Symantec: Ny holdning til sikkerhetsbehov

Offentlige byråer og private selskaper Behovet for å flytte fokuset sitt fra en-punkts sikkerhetsløsninger til mer helhetlig, informasjonssikkerhet, anbefales Symantec-tjenestemenn.

"Vi har tydeligvis flyttet til et tidspunkt hvor kundene våre må være mye mer fokusert på å beskytte Informasjonen selv, i motsetning til å beskytte PCen eller beskytte nettverket, sa John Thompson, Symantecs leder og administrerende direktør, torsdag på selskapets regjeringens symposium i Washington, DC. "Selv om det er nødvendige komponenter i en beskyttelsesstrategi, er de ikke Enda alt. Flere må gjøres. "

I de senere år har amerikanske lovgivere fokusert på databrudd og tapte bærbare datamaskiner, og føderale byråer har kryptert for å møte krav til kryptering av informasjon på bærbare datamaskiner og andre mobile enheter. På mandag utgav det amerikanske regjeringskontoret en rapport som sier at bare 30 prosent av sensitive data på mobile enheter ved 24 store byråer var kryptert fra september i fjor.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

Kryptering kan være en viktig del av en cybersikkerhetsstrategi, men det er bare ett stykke, Thompson og John McCumber, Symantecs strategiske programleder for den føderale offentlige sektoren, sa i intervjuer torsdag.

Kryptering er ikke løsningen "til data-tap forebygging, sa Thompson. "Gode data-tap politikk starter med forståelsen av, hva er de kritiske dataene jeg har og hvor er det?" han sa. "I mange tilfeller er det noe kritisk og sensitiv informasjon på hver bærbar PC. Men ikke all informasjon som er på den bærbare datamaskinen, er kritisk og sensitiv."

McCumber nylig lunsj med et medlem av den amerikanske kongressen som foreslo at bedre krypteringsteknologi ville løse regjeringens tap av data-tap. Men McCumber fortalte lovgiveren at kryptering ikke kan beskytte data som blir behandlet.

"Hvis du mener kryptering er løsningen på dette problemet, forstår du ikke problemet, og du forstår ikke kryptering," sa McCumber, en tidligere krypteringsekspert ved det amerikanske sikkerhetsbyrået.

I stedet for å fokusere på enpunkts sikkerhetsløsninger, har Symantec oppfordret amerikanske byråer til å se på informasjonen de har. Sikkerhetsleverandøren anbefaler at byråer oppretter "gjennomtenkt" dataklassifisering og oppbevaringspolicy, sa Thompson. Slike retningslinjer vil gjøre det enklere å håndtere og finne data på lang sikt, sa han.

"Du må se på hvilken verdi du plasserer på informasjonen," la McCumber. "Ingen ønsker å betale [US $ 500] for å beskytte en $ 50 ressurs."

Byråer som ser på cybersecurity fra det informasjonssentriske perspektivet, kan finne at vedta beste praksis i bransjen - hvilke andre byråer eller private selskaper gjør det - kanskje ikke jobbe for dem, sa McCumber. Hver organisasjon må se på sine egne sikkerhetsutfordringer og -risiko, og arbeide for en databeskyttelsesplan som fungerer best for det, sa han.

Organisasjoner trenger verktøy for å forstå og håndtere risikoen, la McCumber til. praksis er ikke svaret, det betyr at teknologien mandater fra kongressen eller regulatoriske byråer ikke lenger vil fungere, sa han. "Teknologi endres alltid," sa McCumber. "De har måttet lære den harde måten. Du kan ikke løse teknologiproblemer med politikk, og du kan ikke løse politiske problemer med teknologien."