Наше деловое партнерство www.banwar.org

Керівництво багатьох компаній сприймає службу інформаційної безпеки як «чорну діру, яка поглинає бюджети». У той же час, жоден більш-менш серйозний бізнес без власного підрозділу ІБ обійтися не може, хоча ступінь ефективності таких підрозділів дійсно буває дуже різною. Чому так відбувається? Давайте спробуємо розібратися в цьому матеріалі.

Ще десять років тому тема інформаційної безпеки (ІБ) не стояла так гостро перед бізнесом і державою. Сьогодні вона є однією з пріоритетних, нехай довкола неї і залишається чимало протиріч і управлінських суперечок. Наприклад, часто топ-менеджмент бачить службу ІБ як жирні рядки серед витрат, які не приносять ніякої реальної користі. Проте, жоден серйозний бізнес не може відмовитися від такої служби.

І це логічно, оскільки останні роки бізнес все частіше стає жертвою атак кіберзлочинців. Чи не захищатися від можливих ризиків було б нерозумно - але найчастіше прикрі прорахунки зменшують ефективність ІБ. Розбираємося, які помилки при організації інформаційної безпеки можуть серйозно нашкодити її ККД.

формалістський підхід

При такому підході інформаційну безпеку організовують виключно для галочки. Таким грішать деякі організації, найчастіше - держструктури і окремі банки. Системи забезпечення ІБ їм потрібні виключно для звітності та відповідності нормативним вимогам, наприклад, стандартам НБУ або Держспецзв'язку. "В результаті, може виявитися що безпека існує взагалі виключно на папері і навіть деякі наявні програмно-апаратні засоби в кращому випадку мають настройки« за замовчуванням »", - говорить технічний директор компанії "Октава Кіберзахіст" Олексій Швачка.

В такому випадку системи ІБ не здатні реагувати на швидкі зміни в кіберпросторі і бути готовими до нових небезпек. На необхідності постійно виходити "за рамки" наполягає і голова кіберкомандування США (USCYBERCOM), директор АНБ Майкл Роджерс. "Думаю, що сама ідея постійно триматися за конкретну конструкцію (організації ІБ, - НВ), за один набір практик або умінь в корені неправильна", - цитує його офіційне видання міноборони США. Роджерс підкреслює, що ІБ для видимості безглузда, а її постійна адаптація до нових умов повинна стати частиною завдань організації.
Якщо відсутнє розуміння, що дійсно з інформаційних ресурсів має цінність, від чого їх треба захищати, а політика безпеки існує лише на папері - проблеми починають вирішуватися тільки після їх виникнення і настання негативних наслідків. Ігнорування ризиків до тих пір, поки не станеться найгірше - не найкраща стратегія.

«Лебідь, Рак і Щука»

"Хто зацікавлений в організації інформаційної безпеки в компанії? Найчастіше ІБ в великих компаніях ділиться на дві фракції: власне, безпечники, які займаються ІБ - запобіганням витоків, мінімізацією втрат бізнесу, друге - айтішники, які зацікавлені в безпеці інформаційних систем, їх працездатності, безперервності і продуктивності ", - говорить Володимир Кург, R & D-директор компанії" ІТ-Інтегратор ". Він зазначає, що часто неузгодженість в роботі цих двох груп призводить до дір в ІБ.

Володимир Кург з «ІТ-Інтегратор» радить не чекати кризових подій і гармонізувати відносини між безпечники і айтішників заздалегідь. Адже без працюючих процесів управління ІБ навіть сучасні засоби захисту не дадуть потрібного ефекту

Спеціаліст наводить приклад, коли в інформаційній системі великої організації фіксується перекачування внутрішніх даних на невідомі зовнішні адреси. Співробітник ІТ-безпеки, каже Володимир Кург, рефлекторно кинеться блокувати перекачку. Людина з економічної безпеки в свою чергу захоче розслідувати: що, від кого і куди витікає, а може і закинути приманку для зломщика.

Тому експерт радить не чекати кризових подій і гармонізувати відносини між двома відділами безпеки заздалегідь, адже без працюючих процесів управління ІБ, навіть сучасні засоби захисту не дадуть потрібного ефекту.

Брак кваліфікованого персоналу

Для організації повноцінної системи кібербезпеки банально не вистачає людей. За результатами опитування 451 Research більше тисячі ІТ-фахівців в Північній Америці і регіоні EMEA, в який входить і Україна, з'ясувалося: чверті керівників відділів ІБ не вистачає компетентних фахівців. Свіжі дані дослідницької компанії DimensionalResearch ще більше вражають: близько 93% професіоналів в області кібербезпеки схвильовані браком фахівців у сфері цифрового захисту. До речі, в зв'язку з цим, дев'ять з десяти компаній підсилюють або готові посилити свою систему ІБ професіоналами на аутсорс. За прогнозами Symantec, попит в цій галузі зросте до шести мільйонів вакансій вже до 2019 року.

Недостатня обізнаність персоналу

Співробітникам просто не вистачає знань і умінь щодо організації ІБ. "У нас же не викликає сумнівів необхідність наявності в сучасних автомобілях ременів і подушок безпеки, справної гальмівної системи, сигналізації? Ось і організаціям потрібно послідовно піднімати рівень розуміння та обізнаності персоналу в питаннях кібербезпеки", - проводить паралелі Олексій Швачка з "Октава Кіберзахіст".

У цифровій корпорації Citadel наполягають, що всі співробітники організації повинні регулярно проходити тренінги з питань інформаційної безпеки. Інакше, відзначають там, люди просто не знатимуть ні що робити, ні чому потрібно робити саме так, а не інакше. Компанія радить проводити освітні заходи з упором на те, чому важливо захищати інформацію, як до цього причетний кожен співробітник і наскільки серйозними можуть бути наслідки недотримання правил і стандартів ІБ.

"У нас же не викликає сумнівів необхідність наявності в сучасних автомобілях ременів і подушок безпеки, справної гальмівної системи, сигналізації? Ось і організаціям потрібно послідовно піднімати рівень розуміння та обізнаності персоналу в питаннях кібербезпеки", - проводить паралелі Олексій Швачка з "Октава Кіберзахіст".

Міноборони США, яке кожен день знаходиться на передовій цифрових воєн сучасності, також постійно навчає своїх співробітників і прагне дати їм найбільш актуальні знання і навички про роботу в інформаційному середовищі. "Ми постійно говоримо про кіберполітіке, про реагування на кіберсобитія. Це як постійно вдосконалювати літак, на якому ми вже летимо", - іронізує Джори Робінсон, командир одного з підрозділів ІБ. Вона визнає, що є чимало тих, хто хотів би "залишатися в окопах", але наполягає: достукатися потрібно і до них.

Спроба зробити все самостійно

Як показало дослідження 451 Research, тільки одна з чотирьох організацій може забезпечити комплексний захист внутрішніх інформаційних ресурсів власними силами. Тому, радить Володимир Кург з "ІТ-Інтегратор", "потрібно користуватися напрацюваннями національних і міжнародних організацій з кібербезпеки - наприклад, рекомендаціями CyberSecurityFramework від NIST (Національний центр стандартів і технологій США, - НВ), рекомендаціями щодо створення команд реагування на кіберінціденти від ENISA (EuropeanUnionAgencyforNetworkandInformationSecurity, - НВ) ". Крім того, мова йде серед іншого про входження представників команд з кібербезпеки в групи кризового реагування, які є у більшості розвинених бізнесів. Їх завдання, нагадує експерт, реагування на позаштатні ситуації, які загрожують роботі бізнесу.

Хоча великий бізнес як і раніше залишається найбільш ласим шматком для кіберзлочинців, малим підприємствам не слід вважати себе в безпеці, радять в звіті PwC TheGlobalStateofInformationSecurity. Там зазначається, що саме невеликі компанії стають для хакерів "точкою входу" в глобальну бізнес-екосистему, так як великий бізнес часто недостатньо уваги приділяє перевірці рівня ІБ у партнерів або постачальників. У той же час, "хоча побудова власної складної системи ІБ є непідйомною завданням для малого бізнесу, він може отримати ті ж результати, скориставшись послугами зовнішніх професіоналів", - відзначають в PwC.

Про це говорить і фахівець з "Октава Кіберзахіст" Олексій Швачка. "У важких умовах затяжної кризи, в яких ми всі зараз перебуваємо, підвищенню ефективності ІБ може сприяти методичне вибудовування процесів управління, підвищення кваліфікації фахівців і використання послуг зовнішніх профільних компаній, так званих ManagedSecurityServiceProviders", - вважає він.

Depositphotos / Gorodenkoff

На шляху до зрілості бізнесу

Як підсумків скажімо, що бізнес, звичайно, може вважати витрати на організацію ІБ чрезмернимі.Однако тільки до того часу, поки витік даних або цілеспрямована кібератака не призведе до набагато більш серйозних втрат. Найчастіше, невдоволення службою ІБ викликано якраз внутрішніми причинами і відображає ступінь зрілості самого бізнесу. Недбалість або фінансування «за залишковим принципом» при створенні систем кібербезпеки, як ми показали вище, чревата наслідками.

Перегляд зроблених кроків і можливих помилок при створенні системи кібербезпеки може допомогти бізнесу стати більш зрілим - причому не тільки в кіберпросторі. Не варто забувати про те, що ІБ - це не тільки «витрати», а й додаткові можливості для підвищення ефективності організації.

«Використання систем безпеки має не тільки прямий, а й« бонусний »ефект для бізнесу. По-перше, вони дозволяють зменшити нецільове використання робочого часу. По-друге, провести аналіз комунікацій в компанії для того, щоб зрозуміти, наскільки оптимально відбудовані ці процеси. Наприклад, визначити точки перевантаженості в системі електронної пошти, документообігу ", - пояснює Володимир Кург з" ІТ-Інтегратор ". Визначення цих точок, додає він, дозволить перебудувати бізнес-процеси і використовувати існуючий потенціал компанії більш раціонально.

Текст доступний на умовах ліцензії Creative Commons Attribution-ShareAlike . При написанні матеріалу були використані коментарі фахівців компанії IT-Integrator .