Информационная безопасность как часть корпоративной культуры


22 Ноября 2018 года

Информационная безопасность как часть корпоративной культуры

Илья Тимофеев, руководитель направления «Информационная безопасность» - Журнал ИТ-мнеджер
Что нужно сделать для того, чтобы информационная безопасность, культура работы с данными и информацией стала неотъемлемой частью корпоративной культуры?
Илья Тимофеев, руководитель направления «Информационная безопасность» «Академии АйТи» поделился экспертным мнением для журнала ИТ-менеджер.
ИльяТимофеев.jpg

Насколько, по Вашему мнению, развита культура работы с данными, с информацией в российских компаниях? Есть ли общие черты у компаний, относящихся к конкретной отрасли?

Культура работы с информацией сильно различается как в разных отраслях бизнеса, так и в различных компаниях. Более зрелый, сложившийся подход к работе с информацией отчетливо заметен в технологических компаниях, для которых информация, цифровые данные уже стали важнейшим активом. Беспорядок в данных для таких компаний - провал в бизнесе. В компаниях, где многие годы преобладали "аналоговые", а не digital-подходы к ведению бизнеса, культура работы с данными только формируется.

Где-то правила ИБ соблюдаются неукоснительно, особенно если за их соблюдением следят регулирующие организации, а где-то, особенно если руководство смотрит на это “сквозь пальцы”, нормы ИБ соблюдаются “опционально”. Тем не менее, в случае атаки или заражения вредоносным ПО начинают приниматься определенные меры согласно поговорке “пока гром не грянет, мужик не перекрестится”. Как переломить и изменить эту ситуацию?

Нормы ИБ не возникают на пустом месте, как правило, либо они формируются с учетом требований регуляторов, либо складываются как осознанная необходимость. Действительно, это часто возникает в результате инцидентов ИБ. Изменить такой подход поможет именно развитие культуры работы с данными, понимание того, что информация становится важнейшим активом компании, а ее восстановление при потерях, вызванных невниманием к ИБ, может стоить значительно дороже, чем затраты на соблюдение этих правил людьми в компании!

До сих пор одной из главных причин инцидентов ИБ является человеческий фактор. Как научить людей не “доверять, а проверять” и соблюдать элементарные правила защиты? Какие методы здесь будут эффективнее - кнут или пряник?

Любой человек в организации, начиная с рабочего персонала, должен владеть основами цифровой грамотности и кибербезопасности. Цифровая грамотность — это набор компетенций гораздо выше простейших навыков использования почтовых программ и социальных сетей. Каждый специалист «будущего» должен быть подкован в безопасности, от уровня простого пользователя и по возрастающей. А уже после того, как люди будут обучены как на практике правильно "не доверять, а проверять", их можно и нужно заставить соблюдать правила ИБ, тут будут хороши и кнут, и пряник.

В ряде организаций существуют формализованные нормы и регламенты соблюдения правил ИБ. Как правильно составить этот документ? Что нужно для того, чтобы эти нормы и регламенты действительно выполнялись?

Для реального, а не формального, для галочки, соблюдения ИБ-регламентов люди в компании, как уже отмечалось, должны быть обучены основами цифровой безопасности. И замотивированы соблюдать требования регламента. Но чтобы нормы действительно выполнялись, документ не должен быть оторван от реальной жизни компании, его надо разрабатывать привязанным к реалиям и специфике конкретного стиля работы компании, с учетом сложившихся подходов. И требовать менять сложившуюся практику в тех случаях, если она в корне противоречит нормам ИБ. Важно и к подаче материала в регламенте подойти, по возможности, неформально. Как пример, в каждом помещении есть схема эвакуации, но многие ли изучают такой документ? А руководствуются им в случае ЧП? Не менее важно помнить, что угрозы ИБ быстро меняются. Поэтому и обучение цифровой безопасности сотрудников, и обновление норм и регламентов ИБ, это - процессы постоянные!

Специалисты ИБ подразделения зачастую выступают в качестве “тормоза” инноваций, особенно когда они не разрешают или ограничивают применение новых технологий и моделей работы бизнеса. Один из примеров - работа сотрудников компании на собственных устройствах (BYOD). Как здесь соблюсти баланс между безопасностью, гибкостью и инновационностью?

Соблюдение такого баланса - это частный случай классической задачи достижения гармонии между новаторами и консерваторами. Мобильность сотрудников - действительно хороший пример. Но специфика решения задачи, способы и средства достижения такой гармонии существенно зависят от особенностей конкретного бизнеса. В общем случае - культура работы с цифровыми активами компании, выполнение людьми ИБ-требований и применение актуальных решений по обеспечению защиты и целостности корпоративной информации позволяют повышать эффективность бизнеса, а главное, удовлетворенность и отдачу от людей, вовлеченных в него.

Что даст больший эффект: внедрение всевозможных ИБ-решений, закрывающих бреши и уязвимости, и делающих практически невозможным любой случайный или преднамеренный “шаг в сторону” сотрудниками компании, или профилактические беседы, тренинги, поощрения лучших и т.д.?

Ответ на этот вопрос развивает тему баланса и гармонии - нельзя однозначно для всех компаний выдать готовый рецепт. На наш взгляд, только комплексный подход -  подготовленные люди, выстроенные процессы и регламенты, актуальные ИБ-решения - могут дать наибольший эффект. Причем на всех этих направлениях работа должна вестись постоянно! 

Сегодня во многих компаниях появляется должность Директора по информационной безопасности (CISO). Какие задачи он должен взять на себя для большей интеграции ИБ в корпоративную культуру?

Роль CISO в компании в наше время крайне актуальна, по нашему мнению, одной из важнейших задач, которые должен решать такой руководитель, является выстраивание и развитие отношений между службой ИБ и бизнесом.  Прекрасно, если руководители компании понимают всю важность защиты своих цифровых активов, но для многих компаний такое понимание только формируется. Часто бизнес-руководители осознают специфику ИБ в еще меньшей степени, чем потребности традиционных ИТ. Поэтому Директор по ИБ просто обязан доносить до бизнеса те ценности, которые защищают CISO и его команда, и риски, которым может подвергаться бизнес, если ИБ не заниматься.

По данным Fortinet, опубликованным в 2017 году, 48% ИТ-руководителей полагают, что ИТ-безопасность пока не входит в число вопросов, стоящих на повестке дня совета директоров их компании. Будет ли ситуация меняться к лучшему, если топ-менеджмент будет уделять приоритетное внимание вопросам ИБ? Станет ли в таком случае ИБ одним из ключевых элементов корпоративной культуры?

Недооценка рисков, невнимание к угрозам среди ТОП-менеджмента ряда компаний вызваны в том числе и существенным отставанием ИБ-культуры среди людей в целом. А также тем фактом, что многие инциденты ИБ остаются для компании не замеченными либо замалчиваются. Приведенная статистика подтверждает необходимость согласованной работы всех участников рынка ИБ, тогда ситуация станет меняться, ИБ и защита цифровых активов компаний войдут в повестку дня советов директоров. И, что очень важно, на постоянной основе!