Информационная безопасность как часть корпоративной культуры
В любой компании или организации, по мере ее развития, постепенно создается корпоративная культура – набор моделей поведения, доказавших свою жизнеспособность и эффективность как в процессе взаимодействия с внешней средой, так и в ходе формирования внутренних процессов. Корпоративная культура представляет собой совокупность как писаных, так и неписаных правил. Первые – это официально декларируемые нормы поведения сотрудников при разрешении конфликтов друг с другом, клиентами, партнерами, взаимодействии с регулирующими органами, принятые модели внутрикорпоративных и внешних коммуникаций, система лидерства и карьерного роста, а также многое другое. Все это может быть зафиксировано документально или и существовать в виде устных правил, безоговорочно принимаемых всеми сотрудниками – от генерального директора до уборщицы и охранника. И хотя сам термин «корпоративная культура» впервые появился в XIX веке, нормы и правила работы компаний берут истоки из средневековых гильдий ремесленников. Гильдия защищала права каждого ее члена, но нарушение ее внутреннего порядка могло повлечь за собой исключение из профессионального сообщества и, соответственно, лишение возможности защиты и других привилегий.
В каждой компании существует свой уровень проникновения корпоративной культуры. В крупных корпорациях и холдингах, чья история насчитывает много лет и даже десятилетий, чаще всего нормирован каждый шаг сотрудника. В небольших компаниях и стартапах все формализовано в гораздо меньшей степени, однако и там есть ряд правил и табу, за нарушение которых могут последовать неприятности.
Регламенты информационной безопасности, «информационной гигиены» на рабочем месте, а также ответственность за их несоблюдение являются одним из ключевых элементов корпоративной культуры. Но, к сожалению, далеко не везде. При этом нельзя забывать, что последствия от несоблюдения правил ИБ негативно отражаются на всей компании.
Отношение к информации
В чем же истоки ИБ-нигилизма? Что нужно сделать для того, чтобы информационная безопасность, культура работы с данными и информацией стала неотъемлемой частью корпоративной культуры? Попробуем разобраться с помощью экспертов. Михаил Сергеев, начальник отдела ИТ-проектирования Orange Business Services, считает, что даже в рамках одной отрасли существуют как компании, которые относятся к данным как ценному активу – собирают, защищают, хранят и анализируют их, так и те, кто вообще не видит ценности в данных. «Такой подход, к примеру, наблюдается на предприятиях розничной торговли и логистики. И даже в финансовой сфере, которая, казалось бы, находится в авангарде цифровой трансформации, можно столкнуться с обоими вариантами», – говорит он. По словам Ильи Тимофеева, руководителя направления «Информационная безопасность» «Академии АйТи», более зрелый, сложившийся подход к работе с информацией отчетливо заметен в технологических компаниях, для которых информация, цифровые данные уже стали важнейшим активом. Беспорядок в данных для таких компаний равноценен провалу в бизнесе. В то же время в компаниях, где многие годы преобладали «аналоговые», а не digital-подходы к ведению бизнеса, культура работы с информацией только формируется. По мнению Максима Захаренко, генерального директора компании «Облакотека», основное различие между компаниями, аккуратно и небрежно относящимся к данным, заключается в понимании модели угроз. «Там, где угрозы существенны, например в банках, ситуация с процедурами обеспечения безопасности значительно лучше. В малом бизнесе из сферы торговли дело обстоит вообще никак, потому что угрозы утраты конфиденциальности, скажем, не очень существенны», – объясняет он. Юрий Урсу, руководитель Департамента информационных технологий Орловской области полагает, что организации по-прежнему уделяют мало внимания подобным вопросам, за исключением разве что крупного бизнеса. «Если тезис «пока как-то работает, ИТ подразделение не нужно» уже перестал существовать, и руководители понимают, что ИТ обеспечивает эффективность и прямо влияет на экономические результаты организации, то в части информационной безопасности «шишек» пока набито мало, – комментирует он. – Существенным поводом задуматься над этой проблемой стали вирусы-шифровальщики, блокирующие рабочие места и требующие денег для получения кода разблокировки: волна подобных заражений и их широкое освещение в СМИ способствовали тому, что бизнес стал задумываться об информационной безопасности на упреждение».
Влияние внешних факторов
Все-таки, где-то правила ИБ соблюдаются неукоснительно, особенно если за их соблюдением следят регулирующие организации, а где-то, особенно если руководство смотрит на это сквозь пальцы, нормы ИБ соблюдаются «опционально». Тем не менее в случае атаки или заражения вредоносным ПО начинают приниматься определенные меры согласно поговорке «пока гром не грянет, мужик не перекрестится». Рустэм Хайретдинов, генеральный директор компании Attack Killer, говорит о том, что жесткость и скорость внедрения правил обращения с конфиденциальной и чувствительной для бизнеса информацией диктуется внутренней культурой и внешними условиями, в частности требованиями регуляторов. «Чем больше внешних нормативов, тем жестче и быстрее должно происходить внедрение. К факторам, ускоряющим внедрение правил, можно отнести успешные атаки, принесшие чувствительный ущерб и штрафы регуляторов», – объясняет он. По словам эксперта, если в государственных компаниях традиционно сильнее влияние регуляторов и собственных безопасников, имеющих опыт работы в спецслужбах, то бизнес сам взвешивает соотношение удобства пользования информацией и ограничениями в ее применении, исходя из максимизации прибыли или минимизации убытков. К примеру, всем известно, что в первые годы появления требований по защите персональных данных бизнес предпочитал платить штрафы, а не менять удобство пользования информацией. «Раньше руководство компаний воспринимало риски ИБ как какую-то экзотику, – рассказывает Андрей Янкин, заместитель директора Центра информационной безопасности компании «Инфосистемы Джет». – Инциденты были редки, урон не так велик, поэтому менеджмент вполне разумно уделял вопросам ИБ достаточно скромное внимание. В последние же три – пять лет мы видим в этой области существенную эволюцию взглядов: риски ИБ стали восприниматься руководством крупных компаний как совершенно неотъемлемая часть информатизации».
Человеческий фактор неистребим?
На протяжении всей истории информационной безопасности самым слабым местом был и остается человеческий фактор, чем удачно пользуются злоумышленники всех мастей. Людям проще поверить, чем проверить, – таково свойство человеческой природы. «Самая главная причина, по которой люди не соблюдают правила защиты, – незнание этих самых правил. Для начала их надо обучить, проверить усвоение материала и проконтролировать поведение. Затем повторить схему: обучить, проверить усвоение материала, проконтролировать поведение. И так далее. Это трудоемкий непрерывный процесс. Помочь в данной деятельности может как «кнут», так и «пряник», но их нельзя использовать поодиночке или в отрыве от учебного процесса», – считает Михаил Сергеев (Orange Business Services).
С доминированием человеческого фактора в числе угроз ИБ не согласна Елена Теплушкина, руководитель отдела продуктового маркетинга офисного оборудования компании Xerox Евразия. По ее словам, в большинстве случаев утечки информации происходят из-за человеческого фактора, а не из-за уязвимостей, позволяющих подключиться к корпоративной сети извне. Причем это может быть не только сознательный запуск вредоносного кода, но и причинение вреда по незнанию правил безопасного обмена данными. Для формирования у сотрудников культуры безопасной работы с корпоративной информацией при использовании печатных устройств очень важна не только просветительская деятельность, но и выстроенные правила и политики управления печатью.
Полностью научить людей «проверять, а не доверять» и исключить влияние человеческого фактора невозможно, считает Алексей Лукацкий, бизнес-консультант по ИБ компании Cisco. Он напоминает, что для абсолютного большинства работников компании информационная безопасность не является приоритетом № 1 и не относится к основному виду деятельности. «Отсюда и последствия: сотрудники не умеют распознавать весь спектр ухищрений, которыми пользуются злоумышленники. Они не могут распознать все фишинговые рассылки, все вредоносные домены, все опасные вложения в e-mail. Да, внедрение культуры ИБ поможет снизить угрозу, но исключить целиком ее невозможно. Вот почему необходимо применение компенсирующих защитных мер, которые помогают закрыть пробелы с пресловутым «человеческим фактором», – поясняет эксперт.
Запрещай с умом
В ряде организаций существуют формализованные нормы и регламенты соблюдения правил ИБ. Как правильно составить этот документ? Что нужно для того, чтобы эти нормы и регламенты действительно выполнялись?
«Недостаточно просто иметь хорошие регламенты, важно контролировать их исполнение, давать сотрудникам обратную связь, дополнительно обучать непонятливых и наказывать злостных нарушителей. Очень важно реализовать принцип неотвратимости наказания – реагировать на каждое нарушение. Если использовать принцип «избирательного правосудия» и наказывать нарушителей выборочно, то вместо поведенческого паттерна «не делать» можно воспитать совсем другой паттерн «делать, но не попадаться». Плохо внедряемые запреты рождают желание их обходить, создавая у части пользователей даже особую «лихость» в нарушениях», – полагает Рустэм Хайретдинов (Attack Killer). По мнению Ильи Тимофеева («Академия АйТи»), чтобы формализованные нормы действительно выполнялись, документ не должен быть оторван от реальной жизни компании, его надо разрабатывать привязанным к реалиям и специфике конкретного стиля работы предприятия, с учетом сложившихся подходов. При этом требовать менять сложившуюся практику нужно лишь в тех случаях, если она в корне противоречит нормам ИБ. Кроме того, важно и к подаче материала в регламенте подойти по возможности неформально.
Итак, внедрение правил ИБ в корпоративную культуру – процесс непростой и многоплановый. Здесь задействованы как технические, так и организационные меры. Для того чтобы соблюдение «информационной гигиены» стало для сотрудников не просто обязанностью, но и потребностью, необходимо сделать ее правила удобными для выполнения, прочно интегрировать их в существующие рабочие процессы, не забывая поощрять наиболее грамотных в плане ИБ и неотвратимо наказывать нарушителей. В целом, эта тема настолько широка, что мы обязательно вернемся к ней в одном из ближайших номеров нашего журнала.
Продолжение следует
Опубликовано 12.11.2018