IT ManagerБезопасностьУправление ИБ

ИБ в корпоративной культуре: показатель зрелости

Григорий Рудницкий | 10.12.2018

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

ИБ в корпоративной культуре: показатель зрелости

Правила информационной безопасности установлены для того, чтобы их выполняли люди, каждый сотрудник на своем рабочем месте, начиная с самого младшего персонала и заканчивая топ-менеджерами. Но чтобы соблюдение этих правил дошло до автоматизма и не вызывало дополнительных вопросов: «А зачем это нужно?» – ИБ должна стать частью корпоративной культуры. С годами в любой компании складываются определенные нормы поведения и взаимоотношения сотрудников с руководством, с клиентами, с партнерами, друг с другом. Иногда это неписаный свод правил, иногда они формализованы в виде документов. В любом случае, правила представляют собой никем не оспариваемый кодекс поведения профессионалов в конкретной компании, а возможно, и на остальном рынке, где она работает и ведет свой основной бизнес. Мы чуть ли не с пеленок заучиваем правила безопасности жизни: не переходить дорогу на красный свет светофора, не открывать дверь квартиры незнакомым людям, не играть со спичками и источниками открытого огня, не дразнить незнакомую собаку и т. д. Это часть общечеловеческой культуры, аксиомы поведения любого цивилизованного человека. Такими же нормами, элементом корпоративной культуры, должны стать для сотрудников любой компании правила информационной безопасности.

Мы уже рассказывали в одном из прошлых номеров, каким образом организации могут решить эту задачу с помощью организационных мер, а сегодня хотели бы продолжить тему и остановиться на технологических и методологических аспектах.

Сбалансированный подход

До сих пор сотрудники ИБ-служб воспринимаются в немалой части организаций как некий тормозящий фактор, препятствующий внедрению инновационных технологий. Бизнес хочет гибкости, скорости и удобства, ИТ стремятся ему в этом помочь, но приходит ИБ, указывает на потенциальные риски от внедрения того или иного нового решения, от перехода на новую модель работы, чем вызывает негативную реакцию. «Сотрудники подразделений ИБ в силу своих непосредственных обязанностей должны обеспечивать сохранность корпоративных информационных активов, – объясняет Антон Трегубов, старший консультант практики аналитических решений для противодействия мошенничеству и безопасности компании SAS в России и странах СНГ. – В некоторых случаях это действительно может привести к дополнительным ограничениям для тех или иных инновационных подходов со стороны бизнеса. Но подобные ограничения продиктованы не вредностью сотрудников ИБ, а исключительно их должностными обязанностями». При этом, по его словам, компромиссное решение рано или поздно удается найти. В каких-то ситуациях вносятся изменения в состав обрабатываемых данных, где-то применяются дополнительные механизмы по обезличиванию или маскированию данных или внедряются дополнительные средства защиты.

Антон Трегубов, старший консультант практики аналитических решений для противодействия мошенничеству и безопасности компании SAS в России и странах СНГ
Антон Трегубов, старший консультант практики аналитических решений для противодействия мошенничеству и безопасности компании SAS в России и странах СНГ
Каких-то новых уникальных и 100%-результативных механизмов соблюдения правил ИБ, к сожалению, нет. Безусловно, вопросам ИБ надо уделять внимание постоянно, а не только вследствие тех или иных инцидентов

Евгений Смирнов, коммерческий директор компании Navicon, в качестве примера такого компромиссного подхода рассказывает о безопасной модели внедрения в организации популярной концепции BYOD (Bring Your Own Device). По его словам, здесь рекомендации во многом зависят от того, какие именно личные устройства находятся в обращении у команды. Так, если сотрудники используют свои телефоны или планшеты, следует обеспечить ролевой доступ к данным, защищенность каналов передачи информации (например, шифрование и VPN) и удаленное управление корпоративными мобильными приложениями, чтобы блокировать приложения у уволенных или скомпрометировавших себя сотрудников – на случай, если в приложении есть офлайн-копии данных.

Евгений Смирнов, коммерческий директор компании Navicon
Евгений Смирнов, коммерческий директор компании Navicon
Многие руководители бизнеса на своем собственном горьком опыте узнают, что безопасность данных или инфраструктуры вовсе не гарантируется тем, что они находятся в контролируемом компанией периметре.

Соблюсти баланс возможно, однако здесь надо учитывать вопрос стоимости итогового решения, как утверждает Артем Гавриченков, технический директор компании Qrator Labs. «Здесь возникает триада – инновации, безопасность, стоимость, и, как правило, компании приходится делать выбор в пользу одного из факторов. Помочь организации в достижении определенного баланса может грамотно построенная стратегия безопасности, обеспечивающая работоспособность бизнеса и покрывающая большинство рисков. При этом во главу угла необходимо ставить требования бизнеса, чтобы сделать работу сотрудников более защищенной, но в то же время чрезмерно не усложнять рабочие процессы», – отмечает эксперт.

Артем Гавриченков, технический директор компании Qrator Labs
Артем Гавриченков, технический директор компании Qrator Labs
CISO постепенно трансформируется в ключевого советника для топ-менеджеров компании, организуя деятельность своего подразделения и реализуя бизнес-тактики в соответствии с потребностями предприятия.

Система плюс человек

Можно организовать работу с сотрудниками, их обучение правилам ИБ, с поощрениями за неукоснительное исполнение и взысканиями за злостные нарушения, а можно внедрить различные технологические решения, которые просто сведут к минимуму непреднамеренные ИБ-инциденты. «Самым слабым звеном в любой системе обеспечения информационной безопасности является человек. Пока ни одна система не может уберечь компанию от сотрудника, который попросту расскажет о чем-то важном по телефону или за пределами контролируемой зоны. Поэтому необходимо постоянно повышать осведомленность пользователей в вопросах обеспечения ИБ, и мы наблюдаем тренд увеличения интереса к данному аспекту обеспечения безопасности среди российских компаний», – считает Марк Гордеев, старший менеджер группы по управлению информационными рисками KPMG в России и СНГ. По мнению Даниила Дрожжина, эксперта по сетевой безопасности компании «КРОК», максимальный эффект дает комбинирование всех методов (оценка рисков, внешние аудиты, обучающие мероприятия для сотрудников, четко проработанные политики ИБ, грамотно подобранные ИТ-решения). Дмитрий Кузнецов, директор  по методологии и стандартизации компании Positive Technologies, считает, что задача ИБ состоит не в том, чтобы запрещать людям осуществлять определенные действия, а в том, чтобы сделать эти действия максимально безопасными, устранив уязвимость, которая могла бы способствовать осуществлению той или иной угрозы. «Если имеется риск получения пользователями по почте вредоносных файлов, то недостаточно установить антивирусы на машине пользователя. Необходимо сканировать и устранять уязвимости, применять решения многоуровневой защиты от вредоносного ПО, позволяющие его выявлять и блокировать. Однако полностью довериться средствам защиты тоже нельзя: известны случаи, когда своевременное установление обновлений систем не закрывало уязвимости. Соответственно, в любом случае требуется иметь команду, которая будет реагировать на инциденты и минимизировать ущерб от последствий», – поясняет он.

Данил Дрожжин, эксперт по сетевой безопасности компании «КРОК»
Данил Дрожжин, эксперт по сетевой безопасности компании «КРОК»
Зачастую компании не выстраивают процессы по защите корпоративной среды – это долго, сложно и затратно. Плюс не так просто найти на рынке человека, способного грамотно, с нуля, выстроить процесс управления ИБ. Наибольшая потребность в обеспечении ИБ возникает при достижении компанией определенного уровня ИТ-зрелости.

Координатор защиты

Сегодня во многих компаниях появляется должность директора по информационной безопасности (CISO). «В современных условиях CISO – представитель менеджмента компании, отвечающий за разработку и внедрение стратегии по обеспечению безопасности ее информационных активов. CISO – это не технический специалист, а, прежде всего, эффективный менеджер, способный разработать и контролировать исполнение комплексной программы внутренних проектов, направленных на повышение защищенности данных компании. Он должен уметь общаться с представителями топ-менеджмента на понятном им бизнес-языке, обладать компетенциями в области ИТ и ИТ-безопасности, иметь отличные коммуникативные навыки, чтобы донести свои инициативы до коллег и руководителей смежных подразделений», – считает Антон Трегубов (SAS).

Марк Гордеев, старший менеджер группы по управлению информационными рисками KPMG в России и СНГ
Марк Гордеев, старший менеджер группы по управлению информационными рисками KPMG в России и СНГ
Цифровая среда сейчас уже стала практически неотъемлемой частью нашей жизни, начиная с самых ранних возрастов. Подобно тому, как нас всех в детстве учили мыть руки и чистить зубы, нужно планомерно и последовательно обучать пользователей правилам поведения в киберпространстве, на примерах рассказывать о последствиях неверных решений и делать это регулярно.

Должен ли CISO взять на себя часть работы по укоренению ИБ в корпоративную культуру? Андрей Данин, старший инженер по безопасности информационных технологий компании Parallels, уверен, что директор по информационной безопасности должен быть в первую очередь дирижером, то есть отлично видеть и понимать все процессы компании. Он должен иметь четкое представление о том, к чему в конечном итоге должна прийти компания и вести ее в правильном направлении. А вот конкретные шаги, которые он для этого должен предпринимать, индивидуальны в каждом конкретном случае. В свою очередь, Дмитрий Кузнецов (Positive Technologies) напоминает, что задачи CISO зависят еще и от размера компании, где он работает. В крупной компании это больше организаторская должность, включающая постановку задач и выработку ИБ-стратегии. В среднем и малом бизнесе директор по ИБ – играющий тренер. «Должность CISO в передовой компании подразумевает налаживание процессов безопасности, в том числе повышения киберграмотности. Это осуществляется в тесной кооперации со всеми подразделениями организации через формулирование совместных целей и достижение общих показателей», – говорит Роман Жуков, директор центра компетенции компании «Гарда Технологии».

Дмитрий Кузнецов, директор по методологии и стандартизации компании Positive Technologies
Дмитрий Кузнецов, директор по методологии и стандартизации компании Positive Technologies
Почти любая инновация создает угрозу. Тот, кто внедряет инновацию, как правило, видит положительные стороны. Ему нужен противовес, которым являются специалисты по безопасности. Взвешивая плюсы и минусы любого нововведения, можно прийти к сбалансированному решению.

ИБ – под контроль руководства

Если рыба, согласно поговорке, гниет с головы, то организация с головы, наоборот, расцветает. Если информационная безопасность будет одним из важнейших вопросов, стоящих на повестке дня топ-менеджмента компании, если в это направление будут инвестироваться серьезные средства, позволяющие внедрить самые совершенные и качественные системы, нанять самых высокопрофессиональных специалистов на рынке, осуществлять планомерную работу по обучению и просвещению сотрудников, то ситуация изменится коренным образом. Однако, по данным аналитиков Fortinet, опубликованным в 2017 году, 48% ИТ-руководителей полагают, что ИТ-безопасность пока не входит в число вопросов, стоящих на повестке дня совета директоров их компании. «Поддержка топ-менеджмента жизненно необходима для подготовки и поддержки ИБ-инициатив, – соглашается Антон Трегубов (SAS). – Но все же надо понимать, что ИБ – это обеспечивающий и поддерживающий бизнес-процесс, не приносящий компании реальной прибыли. Для руководства компании подразделение ИБ – прежде всего очередной кост-центр. В такой ситуации как раз важна роль CISO и его умение донести до руководства задачи ИБ в части минимизации потенциальных рисков и их возможности позитивно повлиять на стратегические бизнес-показатели компании». Эксперты говорят, что постепенно ситуация меняется в лучшую сторону. «Современные реалии все больше перемещаются в цифровой мир, и с ростом интеграции в него организаций должно возрастать и погружение топ-менеджмента в вопросы обеспечения ИБ. Широкая доступность различных инструментов для взлома и низкий порог экспертизы, требуемый для их применения, ставят компании, не уделяющие должного внимания защите, в положение, когда они могут подвергнуться опасности, причем с совершенно неожиданного направления», – подчеркивает Марк Гордеев (KPMG).

Роман Жуков, директор Центра компетенций компании «Гарда Технологии»
Роман Жуков, директор Центра компетенций компании «Гарда Технологии»
Сервисы безопасности должны быть удобными для пользователей. Попробуйте оценить, насколько вы готовы применить то или иное приложение, если оно интуитивно непонятно

Итак, сегодня бизнес-процессы повсеместно трансформируются в цифровой формат, в основе которого лежат данные. Это основной актив любой современной компании, требующий тщательной защиты. Цифровая трансформация меняет и саму корпоративную культуру, в которой информационной безопасности отводится одна из важнейших ролей. Конечно, киберпреступники и прочие злоумышленники никуда не исчезнут, но лучше всего от них защищена та организация, где не только выстроена надежная инфраструктура, но и сотрудники обучены правилам «цифровой гигиены», а руководство уделяет этому процессу самое пристальное внимание. 

Андрей Данин, старший инженер по безопасности информационных технологий компании Parallels
Андрей Данин, старший инженер по безопасности информационных технологий компании Parallels
Мне кажется, самый правильный подход, который нужно применить здесь, – это обучение. Пусть даже и не все сразу поймут и запомнят. Нужно просто привыкать соблюдать некоторые правила и практики по умолчанию. Тогда не придется каждый раз думать, как действовать в той или иной ситуации.

Ключевые слова: информационная безопасность, киберугрозы

Горячие темы: Угрозы и риски ИБ

Журнал IT-Manager № 11/2018    [ PDF ]    [ Подписка на журнал ]

Об авторах

Григорий Рудницкий

Григорий Рудницкий

Историк по образованию. В ИТ-прессе – бумажной и онлайновой – с 2002 года: публикуется в изданиях, ориентированных как на домашних, так и на корпоративных пользователей. Любимые темы: гаджеты, мобильность, облачные сервисы, свободное программное обеспечение.


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Загрузка...

Другие материалы рубрики

Компании сообщают

Мероприятия

23.04.2019
BIT-2019

Санкт-Петербург, Конференц-центр отеля "Holiday Inn Московские ворота"

24.04.2019
Meet Up "VR/AR в маркетинге"

Технопарк "Калибр"

25.04.2019
Эрудированные роботы в массовом дистанционном обслуживании

Москва, Swissotel Красные Холмы, панорамный зал «Давос»

25.04.2019 — 26.04.2019
Open Agile Day

Отель Шератон Палас

25.04.2019
Эффективные бизнес-процессы: будущее за цифрой

Санкт-Петербург, конференц-зал отеля «Гайот», ул.Профессора Попова 23 (м.Петроградская)