Безпека в період кризи

Від того, як буде побудована служба інформаційної безпеки в компанії, залежить ефективність її роботи. В умовах кризи і загострення конкуренції, коли питання збереження та захисту інформації виходять на перший план, внесок цієї служби в процес управління ризиками збільшується, тому вона повинна стати самостійною структурною одиницею і підпорядковуватися одному з перших осіб компанії.


Виникла криза активізував боротьбу з операційними витратами, інвестиційні програми, які було переосмислено, що, безумовно, є фактом позитивним. Криза – хороша можливість зупинитися і уважно подивитися на операційну діяльність, її окремі напрямки, в тому числі й організацію інформаційної безпеки (ІБ).

У різних галузях підрозділу ІТ постраждали неоднаково. У деяких сегментах ринку скорочень ІТ-фахівців практично не було, інші, наприклад сировинні компанії, зазнали серйозних втрат. Слід Чи можна очікувати скорочення в підрозділах інформаційної безпеки?

За прогнозами аналітиків, саме послуги з інформаційної безпеки будуть особливо затребувані як в найближчій, так і у віддаленій перспективі.

Ризики зростають

При масові скорочення на вулиці виявляється велика кількість фахівців з інформаційної безпеки. Часи важкі, і не всі звільнені навіть мають вихідну допомогу. Колишні співробітники досить добре обізнані про діяльність організації, про оброблюваних даних, технологіях і про багато іншого, що стосується її бізнесу. Не посилиться Чи є ризик порушення інформаційної безпеки, не збільшиться чи кількість інцидентів, чи не стануть компанії набирати на роботу колишніх співробітників своїх конкурентів?

Очевидно, що криза – одна з можливостей довести бізнесу свою значимість, тому внутрішня конкуренція за різні напрями діяльності – в тому числі і за видаткові частини бюджетів – в організаціях буде загострюватися. Один з яскравих прикладів – тертя між ІТ-департаментом і службою економічної безпеки, що стосуються забезпечення інформаційної безпеки, при цьому ставлення до неї з боку бізнесу дуже серйозне, тому що потенційні ризики, пов'язані з її порушенням, значно вище, ніж ризики, пов'язані з ІТ-діяльністю.

Проаналізуємо тактику підрозділу інформаційної безпеки в залежності від займаного місця в організаційній структурі компанії.

Підрозділ ІТ-департаменту

У більшості випадків відділ з інформаційної безпеки входить до складу ІТ-департаменту – це класична структура. Вона характерна для організацій, в яких питання забезпечення інформаційної безпеки тільки починає обговорюватися. Це пов'язано з тим, що діяльність підрозділу інформаційної безпеки в першу чергу спрямована на експлуатацію та підтримку засобів захисту, причому основних – міжмережевих екранів, антивірусних систем і т.п.

Відповідно до численними рекомендаціями, в тому числі Gartner Research, необхідно виводити підрозділ інформаційної безпеки зі структури ІТ-департаменту. Справа в тому, що директор з інформаційних технологіям або автоматизації (CIO) і керівник підрозділу інформаційної безпеки (CISO) мають різні інтереси, які можуть знаходитися в конфлікті. CIO відповідає за працездатність і оперативність ІТ-підтримки бізнесу. CISO піклується про її цілісності та безпеки з точки зору мінімізації ризиків. Організації доводиться знаходити баланс між прагненням до найбільш швидким способом доставки, обробки та зберігання інформації і "перешкодами", створюваними заходами додаткового контролю з боку ІБ-департаменту. Тому, відповідно до рекомендацій, CIO і CISO повинні бути незалежними один від одного і підкорятися на рівних правах першій особі компанії.

Отже, якщо "парадом командує" ІТ-директор, доцільно, щоб один співробітник поєднував функції менеджера з інформаційної безпеки та адміністратора основних інформаційних систем. Таким чином, цей співробітник стає ключовим в ІТ-департаменті. Наступним завданням розвитку системи інформаційної безпеки стане побудова її комплексної архітектури, основних процесів системи управління ІБ, розширення посадових обов'язків менеджера, демонстрація завдань щодо забезпечення інформаційної безпеки як стратегічно важливих для організації. Якщо менеджер зможе показати складність системи інформаційної безпеки, комплексний характер забезпечення інформаційної безпеки, необхідність інтеграції із суміжними областями (фізичної та економічною безпекою), то з'являється можливість перекладу підрозділу інформаційної безпеки до складу підрозділу безпеки.

У складі департаменту економічної безпеки

Досить поширена схема (особливо часто вона використовуються у великих комерційних організаціях), коли відділ інформаційної безпеки входить до складу департаменту економічної безпеки. При цьому за впровадження та експлуатацію технічних засобів забезпечення інформаційної безпеки відповідає ІТ-департамент, а за моніторинг, аудит, управління доступом – підрозділ інформаційної безпеки.

До тактичних завдань підрозділи інформаційної безпеки, перерахованим вище, додається побудова та підтримка систем захисту від інсайдерів: різні служби цензури, моніторингу діяльності співробітників, боротьби з шахрайством, що стає особливо актуальним під час кризи. У цьому випадку підрозділу інформаційної безпеки доцільно було б брати участь, наприклад, у побудові систем закупівель та боротьби з корупцією (в тому числі систем електронних тендерних комітетів) і т.д. Таким чином, підрозділ з просто технічного, операційного перетворюється на підрозділ, що відповідає за "чистоту рядів "компанії.

Пряме підпорядкування фінансовому директору

У випадку, коли відділ інформаційної безпеки підпорядковується безпосередньо фінансовому директору, варто приділити особливу увагу аудитів інформаційної безпеки і узгоджувати свою діяльність з підрозділом внутрішнього ІТ-аудиту, щоб успішно пройти перевірку на відповідність різним вимогам, наприклад закону Сарбейнса-Окслі. Якщо підрозділи внутрішнього ІТ-аудиту в компанії немає, то служба інформаційної безпеки може стати родоначальником такої структури. Особливу увагу тоді варто приділити забезпеченню безперервності бізнесу.

Пряме підпорядкування генеральному директору

І, нарешті, найкраще – коли підрозділ, що забезпечує інформаційну безпеку, підкоряється безпосередньо генеральному директору організації, який має безпосередній вплив на формування систем контролю і ставлення до ризику. У цьому випадку відділ інформаційної безпеки має у своєму розпорядженні власним бюджетом, в організації функціонує комітет із забезпечення інформаційної безпеки на регулярній основі і т.д. Крім того, підрозділ безпосередньо забезпечує вищий менеджмент регулярними оглядами стану інформаційної безпеки, звітами про впровадження політики безпеки, бере участь разом з топ-менеджментом в управлінні кризами або позаштатними ситуаціями в (у разі виникнення таких), забезпечує інформаційну підтримку прийняття рішень топ-менеджерами з питань технічних модернізацій, що мають відношення до сфери інформаційної безпеки.

Єдине, що можна рекомендувати – говорити з бізнесом його мовою, наприклад вести каталог послуг із забезпечення інформаційної безпеки, пропонувати SLA в тих випадках, коли це можливо, особливу увагу приділяти кількісному аналізу ризиків і т.д.

Все не так погано

Враховуючи, що криза припала на період формування бюджету наступного року, дана ситуація може стати слушною нагодою для перегляду стратегії в області забезпечення інформаційної безпеки, у тому числі схеми розподілу повноважень та посадових обов'язків, ресурсів, модифікації системи управління – принципів і механізмів прийняття рішень, проходження інформації, планування, контролю, системи мотивації і т.д.

Криза сприяє концентрації на реально необхідні дії щодо забезпечення інформаційної безпеки. Змінюються напрямки діяльності ІБ-відділу, по-іншому починають вирішуватися питання взаємодії з іншими підрозділами, бюджетування, вироблення ставлення до ризиків, переглядаються портфелі проектів компанії.

Успішне вирішення усіх цих задач може дати імпульс до наступного витка розвитку. Адже слідом за кризою завжди настає новий етап розвитку.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*