IT ManagerБезопасностьУправление ИБ

Информационная безопасность как часть корпоративной культуры

Григорий Рудницкий | 12.11.2018

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Информационная безопасность как часть корпоративной культуры

В любой компании или организации, по мере ее развития, постепенно создается корпоративная культура – набор моделей поведения, доказавших свою жизнеспособность и эффективность как в процессе взаимодействия с внешней средой, так и в ходе формирования внутренних процессов. Корпоративная культура представляет собой совокупность как писаных, так и неписаных правил. Первые – это официально декларируемые нормы поведения сотрудников при разрешении конфликтов друг с другом, клиентами, партнерами, взаимодействии с регулирующими органами, принятые модели внутрикорпоративных и внешних коммуникаций, система лидерства и карьерного роста, а также многое другое. Все это может быть зафиксировано документально или и существовать в виде устных правил, безоговорочно принимаемых всеми сотрудниками – от генерального директора до уборщицы и охранника. И хотя сам термин «корпоративная культура» впервые появился в XIX веке, нормы и правила работы компаний берут истоки из средневековых гильдий ремесленников. Гильдия защищала права каждого ее члена, но нарушение ее внутреннего порядка могло повлечь за собой исключение из профессионального сообщества и, соответственно, лишение возможности защиты и других привилегий.

В каждой компании существует свой уровень проникновения корпоративной культуры. В крупных корпорациях и холдингах, чья история насчитывает много лет и даже десятилетий, чаще всего нормирован каждый шаг сотрудника. В небольших компаниях и стартапах все формализовано в гораздо меньшей степени, однако и там есть ряд правил и табу, за нарушение которых могут последовать неприятности.

Регламенты информационной безопасности, «информационной гигиены» на рабочем месте, а также ответственность за их несоблюдение являются одним из ключевых элементов корпоративной культуры. Но, к сожалению, далеко не везде. При этом нельзя забывать, что последствия от несоблюдения правил ИБ негативно отражаются на всей компании.

Максим Захаренко, генеральный директор компании «Облакотека»
Максим Захаренко, генеральный директор компании «Облакотека»
"Обычно руководители не являются специалистами в области информационной безопасности, поэтому просто не чувствуют угроз. ИТ- и ИБ-службы не всегда убедительны и не всегда имеют достаточно полномочий. С какой-то стороны, это и правильно, потому что чем безопаснее, тем менее удобно работать. Но баланс нужен всегда".

Отношение к информации

В чем же истоки ИБ-нигилизма? Что нужно сделать для того, чтобы информационная безопасность, культура работы с данными и информацией стала неотъемлемой частью корпоративной культуры? Попробуем разобраться с помощью экспертов. Михаил Сергеев, начальник отдела ИТ-проектирования Orange Business Services, считает, что даже в рамках одной отрасли существуют как компании, которые относятся к данным как ценному активу – собирают, защищают, хранят и анализируют их, так и те, кто вообще не видит ценности в данных. «Такой подход, к примеру, наблюдается на предприятиях розничной торговли и логистики. И даже в финансовой сфере, которая, казалось бы, находится в авангарде цифровой трансформации, можно столкнуться с обоими вариантами», – говорит он. По словам Ильи Тимофеева, руководителя направления «Информационная безопасность» «Академии АйТи», более зрелый, сложившийся подход к работе с информацией отчетливо заметен в технологических компаниях, для которых информация, цифровые данные уже стали важнейшим активом. Беспорядок в данных для таких компаний равноценен провалу в бизнесе. В то же время в компаниях, где многие годы преобладали «аналоговые», а не digital-подходы к ведению бизнеса, культура работы с информацией только формируется. По мнению Максима Захаренко, генерального директора компании «Облакотека», основное различие между компаниями, аккуратно и небрежно относящимся к данным, заключается в понимании модели угроз. «Там, где угрозы существенны, например в банках, ситуация с процедурами обеспечения безопасности значительно лучше. В малом бизнесе из сферы торговли дело обстоит вообще никак, потому что угрозы утраты конфиденциальности, скажем, не очень существенны», – объясняет он. Юрий Урсу, руководитель Департамента информационных технологий Орловской области полагает, что организации по-прежнему уделяют мало внимания подобным вопросам, за исключением разве что крупного бизнеса. «Если тезис «пока как-то работает, ИТ подразделение не нужно» уже перестал существовать, и руководители понимают, что ИТ обеспечивает эффективность и прямо влияет на экономические результаты организации, то в части информационной безопасности «шишек» пока набито мало, – комментирует он. – Существенным поводом задуматься над этой проблемой стали вирусы-шифровальщики, блокирующие рабочие места и требующие денег для получения кода разблокировки: волна подобных заражений и их широкое освещение в СМИ способствовали тому, что бизнес стал задумываться об информационной безопасности на упреждение».

Юрий Урсу, руководитель ДИТ Орловской области
Юрий Урсу, руководитель ДИТ Орловской области
"Проблемы информационной безопасности чаще связаны не с отсутствием правил, а отсутствием контроля их исполнения"

Влияние внешних факторов

Все-таки, где-то правила ИБ соблюдаются неукоснительно, особенно если за их соблюдением следят регулирующие организации, а где-то, особенно если руководство смотрит на это сквозь пальцы, нормы ИБ соблюдаются «опционально». Тем не менее в случае атаки или заражения вредоносным ПО начинают приниматься определенные меры согласно поговорке «пока гром не грянет, мужик не перекрестится». Рустэм Хайретдинов, генеральный директор компании Attack Killer, говорит о том, что жесткость и скорость внедрения правил обращения с конфиденциальной и чувствительной для бизнеса информацией диктуется внутренней культурой и внешними условиями, в частности требованиями регуляторов. «Чем больше внешних нормативов, тем жестче и быстрее должно происходить внедрение. К факторам, ускоряющим внедрение правил, можно отнести успешные атаки, принесшие чувствительный ущерб и штрафы регуляторов», – объясняет он. По словам эксперта, если в государственных компаниях традиционно сильнее влияние регуляторов и собственных безопасников, имеющих опыт работы в спецслужбах, то бизнес сам взвешивает соотношение удобства пользования информацией и ограничениями в ее применении, исходя из максимизации прибыли или минимизации убытков. К примеру, всем известно, что в первые годы появления требований по защите персональных данных бизнес предпочитал платить штрафы, а не менять удобство пользования информацией. «Раньше руководство компаний воспринимало риски ИБ как какую-то экзотику, – рассказывает Андрей Янкин, заместитель директора Центра информационной безопасности компании «Инфосистемы Джет». – Инциденты были редки, урон не так велик, поэтому менеджмент вполне разумно уделял вопросам ИБ достаточно скромное внимание. В последние же три – пять лет мы видим в этой области существенную эволюцию взглядов: риски ИБ стали восприниматься руководством крупных компаний как совершенно неотъемлемая часть информатизации».

Рустэм Хайретдинов, генеральный директор компании Attack Killer
Рустэм Хайретдинов, генеральный директор компании Attack Killer
"Нужно овладеть искусством внедрения в сознание сотрудников правил, выполняемых «на автомате», подсознательно, по принципу «не знаю, зачем нужно делать именно так, но здесь так принято», именно в сочетании негативной и позитивной мотивации. Люди по-разному относятся к правилам: одним достаточно их сообщить, другим – рационализировать, объяснить, что правила полезны им, третьим – пригрозить наказанием"

Человеческий фактор неистребим?

На протяжении всей истории информационной безопасности самым слабым местом был и остается человеческий фактор, чем удачно пользуются злоумышленники всех мастей. Людям проще поверить, чем проверить, – таково свойство человеческой природы. «Самая главная причина, по которой люди не соблюдают правила защиты, – незнание этих самых правил. Для начала их надо обучить, проверить усвоение материала и проконтролировать поведение. Затем повторить схему: обучить, проверить усвоение материала, проконтролировать поведение. И так далее. Это трудоемкий непрерывный процесс. Помочь в данной деятельности может как «кнут», так и «пряник», но их нельзя использовать поодиночке или в отрыве от учебного процесса», – считает Михаил Сергеев (Orange Business Services).

Михаил Сергеев, начальник отдела ИТ-проектирования Orange Business Services
Михаил Сергеев, начальник отдела ИТ-проектирования Orange Business Services
"Регламенты необходимы. Они формально описывают процессы, но важно доносить до сотрудников их смысл в понятной форме и без лишнего формализма. Хорошо работают тренинги в игровой или соревновательной форме, информационные плакаты в нужных местах. Кроме того, следует объяснять, зачем то или иное правило вообще придумано, что оно дает компании и какой ущерб вероятен, если их не выполнять".

С доминированием человеческого фактора в числе угроз ИБ не согласна Елена Теплушкина, руководитель отдела продуктового маркетинга офисного оборудования компании Xerox Евразия. По ее словам, в большинстве случаев утечки информации происходят из-за человеческого фактора, а не из-за уязвимостей, позволяющих подключиться к корпоративной сети извне. Причем это может быть не только сознательный запуск вредоносного кода, но и причинение вреда по незнанию правил безопасного обмена данными. Для формирования у сотрудников культуры безопасной работы с корпоративной информацией при использовании печатных устройств очень важна не только просветительская деятельность, но и выстроенные правила и политики управления печатью. 

Елена Теплушкина, руководитель отдела продуктового маркетинга офисного оборудования компании «Xerox Евразия»
Елена Теплушкина, руководитель отдела продуктового маркетинга офисного оборудования компании «Xerox Евразия»
"Многие не понимают, что информационная безопасность всей компании зависит от действий каждого, а не только от того, насколько надежное ПО компания использует для предотвращения внешних атак и разного рода утечек".

Полностью научить людей «проверять, а не доверять» и исключить влияние человеческого фактора невозможно, считает Алексей Лукацкий, бизнес-консультант по ИБ компании Cisco. Он напоминает, что для абсолютного большинства работников компании информационная безопасность не является приоритетом № 1 и не относится к основному виду деятельности. «Отсюда и последствия: сотрудники не умеют распознавать весь спектр ухищрений, которыми пользуются злоумышленники. Они не могут распознать все фишинговые рассылки, все вредоносные домены, все опасные вложения в e-mail. Да, внедрение культуры ИБ поможет снизить угрозу, но исключить целиком ее невозможно. Вот почему необходимо применение компенсирующих защитных мер, которые помогают закрыть пробелы с пресловутым «человеческим фактором», – поясняет эксперт.

Алексей Лукацкий, бизнес-консультант по безопасности компании Cisco
Алексей Лукацкий, бизнес-консультант по безопасности компании Cisco
"Руководство должно подавать пример своим сотрудникам, как вести себя в той или иной ситуации. Политика двойных стандартов (говорю одно, а делаю другое) приводит внедрение культуры ИБ к краху".

Запрещай с умом

В ряде организаций существуют формализованные нормы и регламенты соблюдения правил ИБ. Как правильно составить этот документ? Что нужно для того, чтобы эти нормы и регламенты действительно выполнялись?

«Недостаточно просто иметь хорошие регламенты, важно контролировать их исполнение, давать сотрудникам обратную связь, дополнительно обучать непонятливых и наказывать злостных нарушителей. Очень важно реализовать принцип неотвратимости наказания – реагировать на каждое нарушение. Если использовать принцип «избирательного правосудия» и наказывать нарушителей выборочно, то вместо поведенческого паттерна «не делать» можно воспитать совсем другой паттерн «делать, но не попадаться». Плохо внедряемые запреты рождают желание их обходить, создавая у части пользователей даже особую «лихость» в нарушениях», – полагает Рустэм Хайретдинов (Attack Killer). По мнению Ильи Тимофеева («Академия АйТи»), чтобы формализованные нормы действительно выполнялись, документ не должен быть оторван от реальной жизни компании, его надо разрабатывать привязанным к реалиям и специфике конкретного стиля работы предприятия, с учетом сложившихся подходов. При этом требовать менять сложившуюся практику нужно лишь в тех случаях, если она в корне противоречит нормам ИБ. Кроме того, важно и к подаче материала в регламенте подойти по возможности неформально.

Илья Тимофеев, руководитель направления «Информационная безопасность» «Академии АйТи»
Илья Тимофеев, руководитель направления «Информационная безопасность» «Академии АйТи»
"Обучение цифровой безопасности сотрудников, а также обновление норм и регламентов ИБ должны происходить постоянно".

Итак, внедрение правил ИБ в корпоративную культуру – процесс непростой и многоплановый. Здесь задействованы как технические, так и организационные меры. Для того чтобы соблюдение «информационной гигиены» стало для сотрудников не просто обязанностью, но и потребностью, необходимо сделать ее правила удобными для выполнения, прочно интегрировать их в существующие рабочие процессы, не забывая поощрять наиболее грамотных в плане ИБ и неотвратимо наказывать нарушителей. В целом, эта тема настолько широка, что мы обязательно вернемся к ней в одном из ближайших номеров нашего журнала.

Андрей Янкин, заместитель директора Центра информационной безопасности компании «Инфосистемы Джет»
Андрей Янкин, заместитель директора Центра информационной безопасности компании «Инфосистемы Джет»
"Сейчас популярны методы вовлечения работников в обучение ИБ. Это делается через нестандартную подачу: интерактивное обучение, игры, плакаты, заставки рабочего стола с доходчивыми правилами ИБ, часто в игровой форме. Многие внедряют геймификацию, проводят соревнования по ИБ-грамотности и поощряют лучших. Все эти методы работают куда лучше чтения толстых и скучных регламентов".


Продолжение следует


Ключевые слова: безопасность, внешние угрозы, защита периметра, командообразование, сообщества, кризис, оптимизация, сокращение расходов

Горячие темы: Угрозы и риски ИБ

Журнал IT-Manager № 10/2018

Об авторах

Григорий Рудницкий

Григорий Рудницкий

Историк по образованию. В ИТ-прессе – бумажной и онлайновой – с 2002 года: публикуется в изданиях, ориентированных как на домашних, так и на корпоративных пользователей. Любимые темы: гаджеты, мобильность, облачные сервисы, свободное программное обеспечение.


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Другие материалы рубрики

Компании сообщают

Мероприятия

14.12.2018 — 16.12.2018
Новый год Рождения Клуба

Переславль-Залесский, AZIMUT Отель Переславль

17.12.2018
QIWI Techday make it real

Москва, Loft #2 ул. Ленинская Слобода, д. 26с11

25.02.2019 — 26.02.2019
Teamlead Conf

Москва, Инфопространство