22.09.2008  Экспертиза, Безопасность

Работая на посту директора по безопасности в компании Leo A Daly, занимающейся архитектурными решениями и инжинирингом, я часто сравнивал ИТ-безопасность с запечатанным стеклянным ящиком, заполненным зеленой жидкостью. Стеклянный ящик — аналогия всей компании, жидкость — используемые в ней разнообразные данные. Стенки совершенно прозрачны, за жидкостью легко наблюдать, пока она защищена надежной структурой ящика. По-моему, это очень хороший образ безопасности: надо взять то, что ценно для вас, и сделать так, чтобы все могли это видеть, но в то же время жестко контролировать доступ к жидкости. Теперь нужно организовать процессы добавления жидкости в ящик и её извлечения из него. Как правило, такие процессы тоже контролируются очень жестко, для чего необходимо множество кранов и насосов. Во время процессов добавления и извлечения сотрудники ИТ-департамента обычно находятся на переднем крае контроля, определяя, кто к какому крану может подойти, в каком направлении и с какой скоростью должна течь жидкость. Может быть, этот подход хорошо работал в прошлом, но по мере того, как сотрудники, клиенты и бизнес в целом стали требовать все более гибких схем работы при хранении данных и доступе к ним, аналогия со стеклянным ящиком начала показывать свои слабые места. Например, что случится, если ящик будет заполнен доверху? Насколько просто его расширить? А самое главное, что будет, если он даст течь и ваша жидкость — ценная корпоративная информация — станет вытекать наружу? Как вы ... читать далее.