Symantec: Ny inställning till säkerhetsbehov

Statliga myndigheter och privata företag Behovet av att flytta sitt fokus bort från enkelpunkts säkerhetslösningar till mer holistisk, informationsbaserad säkerhet, rekommenderade Symantec-tjänstemän.

"Vi har tydligen flyttat till en tidpunkt där våra kunder måste vara mycket mer fokuserade på att skydda Informationen i sig, i motsats till att skydda datorn eller skydda nätverket, sa John Thompson, Symantecs ordförande och koncernchef på torsdagen vid företagets regeringsteam i Washington, DC ". Även om det är nödvändiga komponenter i en skyddsstrategi, är de inte slutet på allt. Mer måste göras. "

Under de senaste åren har amerikanska lagstiftare fokuserat sin uppmärksamhet på dataöverträdelser och förlorade bärbara datorer och federala myndigheter har krypterat för att uppfylla kraven för kryptering av information på bärbara datorer och andra mobila enheter. På måndagen släppte US Government Accountability Office en rapport som säger att endast 30 procent av känsliga data på mobila enheter vid 24 större byråer hade krypterats från och med september i september. [

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Kryptering kan vara en viktig del av en strategi för cybersäkerhet, men det är bara en del, Thompson och John McCumber, Symantecs strategiska programchef för den federala offentliga sektorn, sade i intervjuer torsdag.

Kryptering är inte "lösningen" "till data-förlust förebyggande, sade Thompson. "Bra dataförlustpolicy börjar med förståelsen av, vilka är de kritiska uppgifterna jag har och var är det?" han sa. "I många fall finns det någon kritisk och känslig information på varje bärbar dator. Men inte all information som finns på den bärbara datorn är kritisk och känslig."

McCumber hade nyligen lunch med en medlem av den amerikanska kongressen som föreslog att bättre krypteringsteknik skulle lösa regeringens data-förlust problem. Men McCumber berättade för lagstiftaren att kryptering inte kan skydda data som behandlas.

"Om du tror att kryptering är lösningen på det här problemet, förstår du inte problemet och du förstår inte kryptografi", säger McCumber, en före detta krypteringsexpert vid den amerikanska säkerhetsbyrån.

I stället för att fokusera på enpunkts säkerhetslösningar har Symantec uppmuntrat amerikanska myndigheter att titta på informationen de har. Säkerhetsleverantören rekommenderar att byråer skapar "tankeväckande" dataklassificering och lagringspolicy, sa Thompson. Sådana strategier gör det lättare att hantera och hitta data på lång sikt, sade han.

"Du måste titta på vilket värde du lägger på informationen," tillade McCumber. "Ingen vill betala [US $ 500] för att skydda en $ 50-tillgång."

Agenturer som tittar på cybersäkerhet från det informationscentrerade perspektivet kan tycka att det går att anta bästa praxis inom branschen - vilka andra organ eller privata företag gör det - kanske inte jobba för dem, sa McCumber. Varje organisation behöver titta på sina egna säkerhetsutmaningar och risker och arbeta mot en dataskyddsplan som bäst fungerar för det, säger han.

Organisationer behöver verktyg för att förstå och hantera sina risker, kommenterade McCumber.

Om bästa praxis är inte svaret, det betyder att teknikmandat från kongressen eller myndigheter inte längre fungerar, sa han. "Tekniken förändras alltid," sade McCumber. "De har fått lära sig det svåra sättet. Du kan inte lösa tekniska problem med politiken, och du kan inte lösa politiska problem med tekniken."