Пять советов по эффективному управлению цифровыми активами

Разработав эффективную стратегию управления цифровыми активами, организации могут избежать серьезных проблем с повышением расходов и безопасностью. Соучредитель и ИБ-директор ASCENT Portal Брайен Миллер рассказывает на портале eWeek о лучших практиках, которые помогут ее создать.

В современном мире принято считать, что нельзя управлять тем, что нельзя измерить. Хотя это утверждение применимо в различных сферах нашей жизни, оно особенно верно в отношении управления цифровыми активами любой организации. Логично, что если вы не следите за своими активами, значит, вы управляете ими неэффективно. Управление активами — это систематический подход к управлению данными и реализации ценности активов, за которые организация несет ответственность на протяжении всего их жизненного цикла.

По сути, управление активами — это процесс разработки (или приобретения), эксплуатации, обслуживания, модернизации и утилизации активов наиболее экономически эффективным способом (включая все затраты, риски, возможности и характеристики). Цифровые активы могут существовать в любом количестве сред или доменов. У большинства предприятий имеются активы для анализа данных, тогда как сами активы размещаются или у облачных провайдеров, или в собственных дата-центрах.

Чтобы внедрить гибкую стратегию и программу управления активами, прислушайтесь к пяти советам, которые даются ниже. При этом координируйте свои действия с руководством компании, сотрудниками и ИТ-менеджментом. Это позволит вам добиться большей прозрачности активов и в конечном итоге поможет в управлении ими на протяжении всего жизненного цикла.

1. Проведите инвентаризацию активов

Инвентаризация активов необходима для того, чтобы организации знали, какие активы используются в их среде, а также определить, кто несет ответственность за управление идентифицированными активами. Если персонал, ответственный за их защиту, ничего не знает о их существовании, он не может защитить их от существующих или возникающих угроз.

Инвентаризация активов также помогает организациям отслеживать капиталовложения и снижает вероятность того, что, например, кража оборудования останется незамеченной.

Организация должна обеспечить, чтобы все информационные активы были четко идентифицированы, задокументированы и содержались в инвентарной описи. Инвентаризацию нужно проводить не реже одного раза в год, и в ее ходе должны вноситься соответствующие изменения.

2. Определите политику допустимого использования активов

Чтобы персонал знал, какие действия он может выполнять с активами, предприятие должно согласовать с ним и задокументировать политику допустимого использования активов. Ответственность за ненадлежащее использование систем или информации трудно обеспечить, если не предусмотрены и не признаны ограничения на использование или поведенческие ограничения.

Наличие политик требуется для того, чтобы удержать персонал от использования информационных активов организации в несанкционированных целях. Они должны касаться ограничений на использование социальных сетей, интернет-сайтов, размещения информации на коммерческих веб-сайтах и обмена информацией об учетных записях информационной системы.

3. Классификация, маркировка и обращение с активами

Информационные активы должны быть соответствующим образом классифицированы, чтобы обеспечить их безопасное использование. Если организации не определят уровни классификации, они будут лишены соответствующих средств контроля безопасности чувствительных активов.

Классификация активов наряду с определением соответствующих требований безопасности помогает снизить вероятность того, что конфиденциальная информация попадет в руки сторонних лиц. Информационные активы нужно классифицировать с точки зрения ценности для бизнеса, юридических требований, чувствительности и степени критичности для организации. Необходимо разработать схему классификации, которая позволяет различать уровни чувствительности и ценности информационных активов или их групп.

4. Контроль и защита носителей информации

Для защиты организаций от рисков, связанных с потерей конфиденциальности, целостности или доступности носителей информации, необходимо внедрить средства контроля работы с носителями информации. Доступ к ним и их использование должны быть ограничены только авторизованным персоналом. Контроль за управлением съемными носителями нужно обеспечить в том числе на ноутбуках. Он должен включать ограничения на типы носителей, которые разрешено/не разрешено использовать, а также требования по их допустимому применению.

Носители, содержащие конфиденциальную или охраняемую информацию, должны надежно храниться и шифроваться в соответствии с внутренним контролем безопасности и нормативными требованиями до тех пор, пока они не будут уничтожены или с них не будут удалены данные. Носители должны физически контролироваться и надежно храниться в зонах, контролируемых организацией.

5. Безопасная утилизация и повторное использование активов

Организации должны обеспечить строгий контроль за процессом утилизации или повторного использования оборудования. Неправильная утилизация или повторное использование любой информационной системы, системного компонента или устройства хранения данных может потенциально повлиять на конфиденциальность данных, непреднамеренно сделав их доступными для сторонней аудитории. Это может легко привести к инциденту безопасности или нарушению данных, о котором следует сообщить.

Когда носители информации больше не нужны, они должны безопасно и надежно утилизироваться. При этом следует использовать официально документированные процедуры, гарантирующие, что все защищенные или конфиденциальные данные перед утилизацией носителя были полностью удалены или надежно перезаписаны. Информационные системы или другие устройства, содержащие конфиденциальную или защищенную информацию, должны быть физически уничтожены или информация на них должна быть уничтожена, удалена или перезаписана с использованием методов, делающих исходную информацию не подлежащей восстановлению.

Для того чтобы обеспечить разработку и последовательное внедрение комплексной программы управления активами, требуется не так уж много. Организации, не имеющие эффективной программы, могут упустить из виду важнейшую функцию безопасности или оставить активы незащищенными или неучтенными. Разрабатывая стратегию управления активами как часть общей программы безопасности, поддерживаемую всеми заинтересованными сторонами, организации могут избежать проблем с их управлением для обеспечения общей безопасности.