалистов по безопасности, представляющих крупнейшие глобальные компании:
ABN Amro
FedEx Corp.
Nokia
ADP, Inc.
Fidelity Investments
SAP AG
Airtel
HDFC Bank Ltd.
TELUS
AstraZeneca
HSBC Holdings plc
T-Mobile USA
Coca-Cola
Intel
Walmart
eBay
Johnson & Johnson
EMC Corp.
JPMorgan Chase
Дополнительные материалы
• Загрузите последний отчет SBIC (Security for Business Innovation Council)
• Загрузите инфографику, на которой представлены пять рекомендаций SBIC
• Блог RSA: Five Ways to Future-proof Information Security Processes (Лора Робинсон / Laura Robinson, председатель SBIC)
• Загрузите первый отчет серии: Трансформация информационной безопасности: формирование современной расширенной ИТ-службы
• Следите за новостями RSA в Twitter, Facebook, YouTube, LinkedIn и в блоге и подкасте RSA «Speaking of Security»
• Следите за публикациями в EMC Pulse — новостном блоге EMC о продуктах и технологиях!
Информация о RSA
RSA, подразделение безопасности корпорации EMC, является главным поставщиком решений для обеспечения безопасности на основе аналитики. RSA помогает ведущим мировым организациям успешно разрешать стоящие перед ними сложные задачи обеспечения безопасности и конфиденциальности (управление организационными рисками, обеспечение безопасности при мобильном доступе и совместной работе, предотвращение интернет-мошенничества и защита от угроз повышенной сложности).
Сочетая гибкие средства контроля идентификации, обнаружения мошенничества и защиты данных с надежной платформой Security Analytics и лидирующими в отрасли средствами GRC и консультационными услугами, компания RSA обеспечивает надежность и прозрачность работы с личными данными миллионов пользователей, их транзакциями и создаваемыми в результате данными, а также работы базовой ИТ-инфраструктуры. Для получения дополнительных сведений посетите сайт www.EMC.com/RSA.
О корпорации EMC
Корпорация EMC является глобальным лидером, помогающим компаниям и сервис-провайдерам преобразовать свою работу и предоставлять ИТ как сервис. Основой таких преобразований являются облачные вычисления. Инновационные продукты и сервисы EMC ускоряют переход к облачным вычислениям, помогая ИТ-подразделениям более динамично, надежно и экономично хранить, управлять и анализировать информацию, которая представляет для них самый важный актив. Подробные сведения о корпорации EMC можно найти на веб-сайте http://russia.emc.com.
###
RSA и EMC являются зарегистрированными товарными знаками или товарными знаками Корпорации EMC в США и других странах. Все прочие знаки и наименования могут являться товарными знаками соответствующих правообладателей.
Источник:
http://spb.1cbit.ru/company/press/release/172683/