Надёжный ИТ бизнес-партнёр с 2003 года
ИБ в корпоративной культуре: показатель зрелости
Правила информационной безопасности установлены для того, чтобы их выполняли люди, каждый сотрудник на своем рабочем месте, начиная с самого младшего персонала и заканчивая топ-менеджерами. Но чтобы соблюдение этих правил дошло до автоматизма и не вызывало дополнительных вопросов: «А зачем это нужно?» – ИБ должна стать частью корпоративной культуры. С годами в любой компании складываются определенные нормы поведения и взаимоотношения сотрудников с руководством, с клиентами, с партнерами, друг с другом. Иногда это неписаный свод правил, иногда они формализованы в виде документов. В любом случае, правила представляют собой никем не оспариваемый кодекс поведения профессионалов в конкретной компании, а возможно, и на остальном рынке, где она работает и ведет свой основной бизнес. Мы чуть ли не с пеленок заучиваем правила безопасности жизни: не переходить дорогу на красный свет светофора, не открывать дверь квартиры незнакомым людям, не играть со спичками и источниками открытого огня, не дразнить незнакомую собаку и т. д. Это часть общечеловеческой культуры, аксиомы поведения любого цивилизованного человека. Такими же нормами, элементом корпоративной культуры, должны стать для сотрудников любой компании правила информационной безопасности.
Мы уже рассказывали в одном из прошлых номеров, каким образом организации могут решить эту задачу с помощью организационных мер, а сегодня хотели бы продолжить тему и остановиться на технологических и методологических аспектах.
Сбалансированный подход
До сих пор сотрудники ИБ-служб воспринимаются в немалой части организаций как некий тормозящий фактор, препятствующий внедрению инновационных технологий. Бизнес хочет гибкости, скорости и удобства, ИТ стремятся ему в этом помочь, но приходит ИБ, указывает на потенциальные риски от внедрения того или иного нового решения, от перехода на новую модель работы, чем вызывает негативную реакцию. «Сотрудники подразделений ИБ в силу своих непосредственных обязанностей должны обеспечивать сохранность корпоративных информационных активов, – объясняет Антон Трегубов, старший консультант практики аналитических решений для противодействия мошенничеству и безопасности компании SAS в России и странах СНГ. – В некоторых случаях это действительно может привести к дополнительным ограничениям для тех или иных инновационных подходов со стороны бизнеса. Но подобные ограничения продиктованы не вредностью сотрудников ИБ, а исключительно их должностными обязанностями». При этом, по его словам, компромиссное решение рано или поздно удается найти. В каких-то ситуациях вносятся изменения в состав обрабатываемых данных, где-то применяются дополнительные механизмы по обезличиванию или маскированию данных или внедряются дополнительные средства защиты.
Евгений Смирнов, коммерческий директор компании Navicon, в качестве примера такого компромиссного подхода рассказывает о безопасной модели внедрения в организации популярной концепции BYOD (Bring Your Own Device). По его словам, здесь рекомендации во многом зависят от того, какие именно личные устройства находятся в обращении у команды. Так, если сотрудники используют свои телефоны или планшеты, следует обеспечить ролевой доступ к данным, защищенность каналов передачи информации (например, шифрование и VPN) и удаленное управление корпоративными мобильными приложениями, чтобы блокировать приложения у уволенных или скомпрометировавших себя сотрудников – на случай, если в приложении есть офлайн-копии данных.
Евгений Смирнов, коммерческий директор компании NaviconСистема плюс человек
Можно организовать работу с сотрудниками, их обучение правилам ИБ, с поощрениями за неукоснительное исполнение и взысканиями за злостные нарушения, а можно внедрить различные технологические решения, которые просто сведут к минимуму непреднамеренные ИБ-инциденты. «Самым слабым звеном в любой системе обеспечения информационной безопасности является человек. Пока ни одна система не может уберечь компанию от сотрудника, который попросту расскажет о чем-то важном по телефону или за пределами контролируемой зоны. Поэтому необходимо постоянно повышать осведомленность пользователей в вопросах обеспечения ИБ, и мы наблюдаем тренд увеличения интереса к данному аспекту обеспечения безопасности среди российских компаний», – считает Марк Гордеев, старший менеджер группы по управлению информационными рисками KPMG в России и СНГ. По мнению Даниила Дрожжина, эксперта по сетевой безопасности компании «КРОК», максимальный эффект дает комбинирование всех методов (оценка рисков, внешние аудиты, обучающие мероприятия для сотрудников, четко проработанные политики ИБ, грамотно подобранные ИТ-решения). Дмитрий Кузнецов, директор по методологии и стандартизации компании Positive Technologies, считает, что задача ИБ состоит не в том, чтобы запрещать людям осуществлять определенные действия, а в том, чтобы сделать эти действия максимально безопасными, устранив уязвимость, которая могла бы способствовать осуществлению той или иной угрозы. «Если имеется риск получения пользователями по почте вредоносных файлов, то недостаточно установить антивирусы на машине пользователя. Необходимо сканировать и устранять уязвимости, применять решения многоуровневой защиты от вредоносного ПО, позволяющие его выявлять и блокировать. Однако полностью довериться средствам защиты тоже нельзя: известны случаи, когда своевременное установление обновлений систем не закрывало уязвимости. Соответственно, в любом случае требуется иметь команду, которая будет реагировать на инциденты и минимизировать ущерб от последствий», – поясняет он.
Координатор защиты
Сегодня во многих компаниях появляется должность директора по информационной безопасности (CISO). «В современных условиях CISO – представитель менеджмента компании, отвечающий за разработку и внедрение стратегии по обеспечению безопасности ее информационных активов. CISO – это не технический специалист, а, прежде всего, эффективный менеджер, способный разработать и контролировать исполнение комплексной программы внутренних проектов, направленных на повышение защищенности данных компании. Он должен уметь общаться с представителями топ-менеджмента на понятном им бизнес-языке, обладать компетенциями в области ИТ и ИТ-безопасности, иметь отличные коммуникативные навыки, чтобы донести свои инициативы до коллег и руководителей смежных подразделений», – считает Антон Трегубов (SAS).
Должен ли CISO взять на себя часть работы по укоренению ИБ в корпоративную культуру? Андрей Данин, старший инженер по безопасности информационных технологий компании Parallels, уверен, что директор по информационной безопасности должен быть в первую очередь дирижером, то есть отлично видеть и понимать все процессы компании. Он должен иметь четкое представление о том, к чему в конечном итоге должна прийти компания и вести ее в правильном направлении. А вот конкретные шаги, которые он для этого должен предпринимать, индивидуальны в каждом конкретном случае. В свою очередь, Дмитрий Кузнецов (Positive Technologies) напоминает, что задачи CISO зависят еще и от размера компании, где он работает. В крупной компании это больше организаторская должность, включающая постановку задач и выработку ИБ-стратегии. В среднем и малом бизнесе директор по ИБ – играющий тренер. «Должность CISO в передовой компании подразумевает налаживание процессов безопасности, в том числе повышения киберграмотности. Это осуществляется в тесной кооперации со всеми подразделениями организации через формулирование совместных целей и достижение общих показателей», – говорит Роман Жуков, директор центра компетенции компании «Гарда Технологии».
ИБ – под контроль руководства
Если рыба, согласно поговорке, гниет с головы, то организация с головы, наоборот, расцветает. Если информационная безопасность будет одним из важнейших вопросов, стоящих на повестке дня топ-менеджмента компании, если в это направление будут инвестироваться серьезные средства, позволяющие внедрить самые совершенные и качественные системы, нанять самых высокопрофессиональных специалистов на рынке, осуществлять планомерную работу по обучению и просвещению сотрудников, то ситуация изменится коренным образом. Однако, по данным аналитиков Fortinet, опубликованным в 2017 году, 48% ИТ-руководителей полагают, что ИТ-безопасность пока не входит в число вопросов, стоящих на повестке дня совета директоров их компании. «Поддержка топ-менеджмента жизненно необходима для подготовки и поддержки ИБ-инициатив, – соглашается Антон Трегубов (SAS). – Но все же надо понимать, что ИБ – это обеспечивающий и поддерживающий бизнес-процесс, не приносящий компании реальной прибыли. Для руководства компании подразделение ИБ – прежде всего очередной кост-центр. В такой ситуации как раз важна роль CISO и его умение донести до руководства задачи ИБ в части минимизации потенциальных рисков и их возможности позитивно повлиять на стратегические бизнес-показатели компании». Эксперты говорят, что постепенно ситуация меняется в лучшую сторону. «Современные реалии все больше перемещаются в цифровой мир, и с ростом интеграции в него организаций должно возрастать и погружение топ-менеджмента в вопросы обеспечения ИБ. Широкая доступность различных инструментов для взлома и низкий порог экспертизы, требуемый для их применения, ставят компании, не уделяющие должного внимания защите, в положение, когда они могут подвергнуться опасности, причем с совершенно неожиданного направления», – подчеркивает Марк Гордеев (KPMG).
Итак, сегодня бизнес-процессы повсеместно трансформируются в цифровой формат, в основе которого лежат данные. Это основной актив любой современной компании, требующий тщательной защиты. Цифровая трансформация меняет и саму корпоративную культуру, в которой информационной безопасности отводится одна из важнейших ролей. Конечно, киберпреступники и прочие злоумышленники никуда не исчезнут, но лучше всего от них защищена та организация, где не только выстроена надежная инфраструктура, но и сотрудники обучены правилам «цифровой гигиены», а руководство уделяет этому процессу самое пристальное внимание.
Статья опубликована на сайте IT-manager
