Rambler's Top100
Все новости Новости отрасли

Безопасность на страже бизнес-процессов

20 декабря 2013

Пять рекомендаций по трансформации устаревших процессов информационной безопасности от руководителей служб безопасности международных компаний.

Компания RSA опубликовала новый отчет Совета SBIC (Security for Business Innovation Council) «Трансформация информационной безопасности: процессы, ориентированные на будущее».

Эксперты Совета отмечают, что бизнес-подразделения в организациях все активнее участвуют в управлении информационными рисками. При этом устаревшие процессы обеспечения безопасности препятствуют инновациям и затрудняют успешную борьбу с новыми рисками кибербезопасности. Специалисты рекомендуют службам информационной безопасности теснее взаимодействовать с функциональными бизнес-подразделениями для создания новых систем и процессов, помогающих быстрее и точнее выявлять, оценивать и отслеживать риски кибербезопасности.

В числе способов улучшить процессы обеспечения безопасности эксперты называют количественную оценку рисков, вовлечение бизнес-подразделений, оценку средств контроля, проведение оценок рисков внешними организациями и обнаружение угроз. Также предлагаются пять рекомендаций по развитию программы обеспечения информационной безопасности, которые помогут бизнес-подразделениям превратить риски в источники новых конкурентных преимуществ.

1. Перенос внимания с технических активов на критически важные бизнес-процессы. Эксперты призывают выйти из тесных рамок технической концепции защиты информационных активов и совместно с бизнес-подразделениями задокументировать критически важные бизнес-процессы, чтобы сформировать полную картину использования информации на предприятии.

2. Оценка рисков кибербезопасности с точки зрения бизнеса. Опишите риски кибербезопасности в терминах и цифрах, понятных бизнесу, и интегрируйте их в глобальный процесс оценки рисков.

3. Оценка рисков со стороны бизнес-подразделений. Внедрите автоматизированные средства отслеживания информационных рисков, чтобы бизнес-подразделения могли активно участвовать в выявлении опасных ситуаций и предотвращении рисков, повышая свою долю ответственности за безопасность предприятия.

4. Ориентация на контроль качества на основе доказательств. Разработайте и задокументируйте методы сбора данных для систематического подтверждения эффективности средств контроля.

5. Разработка методик сбора информативных данных. Целенаправленно формируйте архитектуру данных, которая будет улучшать видимость и расширять возможности аналитики. При идентификации релевантных источников данных ориентируйтесь на типы задач, которые решает аналитика данных.

Арт Ковьелло (Art Coviello), исполнительный вице-президент корпорации EMC, исполнительный директор RSA — подразделения безопасности корпорации EMC, говорит: «В современном цифровом мире успешное внедрение инноваций невозможно без переоценки мер по управлению рисками кибербезопасности. Службы безопасности должны перейти от пассивного подхода на основе защиты периметра к проактивному сотрудничеству с бизнес-подразделениями.  Если бизнес-процессы будут обновлены, как это описано в рекомендациях Совета, организации смогут лучше представлять риски и управлять ими, извлекая при этом выгоду для себя».

«Если документирование бизнес-процессов станет общей задачей, то полученные результаты максимально точно отразят риски, имеющиеся в системе. Мы никогда не поймем ценность конкретной информации для бизнеса лучше владельцев бизнес-процессов, а они, в свою очередь, никогда не предскажут киберугрозы лучше специалистов из службы безопасности», - добавляет Дейв Мартин (Dave Martin), вице-президент и руководитель службы безопасности корпорации EMC

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.