Securitatea este înainte de toate o problemă de administrare
Experții în securitate spun că securitate cibernetică este o problemă a întregii companii nu doar a departamentului IT și care nu poate fi asigurată doar cu ajutorul software ci necesită implicarea tuturor.
Companiile cheltuie sute de milioane pe produse de securitate care susțin că sunt o soluție pentru toate problemele, dar în realitate, acestea nu opresc fiecare atac cibernetic pentru că tehnologia nu este singura soluție, conform securityinfowatch.com.
Acest scenariu face posibilă folosirea de produse de securitate care sunt folosite sub potențialul lor maxim. Multe dintre ele ar putea reduce riscurile de securitate, dar numai dacă sunt implementate și integrate în întregime în strategia de securitate. Problemele s-ar putea să nu existe din cauza produselor ci din cauza unei lipse de axare pe administrarea și din lipsa de soluții de proiectare, implementare și monitorizare adecvate. Asta necesită integrarea oamenilor,proceselor și tehnologiei.
Pentru implementarea unui program de administrare a securității este necesară alegerea stabilirea obiectivelor pri determinarea bunurilor care trebuie protejate precum și stabilirea unor granițe care vor determina ce este inclus în programul de administrare al securității. După acest pas, administrația trebuie să stabilească obiective de securitate pentru protecția informațiilor.
Următorul pas constă în identificarea riscurilor pentru bunurile care urmează să fie protejate și selectarea verificărilor adecvate dintre mai multe cadre de securitate menite să reducă aceste riscuri. Fiecare situație de risc trebuie să fie responsabilitatea cuiva pentru a le reduce.
Ultimul pas ar fi implementarea de controale și soluții. Verificările sunt importante, dar sunt necesare soluții pentru remedierea problemelor pe măsură ce apar. Spre exemplu, principalul obiectiv al unui proces de administrare al actualizărilor (exemplu de verificare) este eliminarea de vulnerabilități ale rețelei. Însă verificarea nivelului de implementare al actualizărilor și generarea de rapoarte nu este o asigurare că sunt reduse vulnerabilitățile. Din mai multe motive acesta nu ar putea funcționa cum ar trebui și acestea pot fi nevoia de a restarta sistemul după o actualizare, o configurare greșită care nu permite actualizării să fie implementată pe toate sistemele sau prezența unui alt software incompatibil.
Astfel că doar măsurarea nivelului de control poate da un fals sentiment de securitate, iar cei care ar trebui să remedieze vulnerabilitățile sunt distrași de la acest obiectiv. Cea mai bună soluție în acest caz este măsurarea eficienței actualizărilor după ce au fost instalate pentru a vedea dacă mai sunt probleme de remediat.
Mike Gillespie, consultant al Advent Information Management, furnizor de servicii de securitate, spune că multă lume din Marea Britanie consideră securitatea ca fiind problema departamentului IT, nu o problemă a întregii companii, conform computerweekly.com.
Multe breșe de securitate date publicității în ultima vreme nu au fost rezultatul unor procese IT ci rezultatul unor procese inadecvate de business și al unor erori umane.
În Marea Britanie, Guvernul a publicat directive și a creat un forum numit Information Security Awareness, dar toate acestea nu rezolvă cu adevărat problema. Spre exemplu, majoritatea membrilor forumului sunt experți în securitate care discută problemele cu care se confruntă. Dar lipsesc cei care se ocupă de securitatea fizică, cu problemele de personal și de la alte departamente ale companiilor.