23 июня 2011

Лекарство от обновлений

Обновляя в очередной раз важный и нужный мне программный продукт от более чем известного разработчика, в очередной раз подумал, что модель использования ПО по подписке всё-таки имеет достаточно много существенных плюсов перед привычным нам настольным программным обеспечением, которые непосредственно касаются и нас с вами - людей, занимающихся информационной безопасностью.
Не секрет, что обновления приводят к тому, что возникает целый зоопарк из версий программы у различных пользователей. За примерами далеко не надо ходить: зайдите в бухгалтерию и поинтересуйтесь, какой версией "Офиса" от Microsoft они пользуются. А потом зайдите с тем же вопросом к "айтишникам" (хотя не факт, что у них не OpenOffice). Вместе с тем, не обновляться тоже нельзя, потому что постоянно находятся новые баги и уязвимости, которые могут потенциально стать причиной потери или утечки корпоративных данных - того самого зла, с которым мы с вами дружно боремся.
Модель, при которой ПО используется по подписке, то есть, физически располагается не на компьютере пользователя, позволяет избежать подобных рисков. Конечно, она добавляет собственные, присущие только ей проблемы, но я уже писал о том, как основную их часть можно избежать. Этот подход давно известен человечеству под названием SAAS - Software as a Service. Конечно, не каждую программу можно использовать по SAAS-модели, и в SAAS-решениях есть свои уязвимости, но мы сейчас не будем обсуждать эти частности - речь именно о самой концепции ПО по подписке.
Остается только решить, что более опасно для вашей компании: утечки, которые могут произойти из-за сервис-провайдера, или угрозы, связанные с уязвимостями в настольном ПО. Лично мне представляется, что люди, которым платят деньги за ИТ-услуги, в любом случае будут доставлять меньше проблем и неприятностей, чем те, кого принято называть "юзерами" - ни один админ, следяющий за ними, не заменит головы на плечах, которая, к сожалению, есть не у всех и не всегда.
Роман Идов, 
аналитик компании SearchInform

1 комментарий:

  1. Я думаю, что в России еще не доросли до этого. Айтишники имеют доступ практически к любой информации, и часто ее ценность выше, чем их зарплата. Да и нередки случаи, когда сотрудники айти-отдела не подписывают соглашение о неразглашении коммерческой тайны. Так что соблазн получить халявные деньги может оказаться очень велик.

    ОтветитьУдалить