«Усиление, разделение и сегрегация сетей и криптография». Именно это подразумевалось под безопасностью, когда Марта Белтран начала свою карьеру 15 лет назад. Будучи автором, преподавателем и исследователем (она – координатор ИБ первой степени в Испании), она отмечает: “Целью было просто защитить данные при передаче и данные в состоянии покоя. С тех пор мы сильно изменились в том плане, как мы взаимодействуем с технологиями, и мы работаем с несколькими концепциями, связанными с защитой: мы начинаем говорить об управляющих идентификаторах входа, безопасных методологиях разработки, вредоносных программах и защите от сложных угроз».

Panda Security (P.S.): В 2014 году Вы написали “Cloud Computing, Technology and Business». Как Вы думаете, изменилось ли облако с точки зрения безопасности?

Марта Белтран (М.Б.): Я бы сказала, что мы начинаем защищать наши облачные системы. До сих пор при создании продуктов и сервисов, отмеченных потребностями клиентов, вызывало беспокойство только то, насколько хорошо и корректно они работают, а не в целом вся безопасность. Безопасность обычно добавляется в конце процесса создания. За последние два года мы совершили качественный и количественный скачок в области облачной безопасности. Мы начинаем лучше понимать всю ее важность, а также то, что, например, экстернализация части технологической инфраструктуры не означает, что надо забыть о рисках, с которыми мы сталкиваемся. Провайдер больше не является единственным, кто должен беспокоиться о безопасности компании. Большинство пользователей теперь знают, что существует распределенная ответственность, что есть угрозы, которые возникают при подключении к облачным сервисам, а меры защиты, которые необходимо предпринимать, различаются для каждого из этих специфических сервисов. Антивредоносный агент отличается для ПК и для облачного сервиса.


Марта Белтран

P.S.: Постоянные инновации могут быть проблемой с точки зрения безопасности. Как Вам удается оставаться в курсе всех изменений?

М.Б.: Вам необходимо иметь четкую стратегию. Существуют определенные секторы, где стремление к инновациям является частью их ключевой стратегии, и она позволяет им быстрее развиваться, но и принимать больше рисков. Другие, как промышленный сектор или объекты критической инфраструктуры, как правило, более консервативны, потому что от них зависят граждане и правительственные учреждения (аэропорты, АЭС, электростанции). В случае стартапов, которые очень ориентированы на облако и у которых почти все вынесено за пределы компании, ситуация заключается не в том, что они хорошо подходят для инноваций, а в том, что они должны применять инновации, чтобы выжить на рынке. Вот почему они склонны брать на себя больше рисков, а их инновации не могут иметь негативное влияние на среду безопасности. Это всегда зависит от сектора, предприятия, страны. У себя в университете мы пытаемся сделать так, чтобы добиться максимально возможной технологической прозрачности. Мы позволяем себе быть более инновационными и мыслить масштабно, чтобы донести эти инновации до компаний, до производственного сектора, до администрации. Этот обмен знаниями очень важен: предметы, которые исследуются в университете, должны достигать компаний.

P.S. Насколько важно обучать сотрудников?

М.Б.: Обучение и осведомленность крайне важны как дома, так и на работе. Люди не всегда понимают риски, которые имеются в личной жизни, или тот факт, что они могут иметь последствия в их профессиональной деятельности: использование незащищенных сетей и устройств, с которых люди часто подключаются к персональному онлайн-банку, или месту хранения персональной информации, или к корпоративной сети или корпоративным сервисам. Если говорить о профессиональной деятельности, то внутренние риски, которые достаточно распространены, в большинстве случаев не сводятся к злому умыслу, а связаны с небрежностью или неосторожностью, или даже незнанием каких-то правил. Компании должны серьезно обеспечивать безопасность, проводить обучение корпоративным политикам (ноутбуки, сети, наличие безопасных паролей). Мы должны внедрять безопасность с самого начала, иметь четкое представление о том, что может быть доступно, а что – нет, и выделять сотрудника (группу сотрудников) по вопросам безопасности, к которым необходимо обращаться в случае инцидента.

P.S.: Какой совет по информационной безопасности Вы могли бы дать предприятиям, которые хотят оставаться безопасными в новой экосистеме?

М.Б.: Я бы сказала им, что очень важно применять здравый смысл и оставаться защищенным на соответствующем уровне в соответствии с теми рисками, с которыми они сталкиваются. С технологической точки зрения, не так много ограничений, как может показаться. Т.е. существует уже достаточно решений информационной безопасности почти для каждой проблемы, с которой мы можем столкнуться. Я бы также сказала, что важно подходить к безопасности последовательно. Пока вы не знаете рисков, с которыми вы сталкиваетесь, вы не можете рассчитывать на то, что сможете их устранить за один день, потому что они постоянно меняются. По мере того как вы пытаетесь сократить риски, будут появляться новые риски. Компании должны начать с базового сценария и идти по пути его постоянного усовершенствования, приобретая новые ноу-хау и новые практики для успешного противостояния постоянным угрозам.