В июне 2014 компания Canon приобрела крупнейшего в мире поставщика программного обеспечения для управления видео - Milestone Systems. Затем в феврале 2015 года было объявлено, что компания собирается купить Axis Communications - крупнейшего в мире поставщика сетевых видеокамер наблюдения.
Мы поговорили с Квентином Тейлором, директором по вопросам информационной безопасности подразделения компании Canon в Европе, на Ближнем Востоке и Африке в преддверии его выступления на выставке Interop в Лондоне. Он объяснил, почему следование за толпой не всегда является правильным решением, когда имеешь дело с угрозами кибер безопасности.
Квентин, вы директор по информационной безопасности в компании Canon. Что выделают вас среди других руководителей отделов информационной безопасности?
Чем я отличаюсь от многих других директоров по обеспечению информационной безопасности - так это тем, что я также отвечаю за большую часть безопасности продукции, кроме того я на стороне клиента.
Мы не являемся непосредственной частью команды продаж, но если клиент имеет вопрос по безопасности или требования к безопасности в рамках тендера, в какой-то момент времени в конечном итоге он окажется у нас, и мы будем отвечать непосредственно ему. Это означает, что внутренняя служба безопасности имеет внешнюю направленность, что отличает ее от большинства современных команд по обеспечению безопасности. Если у кого-либо возникнет проблема или вопрос, мы первыми будем говорить с ними напрямую.
Как вы вписываетесь в индустрию обеспечения информационной безопасности? Когда слышишь “Canon”, то сразу думаешь о камерах и принтерах, а не о безопасности.
Это действительно так, и это проблема. Если вы подумаете о том, что проходит через ваш принтер или о том, что проходит через ваш компьютер, то окажется, что это наиболее важные документы. Это не мусор, чаще всего это самые важные части вашей работы. Очевидно, что практически все принтеры в эти дни являются не автономными; большинство крупных корпораций работают с печатью в сети, с помощью какого-нибудь программного обеспечения для управления печатью. Все эти данные витают вокруг, и многие могут попросту не знать, где эти данные на самом деле находятся.
Подумайте и о более практических вещах - вы когда-нибудь подходили к принтеру и находили там большую кучу важных документов? В Великобритании, например, при ненадлежащей защите информации компаниям приходили огромные штрафы в десятки и десятки тысяч фунтов от организации ICO, которая создана для защиты информации. Существуют реальные последствия в отношении нарушения безопасности печатной информации.
Хорошо, но сегодня, когда люди имеют дело с мега-угрозами кибер-терроризма и государственного шпионажа, действительно ли так важна безопасность печати?
Вот именно. Все слышали о кибер-шпионаже и кибер-войнах, для большинства людей эти вещи интересны, но только в качестве развлечения. Фокусировка на более приземленных вещах - гораздо, гораздо более актуальная задача для команд информационной безопасности и ИТ-отделов.
Ваше выступление на Interop называется “Опасно ли следовать за толпой или это преимущество в мире информационной безопасности?” Позвольте мне задать этот вопрос вам.
В душе я биолог, а не технолог. Если мы посмотрим на сообщества людей, занимающихся вопросами информационной безопасности, то легко увидим стадное поведение. Люди любят следовать за другими людьми. Такие конференции - прекрасная возможность увидеть это стадное поведение. Кто-то произнесет со сцены речь, а многие будут говорить: “Да, отличная идея. Мы как раз об этом и думали”.
Однако, стадное поведение может быть как большим преимуществом, так и проблемой, если вы не знаете, что находитесь в стаде, и где именно вы находитесь в стаде, и что это стадо делает. Я говорю о самостоятельном мышлении, о том, что в любой ситуации важно подумать: "Считаю ли я, что это важно? Все, что мы все здесь делаем, это то, о чем мне нужно думать? Окажут ли эти вещи влияние на мою компанию?"
Как я упомянул прежде, обо всех этих кибер-войнах и т.д. - об этом очень интересно читать, но это определенное направление, в котором нас подталкивают. Для подавляющего большинства кибер-войны вообще не проблема, но при этом они забывают о базовых вещах. Они забывают о печати, они забывают об антивирусах, они забывают о политике; они забывают о пути безопасности их бизнеса. Если мы в стаде, мы используем одни и те же элементы управления и средства управления, которые считаются лучшими.
Есть факты, которые говорят о положительных сторонах стадного поведения. Коллективный разум, например. Если 500 зебр, перебираясь через реку, сделают перерыв в одно и то же время, выживет больше, чем если бы они совершили этот же путь по отдельности.
Я согласен с вами, стадное поведение может быть необходимо. Но все дело в том, что нужно спрашивать себя: "Где мы в этом стаде и почему мы в этом стаде? Хорошо ли мне в этом стаде," потому что иногда прекрасно, что мы в этом мелководье вместе, так безопаснее. Старая шутка о том, что "мне не нужно, чтобы мой дом был более безопасным; мне просто нужно, чтобы мой дом более безопасным, чем дом моего соседа", очень хорошо походит к описанию мира информационной безопасности.
Поставьте под сомнение общепринятые представления; не делайте что-либо лишь потому, что все остальные так делают. Есть определенные технологии в мире информационной безопасности, которые все мы делаем только для того, чтобы на вопрос "У вас есть X?" ответить: "Да, у меня есть X". Это вполне приемлемо, но приемлемо только в том случае, если вы знаете, почему вы это сделали.
Таким образом, вы предлагаете профессионалам информационной безопасности перестать обращать внимание на тенденции и иметь более интроспективный взгляд на повседневные реалии. Правильно?
И да, и нет. Первым делом я предлагаю им задать себе такой вопрос: "Что я могу сделать, чтобы быть полезным для компании, которая мне платит?". Возвращаясь в вопросу стадного чувства, хочу отметить, что мы можем поразмыслить и сказать: "Мы должны быть там, это правильно,", но мы также можем сказать: "На самом деле, мне нужно поступить совершенно иначе". Это все - о понимании своей позиции в стаде.
Источник www.ifsecglobal.com. Перевод статьи выполнила администратор сайта Елена Пономаренко
