Symantec: nowa postawa w zakresie bezpieczeństwa

Agencje rządowe i firmy prywatne muszą skupić się na rozwiązaniach bezpieczeństwa jednopunktowego na bardziej holistycznym, opartym na informacjach bezpieczeństwie, doradzili urzędnicy Symantec.

"Wyraźnie przeszliśmy do punktu, w którym nasi klienci muszą być bardziej skoncentrowani na ochronie sama informacja, w przeciwieństwie do ochrony komputera lub ochrony sieci ", John Thompson, prezes i dyrektor generalny firmy Symantec, powiedział w czwartek na sympozjum rządowym w Waszyngtonie DC" Chociaż są to niezbędne elementy strategii ochrony, nie są one Więcej trzeba zrobić. "

W ostatnich latach amerykańscy prawodawcy skupili swoją uwagę na naruszeniach danych i utraconych laptopach, a agencje federalne zaklasyfikowały się, aby spełnić wymagania dotyczące szyfrowania informacji na laptopach i innych urządzeniach mobilnych. W poniedziałek amerykańskie Biuro ds. Odpowiedzialności Rządowej opublikowało raport, z którego wynika, że ​​zaledwie 30 procent poufnych danych na urządzeniach mobilnych w 24 głównych agencjach zostało zaszyfrowanych od września ubiegłego roku.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Szyfrowanie może być ważnym elementem strategii cyberbezpieczeństwa, ale to tylko jeden element, Thompson i John McCumber, menedżer strategicznych programów Symantec dla federalnego sektora publicznego, powiedział w wywiadach w czwartek.

Szyfrowanie nie jest "rozwiązaniem "do zapobiegania utracie danych, powiedział Thompson. "Dobre zasady dotyczące utraty danych zaczynają się od zrozumienia, jakie są najważniejsze dane, które mam i gdzie to jest?" powiedział. "W wielu przypadkach na każdym laptopie znajdują się krytyczne i wrażliwe informacje, ale nie wszystkie informacje znajdujące się na tym laptopie są krytyczne i delikatne."

McCumber ostatnio jadł lunch z członkiem Kongresu USA, który zasugerował, że lepsza technologia szyfrowania rozwiązałoby problemy utraty danych przez rząd. Ale McCumber powiedział prawodawcy, że szyfrowanie nie może chronić danych, które są przetwarzane.

"Jeśli uważasz, że kryptografia jest rozwiązaniem tego problemu, nie rozumiesz problemu i nie rozumiesz kryptografii" - powiedział McCumber, były ekspert ds. szyfrowania w amerykańskiej Agencji Bezpieczeństwa Narodowego.

Zamiast koncentrować się na jednopunktowych rozwiązaniach bezpieczeństwa, firma Symantec zachęca agencje amerykańskie do sprawdzania posiadanych informacji. Sprzedawca bezpieczeństwa zaleca, aby agencje tworzyły "przemyślane" zasady klasyfikacji i przechowywania danych, powiedział Thompson. Takie zasady ułatwią zarządzanie i znajdowanie danych w perspektywie długoterminowej, powiedział.

"Musisz sprawdzić, jaką wartość umieścisz na informacjach" - dodał McCumber. "Nikt nie chce zapłacić [US] 500 dolarów za ochronę 50 USD aktywów."

Agencje patrząc na cyberbezpieczeństwo z tej perspektywy zorientowanej na informacje mogą uznać, że przyjęcie najlepszych praktyk branżowych - co robią inne agencje lub firmy prywatne - może nie pracować dla nich, powiedział McCumber. Każda organizacja musi spojrzeć na własne wyzwania związane z bezpieczeństwem i ryzyko oraz pracować nad planem ochrony danych, który najlepiej do niego pasuje, powiedział.

Organizacje potrzebują narzędzi do zrozumienia swoich zagrożeń i zarządzania nimi, dodał McCumber.

Jeśli najlepiej praktyki nie są odpowiedzią, co oznacza, że ​​mandaty technologii od Kongresu lub agencji regulacyjnych nie będą już działać, powiedział. "Technologia zawsze się zmienia" - powiedział McCumber. "Musieli uczyć się na własnej skórze, nie można rozwiązywać problemów technologicznych za pomocą zasad i nie można rozwiązywać problemów związanych z zasadami z technologią."