 |
|
 |
|
Пароля недостаточно
Пароля уже недостаточно, чтобы уберечь от утечки корпоративную информацию, утверждается в редакционной статье журнала Canadian Security (13 September, 2012). Пользователям сегодня зачастую приходится иметь несколько паролей. Чтобы их запомнить, пароли либо упрощают, либо записывают, где придется, либо используют один на все случаи жизни.
Как показывают исследования, слабая система идентификации и контроля позволяет злоумышленникам успешно осуществлять вторжения. Аутсорсинг, все чаще улетающий в «облака», не панацея. Скорее, напротив. Каждое соединение пользователя с «облачными» базами данных с помощью пароля уже содержит потенциальный риск перехвата, тем более, что средства контроля и защиты переданы в чужие руки.
Без тщательного мониторинга безопасности сетей, без выстроенной защиты бизнес оказывается в весьма уязвимом положении и вынужден лишь реагировать на свершившиеся факты вторжения и кражи данных. А это стоит времени, денег, подчас и репутации. Ущерб, иногда составляющий многие миллионы долларов, совершенно несопоставим с капиталовложениями в информационную защиту, утверждает автор.
Дилемма состоит в выборе сбалансированного решения, которое бы позволило надежно обеспечить безопасность сетей без чрезмерных затрат на поддержку системы идентификации, в то же время не нагружая пользователя дополнительными требованиями.
Наилучшие решение, по мнению журнала, лежит на пути создания и использования программных продуктов, интегрирующих такие функции как контекстная проверка запрашиваемых для допуска данных, их сверка с исходными условиями, установленными стандартами и правилами, сопоставление с фактическими данными за длительный предшествующий период времени, статистический анализ. Все это нужно, чтобы оценить степень риска и принять решение о допуске пользователя. При обнаружении несоответствий, нарушений программа отказывает в допуске, запрашивает дополнительные данные аутентификации, сигнализирует менеджерам, ответственным за безопасность. Наилучшие программные решения обладают гибкостью, которая позволяет специалистам ИТ без больших проблем менять, а если надо, то и усложнять параметры допуска, приспосабливаясь к меняющемуся ландшафту рисков.
Такие программные продукты уже внедряются в практику. К примеру, Фейсбук использует решение «Login Notification».
В заключение статьи отмечается, что «самая большая ошибка, которую может допустить бизнес относительно безопасности – это благодушно полагать, что он застрахован от угроз. При этом не важно, какой это бизнес – большой или малый. Нельзя забывать, что всегда дешевле потратиться на эффективные системы защиты, чем на восстановление от ущерба в результате хакерского вторжения».
|
вернуться назад
