Софт, надежный как сейф: где искать ПО для бизнеса

16.06.2010, 07:42
Софт, надежный как сейф: где искать ПО для бизнеса - Фото
088fe75b60f116906eca13e3103f8c63.jpg

О том, какие риски связаны с неправильным выбором ПО, какие программы могут обеспечить инфобезопасность для малого и среднего бизнеса и можно ли сэкономить на подборе и закупках ПО, редакции ЛІГАБізнесІнформ рассказали производители и

Софт, надежный как сейф: где искать ПО для бизнеса
В суровые кризисные времена мировую индустрию IT вытягивали продажи ПО в корпоративном сегменте. В украинских реалиях, для которых кризис далеко еще не закончен, картина в целом повторяется: по данным "Инком", с одной стороны, за прошлый год выросли объемы продаж лицензий стандартного ПО, с другой - крайне популярными оставались продукты, связанные с IT-безопасностью, поскольку о ней в ужесточившихся рыночных условиях предприниматели думали в первую очередь.

О том, какие риски связаны с неправильным выбором ПО, какие программы могут обеспечить инфобезопасность для малого и среднего бизнеса и можно ли сэкономить на подборе и закупках ПО, редакция ЛІГАБізнесІнформ рассказали производители и продавцы ПО и сервисов, а также аналитики рынка.

Софт, надежный как сейф: где искать ПО для бизнеса
Иллюзия защищенности

Неправильный выбор программного обеспечения может доставить руководству компании множество неприятных моментов: это могут быть как банальные сбои в работе компьютера одного сотрудника, так и уничтожение целого бизнеса. Основные риски в случае, если подбору ПО уделялось недостаточно внимания и времени, включают: потерю конфиденциальной информации, материальный ущерб (временный выход из строя ПК или серверов), остановку работы целой компании и даже банкротство, рассказал руководитель направления СМБ отдела продаж компании "Софтпром" Юрий Стукаленко.

О конфиденциальности информации в последнее время много говорится, но при этом можно упустить из виду, что в защите нуждаются очень различные массивы данных: отчетность финансового отдела, планирование отдела маркетинга, данные по работе с клиентами и контракты для отдела продаж, интеллектуальная собственность для разработчиков...

Необходимость защиты конфиденциальной информации существует уже на пользовательском уровне, говорит старший консультант группы управления информационной безопасности отдела консалтинга компании "Инком" Илья Колесниченко: "Приведу живой пример: оператор связи планировал некую маркетинговую акцию, запуск новой услуги. Но из-за разговоров в "курилке" и утечки информации конкуренты успели подготовить на скорую руку и предложить рынку подобную акцию раньше, а оператор, соответственно, потерял вложенные деньги". Но намного чаще инсайдерских "проколов" происходят утечки/кражи информации - из-за недостаточно тщательного подхода компании к подбору программ.

Имея потенциально такие нелицеприятные варианты развития событий, некоторые некрупные компании в плане цифровой защиты ограничиваются единственно установкой антивируса. Но, как замечает Ю.Стукаленко, даже и этот минимальный "щит", охраняющий корпоративный компьютерный парк, должен включать в себя минимум локальную защиту от спама и фишинга, расширенную проактивную защиту рабочих станций и файловых серверов от вредоносных программ, защиту при работе в сетях любого типа, распределение нагрузки между процессорами сервера.

Подробнее о защите от онлайн-угроз читайте "Виртуальная угроза для реального бизнеса">>>

В более широком плане необходимо уделять внимание всем уровням установки и работы софта, который используется компанией. Так, по совету эксперта по компьютерной безопасности Microsoft Most Valuable Professional Владимира Безмалого, для сохранения минимальной безопасности компании понадобится:

- брандмауэр (в российской терминологии - межсетевой экран);
- антивирусное ПО;
- правильная настройка операционных систем;
- настроенное автоматическое обновление ОС;
- настроенные политики использования ПО (Software Restriction Policy);
- правильно настроенные права пользователей.

И если настройка систем напрямую зависит от квалификации IT-специалистов компании, то бесперебойную и безопасную работу программного обеспечения лучше обеспечить уже на этапе подбора приложений.

Как подбирать ПО?

Достаточно часто компании выбирают "неудачное" ПО. В контексте информационной безопасности, "неудачное" – означает "несоответствующее выявленным и возможным рискам в работе компании". Ведь приложения – это по сути компенсационные меры на выявленные или возможные риски (о которых речь шла выше). И неверный выбор ПО может вести к дополнительным неприятностям в виде затрат: сама закупке ненужного/неэффективного приложения плюс высокие затраты на сопровождение приложений, дополнительные затраты на интеграцию в уже существующую инфраструктуру, говорит И.Колесниченко, предлагая для подбора ПО использовать риск-ориентированную методологию.

Софт, надежный как сейф: где искать ПО для бизнеса
Суть этого подхода в том, чтобы, в первую очередь, проанализировать инфоресурсы компании для оценки возможных рисков: нарушения конфиденциальности, целостности и доступности активов. А после того, как был проведен анализ рисков для данных информационных ресурсов, можно формировать требования к ПО, призванному эти риски сократить. К сожалению, это отнюдь не означает сокращения затрат на ПО, зато даст гарантию того, что средства не будут потрачены впустую.

"Безопасность, увы, не бывает бесплатной. И если вы должны создать удобную, дешевую и безопасную инфраструктуру, то, боюсь, придется создавать три отдельные системы безопасности", - говорит В.Безмалый. В кризис руководство компаний стремится именно к оптимизации затрат на IT, но наиболее распространенные средства экономии иногда означают снижение уровня безопасности ПО.

Сэкономить легально…

Распространенным методом экономии затрат на приложения является комбинация платных и бесплатных программ. Такими методами сокращения затрат не брезгуют даже на государственном уровне.

Перевод системы государственных органов на открытое ПО будет стоить Украине 45 млн. грн., а полная легализация существующего ПО – около 100 млн. грн., считают в Госкоминформатизации

Например, на лицензионной операционной системе может стоять бесплатный офисный пакет, но уже в случае многоуровневой антивирусной защиты лучше так не экспериментировать. "Если на ПК установлена программа антивирусной защиты одного производителя, а файловые серверы защищены антивирусной программой другого, отсутствует возможность централизованного управления всех узлов с одного ПК. В целом, на одном ПК или сервере не рекомендуется устанавливать несколько антивирусов, поскольку они могут блокировать общую работу ПК", - считает представитель "Софтпрома".

Если компании необходимы "бюджетные" решения, она может комбинировать как open-source решения, так и недорогие коммерческие продукты, но тогда, как советует И.Колесниченко, важно учитывать не только стоимость закупки продуктов (как это чаще всего происходит в Украине), но и совокупную стоимость владения данным решением: сопровождение, поддержку, обновление, образование специалистов.

Именно последние пункты, по мнению эксперта по компьютерной безопасности Microsoft Most Valuable Professional В.Безмалого, могут быть ключевыми в принятии решения: "Я отрицательно отношусь к идее "зоопарков". Так как идеологически правильнее, проще и дешевле в обслуживании, когда компания либо ставит себе продукты, работающие по идеологии "Microsoft", либо продукты с открытым кодом (или с закрытым, но бесплатно распространяемые). Смешивать их в одном "котле" я бы не советовал. В противном случае, боюсь, придется иметь, как минимум, двойной комплект системных администраторов и службы поддержки". Кроме этого, одним из основных аргументов со стороны производителей платных программ является именно повышенная безопасность продукта, чей код известен только компании-разработчику, в отличие от программам, разработанных согласно открытым стандартам.

Сэкономить нелегально...

В целях экономии украинские компании часто обращаются к наиболее очевидному решению: установке контрафактного софта. Кроме ненадежности такого рода продукции, которая в коробочном варианте вполне может продаваться с вирусным "довеском", в данном случае возникает вполне реальная угроза штрафов и уголовной ответственности - для специалистов IT-отдела и для руководства компании.

Софт, надежный как сейф: где искать ПО для бизнеса
Чаще всего, по статистике Департамента государственной службы по борьбе с экономическими преступлениями МВД Украины (ГСБЭП МВД Украины), в Украине "по-пиратски" устанавливается ПО от "Microsoft", "Adobe" и "Corel". "Максимальное наказание по трем частям (статей 176 и 203-1 Уголовного кодекса Украины) за подобное нарушение – до 6 лет. По ст. 203-1 – штраф от 1000 до 5000 не облагаемых налогом минимумов доходов граждан или исправительные работы сроком до 3 лет, или лишение свободы на тот же срок с конфискацией и уничтожением дисков для лазерных систем считывания матриц, оборудования или средств для их изготовления. Максимально – до 5 лет", - говорит заместитель начальника отдела по борьбе с преступлениями в сфере интеллектуальной собственности и компьютерных технологиях Департамента государственной службы по борьбе с экономическими преступлениями МВД Украины Александр Савченко.

При этом при обнаружении нелицензионного ПО в компании ответственность несут как работник, установивший пиратский софт, (может быть привлечен к административной или уголовной ответственности как физлицо), так и его работодатель (как юридическое лицо – к гражданской ответственности за нарушение авторских прав), как рассказывает юридический представитель "Business Software Alliance" (BSA) в Украине Владислав Шаповал.

Софт, надежный как сейф: где искать ПО для бизнеса
То есть, нелицензионное ПО, может, и экономит средства, но уж точно не может считаться "безопасным" для бизнеса. Хотя объемы его использования в корпоративном сегменте практически не уменьшаются, в том числе, как считает юридический представитель BSA в Украине, из-за развития новых каналов поставок контрафакта, таких как Интернет.

Безопасно ли в "облаках"?

Но Интернет может являться источником и абсолютно легальной экономии и защищенности – виртуального доступа к бизнес-программам. Как рассказывает менеджер по управлению деятельностью компании "Google" в Украине Дмитрий Шоломко, у "облачной обработки данных" есть много преимуществ, но два можно выделить особо. Первый - снижение расходов: "Как только клиент подключился к всемирной паутине, цена лицензии, покупки серверов и их поддержки, снижается, так как появляется возможность взять бизнес-приложения или услуги (например, почту) "напрокат" у провайдера и эффективно их использовать".

Еще одним бонусом "облаков" является лучшее взаимодействие в работе, быстрый обмен информацией с коллегами и партнерами, совместно работать над проектами и документами.

Софт, надежный как сейф: где искать ПО для бизнеса
Что же касается безопасности виртуальных программ и сервисов, первым из рисков является специфика предоставления виртуальных услуг: хостинг-провайдер может представляться не всегда надежным с точки зрения контроля и безопасности информации.

Сами же веб-приложения постепенно становятся любимой мишенью для хакерских атак, которых на данный момент существует великое множество видов. По данным WASC (Web Application Security Consortium) проводятся атаки на используемые веб-приложением методы проверки идентификатора пользователя, атаки на пользователей веб-сервера, на выполнение кода на веб-сервере, на получение дополнительной информации о веб-приложении, на эксплуатацию функций приложения или логики его функционирования. Но, как замечает Д.Шоломко, компании, которые предоставляют услуги доступа к виртуальному ПО, инвестируют куда больше времени и денег для того, чтобы защитить информацию, чем могла бы себе позволить любая небольшая компания.

Ольга КАРПЕНКО

Связь, IT: подборка новостей>>>


Если Вы заметили орфографическую ошибку, выделите её мышью и нажмите Ctrl+Enter.
Вакансии
Больше вакансий
New business manager / New business director
Киев Ketchup Loyalty Eastern Europe
Керівник складу IT
Киев ЛІГА, Група компаній
Системний адміністратор (DevOps)
Киев ЛІГА, Група компаній
Разместить вакансию

Комментарии

Последние новости

Партнерский проект"Большой взрыв" ПриватБанка. Полный гайд по вселенной судов вокруг национализации