Мифы об информационной безопасности

Выстроить эффективную систему информационной безопасности в компании часто мешают многочисленные устоявшиеся мифы. Разберем самые распространенные из них.

Информационная безопасность — это исключительно сфера IT

Понятие ИБ у большинства ассоциируется с информационными технологиями, в частности, с файерволами, антивирусами, IPS и другими системами. Однако в действительности IT занимает менее 80% объема информационной безопасности. Значительную роль в том числе играет уровень подготовки и осведомленности персонала, организационные и другие факторы.

Информационной безопасностью может заниматься IT-подразделение компании

Многие компании вынуждены перекладывать задачи информационной безопасности полностью на IT-отдел, поскольку не имеют возможности сформировать специализированное подразделение. Однако круг задач в сфере ИБ существенно отличается от задач обычных «айтишников». Чтобы стать специалистом среднего уровня по информационной безопасности, требуется несколько лет постоянного обучения и практики именно в этом направлении.

IT-специалисты загружены своей работой. Поэтому они просто не в состоянии осваивать новое объемное направление. Результатом становятся ошибки, которые стоят компании значительного ущерба. Однако винить в этих ошибках ИТ-специалистов нельзя.

Информационная безопасность требует огромных вложений

Это один из распространенных мифов, под влиянием которых многие компании отказываются от внедрения полноценных мер ИБ. Однако существует масса даже полностью бесплатных мер технического и организационного характера, которые помогают обеспечить безопасность компании от различного вида кибератак.

К техническим мерам относятся:

• выполнение сегментации сети;
• создание списков доступа;
• отказ от Telnet в пользу SSH;
• ведение мониторинга по SNMP;
• регулярное обновление операционных систем и прошивок оборудования;
• создание логов всех событий и т. д.

Среди административных мер можно выделить:

• формирование правильной парольной политики с регулярной сменой паролей;
• регулярное проведение аудита ИБ;
• информирование пользователей о вероятных угрозах;
• документирование сети и многое другое.

На практике в сфере ИБ действует принцип, по которому 20% грамотных мер обеспечивают 80% защищенности компании.

Информационная безопасность нужна только крупному бизнесу

Многие руководители маленьких компаний считают, что их бизнес не интересен хакерам. На самом деле, большинство атак проводятся в автоматическом режиме. Специально разработанные боты мониторят узлы, доступные в интернете, и обнаруживают уязвимости. Поэтому шансы подвергнуться атаке практически идентичны как у маленькой, так и у крупной компании.