Rambler's Top100
Статьи ИКС № 06-07 2014
Павел ГОЛОВЛЕВ  16 июня 2014

Философия уровня зрелости

Иммунитет к физическим болезням человечество вырабатывало тысячелетиями. Теперь необходимо вырабатывать «информационный иммунитет», считает Павел ГОЛОВЛЕВ, начальник службы информационной безопасности СМП Банка.

Павел ГОЛОВЛЕВ, начальник службы информационной безопасности СМП Банка.– Какой должна быть роль высшего руководства организации, служб ИТ, ИБ и HR, рядовых пользователей в борьбе с утечками конфиденциальной информации?

– Все зависит от емкого понятия «уровень зрелости». Как ни прискорбно, но в России основной уровень зрелости – это «жареный петух» или «грянувший гром». Впрочем, и в остальном мире уровень осознания проблем не намного выше, поскольку бизнес – это риск. И любое ограничение риска – это соответствующее ограничение возможностей бизнеса. Но корень проблем даже не в этом. Основным критерием эффективности бизнеса является «time to market» – время вывода продукта на рынок. И если бизнес еще хоть как-то заинтересован (или простимулирован) в охране собственных информационных ресурсов хотя бы на уровне защиты коммерческой тайны, то информационная безопасность выводимых на рынок продуктов – нечто столь же эфемерное, как социальная ответственность бизнеса. И порочный круг замыкается…

– Какие организационные меры обеспечения инфобезопасности компании обычно забывают принять?

– Зачастую не то чтобы забывают, а сознательно игнорируют. Организация Enterprise Management Associates провела исследование по заказу компании Security Mentor, занимающейся вопросами компьютерной защиты. 56% из более чем 600 опрошенных признались, что, например, тренировки по компьютерной безопасности, предоставленные их нанимателями, не дали никаких результатов. 45% респондентов сообщили, что подобные тренинги проводились всего раз в год. Все организационные мероприятия требуют привлечения и отвлечения человеческих ресурсов и при этом не создают ценности, поэтому для бизнеса они являются чаще всего непрофильными расходами, которые необходимо сокращать, особенно в условиях кризиса. Но, конечно, все опять-таки зависит от уровня зрелости компании.

– Какие технологические решения наиболее эффективны в борьбе с утечками (DLP, IDS/IPS, IDM, комплексные системы управления информационной безопасностью)?

– Все эти решения не работают сами по себе. Их работа должна обеспечиваться наличием необходимого количества людей, обладающих знаниями и умениями как в бизнесе, так и в технологиях. А также постоянными инвестициями в поддержание их функционирования. Да и сами по себе они «удовольствие» очень недешевое. У львиной доли организаций риски значительно ниже, чем стоимость таких решений.

– Как противостоять угрозам информационной безопасности со стороны BYOD?

– В современных условиях – пожалуй, никак. Ящик Пандоры открыт. С этим бороться уже невозможно. С этим надо научиться жить.

– Какие проблемы существующей системы подготовки специалистов по информационной безопасности вы бы отметили? Требуется ли дополнительное обучение?

– Основной минус – однобокость подготовки. Информационная безопасность – это не только и не столько криптография, сетевые технологии, программирование и администрирование информационных систем. Это и юриспруденция, и экономика, и менеджмент, и маркетинг, и психология, и социология….. Поэтому дополнительное обучение, конечно, необходимо. Причем постоянное.

– Считаете ли вы оправданной практику некоторых компаний привлекать к работе молодых талантливых «взломщиков»?

– Все зависит от бизнеса, от решаемых задач, от конкретного человека и его мотивации. В конце концов, игрушки в детстве ломали все. Сейчас игрушки стали другими. Талантливый человек на своем месте может сделать много полезного.

– Как повысить уровень осведомленности населения о способах самообороны от мобильных и онлайн-мошенников?

– Самое слабое место находится в основном в головах. Именно его и ломают в первую очередь. Мы живем во время, девиз которого вынесен на обложку одной из книг гуру маркетинга и веб-дизайна Стивена Круга: «Не заставляйте меня думать!». Иммунитет к физическим болезням человечество вырабатывало тысячелетиями. Теперь необходимо вырабатывать «информационный иммунитет».

– Как сформировать в корпоративной среде культуру информационной безопасности? Нужна ли государственная политика по формированию культуры информационной безопасности в обществе в целом?

– Ответить на эти вопросы можно, только поняв, что может заставить человека защищать чужие секреты сильнее, чем собственные. В современных условиях все рекомендации будут исключительно утопическими. Государственная политика, конечно, нужна. Но это должна быть политика, сравнимая с политикой здравоохранения, которая пронизывает все уровни существования человека в виртуальной среде. От правил элементарной гигиены до медицины катастроф, от центра планирования семьи до хосписа. 

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!