Symantec: Sikap Baru tentang Keamanan yang Dibutuhkan

Instansi pemerintah dan perusahaan swasta perlu mengalihkan fokus mereka dari solusi keamanan satu titik ke keamanan berbasis informasi yang lebih holistik, demikian saran pejabat Symantec.

"Jelas kami telah pindah ke titik waktu di mana pelanggan kami harus lebih fokus untuk melindungi informasi itu sendiri, sebagai lawan untuk melindungi PC atau melindungi jaringan, "John Thompson, ketua dan CEO Symantec, mengatakan pada hari Kamis di simposium pemerintah perusahaan di Washington, DC" Sementara itu adalah komponen penting dari strategi perlindungan, mereka tidak akhir semua. Banyak yang harus dilakukan. "

Dalam beberapa tahun terakhir, anggota parlemen AS telah memusatkan perhatian mereka pada pelanggaran data dan kehilangan laptop, dan agen federal telah bergegas untuk memenuhi persyaratan untuk mengenkripsi informasi di laptop dan perangkat seluler lainnya. Pada hari Senin, Kantor Akuntabilitas Pemerintah AS merilis laporan yang mengatakan bahwa hanya 30 persen data sensitif pada perangkat seluler di 24 lembaga utama telah dienkripsi pada September lalu.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Enkripsi bisa menjadi bagian penting dari strategi cybersecurity, tapi itu hanya satu bagian, Thompson dan John McCumber, manajer program strategis Symantec untuk sektor publik federal, mengatakan dalam wawancara Kamis.

Enkripsi bukan "solusi "Untuk pencegahan kehilangan data, kata Thompson. "Kebijakan kehilangan data yang baik dimulai dengan pemahaman, apa data penting yang saya miliki dan di mana itu?" dia berkata. "Dalam banyak contoh, ada beberapa informasi penting dan sensitif pada setiap laptop. Tetapi tidak semua informasi yang ada di laptop itu penting dan sensitif."

McCumber baru-baru ini makan siang dengan anggota Kongres AS yang menyarankan bahwa teknologi enkripsi yang lebih baik akan memecahkan masalah kehilangan data pemerintah. Tapi McCumber mengatakan kepada pembuat undang-undang bahwa enkripsi tidak dapat melindungi data yang sedang diproses.

"Jika Anda berpikir kriptografi adalah solusi untuk masalah ini, Anda tidak mengerti masalahnya dan Anda tidak memahami kriptografi," kata McCumber, mantan ahli enkripsi di Badan Keamanan Nasional AS.

Alih-alih berfokus pada solusi keamanan satu titik, Symantec telah mendorong agensi AS untuk melihat informasi yang mereka miliki. Vendor keamanan merekomendasikan agensi membuat klasifikasi data dan retensi kebijakan yang "bijaksana", kata Thompson. Kebijakan semacam itu akan mempermudah mengelola dan menemukan data dalam jangka panjang, katanya.

"Anda harus melihat nilai apa yang Anda tempatkan pada informasi," tambah McCumber. "Tidak ada yang mau membayar [US] $ 500 untuk melindungi aset $ 50."

Agen yang melihat cybersecurity dari perspektif informasi-sentris mungkin menemukan bahwa mengadopsi praktik terbaik industri - apa yang dilakukan oleh perusahaan lain atau perusahaan swasta - tidak boleh bekerja untuk mereka, kata McCumber. Setiap organisasi perlu melihat tantangan keamanan dan risikonya sendiri, dan bekerja menuju rencana perlindungan data yang paling sesuai untuk itu, katanya.

Organisasi membutuhkan alat untuk memahami dan mengelola risiko mereka, McCumber menambahkan.

Jika yang terbaik praktik bukanlah jawaban, itu berarti mandat teknologi dari Kongres atau badan pengatur tidak akan berfungsi lagi, katanya. "Teknologi selalu berubah," kata McCumber. "Mereka harus belajar dengan cara yang sulit. Anda tidak bisa memecahkan masalah teknologi dengan kebijakan, dan Anda tidak bisa memecahkan masalah kebijakan dengan teknologi."