Symantec: Ny holdning til sikkerhed, der er nødvendig

Offentlige agenturer og private virksomheder nødt til at flytte deres fokus væk fra enkeltpunkts sikkerhedsløsninger til mere holistisk, informationsbaseret sikkerhed, anbefalede Symantec-tjenestemænd.

"Vi har helt klart flyttet til et tidspunkt, hvor vores kunder skal være meget mere fokuseret på at beskytte selve oplysningerne, i modsætning til at beskytte pc'en eller beskytte netværket, sagde John Thompson, Symantecs formand og administrerende direktør, torsdag på selskabets regeringssamtale i Washington, DC "Mens det er nødvendige komponenter i en beskyttelsesstrategi, er de ikke I slutningen af ​​år har de amerikanske lovgivere fokuseret deres opmærksomhed på databrud og tabte bærbare computere, og føderale agenturer har forvrengt for at opfylde kravene til kryptering af informationer på bærbare computere og andre mobile enheder. På mandag udgav det amerikanske regeringskontor et rapport, der sagde, at kun 30 procent af følsomme data på mobile enheder hos 24 større agenturer var krypteret fra september i september. [

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Kryptering kan være et vigtigt stykke af en cybersikkerhedsstrategi, men det er kun et stykke, Thompson og John McCumber, Symantecs strategiske programleder for den føderale offentlige sektor, sagde i interviews torsdag.

Kryptering er ikke "løsningen "til data-tab forebyggelse, sagde thompson. "Gode data-tab politikker begynder med forståelsen af, hvad er de kritiske data, jeg har, og hvor er det?" han sagde. "I mange tilfælde er der nogle kritiske og følsomme oplysninger på hver bærbar computer. Men ikke alle oplysninger, der er på den bærbare computer, er kritiske og følsomme."

McCumber havde for nylig frokost med et medlem af den amerikanske kongres, der foreslog, at bedre krypteringsteknologi ville løse regeringens datatabsproblemer. Men McCumber fortalte lovgiveren, at kryptering ikke kan beskytte data, der behandles.

"Hvis du mener kryptografi er løsningen på dette problem, forstår du ikke problemet, og du forstår ikke kryptografi," sagde McCumber, en tidligere krypteringsekspert ved Det Amerikanske Sikkerhedsagentur.

I stedet for at fokusere på enkeltpunkts sikkerhedsløsninger har Symantec opmuntret amerikanske bureauer til at se på de oplysninger, de har. Sikkerhedsleverandøren anbefaler agenturer at oprette "tankevækkende" dataklassificering og retention politik, sagde Thompson. Sådanne politikker vil gøre det lettere at styre og finde data på lang sigt, sagde han.

"Du skal se på hvilken værdi du placerer på oplysningerne," tilføjede McCumber. "Ingen ønsker at betale [US $ 500] for at beskytte en $ 50 aktiv."

Agenturer, der kigger på cybersikkerhed ud fra det informationsorienterede perspektiv, kan finde ud af at vedtage bedste praksis i branchen - hvad andre agenturer eller private virksomheder gør - måske ikke arbejde for dem, sagde mccumber. Hver organisation skal se på sine egne sikkerhedsudfordringer og -risici og arbejde hen imod en databeskyttelsesplan, der passer bedst til det, sagde han.

Organisationer har brug for værktøjer til at forstå og styre deres risici, tilføjede McCumber. praksis er ikke svaret, det betyder, at teknologimandater fra kongres- eller reguleringsorganer ikke længere fungerer, sagde han. "Teknologi ændres altid," sagde McCumber. "De har måttet lære den hårde vej. Du kan ikke løse teknologiproblemer med politikker, og du kan ikke løse politiske problemer med teknologien."