Rambler's Top100
Статьи
26 августа 2014

В.Медведев: Разделять топ-менеджмент и ИТ/ИБ-службы неправильно

Взращивание корпоративной культуры информационной безопасности – задача топ-менеджмента, считают эксперты «ИКС».

Читайте полную версию Дискуссионного клуба темы номера  «ИКС» №6-7'2014 «Будь инфобдителен!». Часть 2.


? «ИКС»: Какова роль топ-менеджмента, служб ИТ, ИБ и HR, рядовых пользователей в вопросах борьбы с утечками?Аркадий Прокудин

 

Аркадий Прокудин, заместитель руководителя Центра компетенции информационной безопасности, АйТи: В здоровой развивающейся организации, защитой информации должны заниматься все сотрудники, и в первую очередь – топ-менеджмент. Если не будет примера, который подает руководство, наложенными средствами защиты качественного эффекта не добиться.

 

Александр СанинАлександр Санин, коммерческий директор, Аванпост: Роли у данных категорий сотрудников разные, но все они, безусловно, должны быть так или иначе вовлечены в процесс. Так, например, HR-специалисты и специалисты классической службы безопасности должны еще на этапе собеседования и просмотра резюме задумываться о потенциальном кандидате с точки зрения рисков, обращать пристальное внимание на людей, переходящих от конкурирующих компаний, анализировать доступную информацию о кандидате на базе его активности в социальных сетях и т.п. Соответственно, при положительном решении о принятии кандидата в штат, именно HR-специалисты запускают процесс повышения осведомленности, они должны рассказывать о важности той информации, с которой предстоит работать сотруднику, должны подписывать с сотрудником соглашение о неразглашении. Служба ИБ должна контролировать процесс, повышать осведомленность и проводить обучения/ликбезы для всех категорий сотрудников. Более того, это необходимо делать на периодической основе два-четыре раза в год. От топ-менеджмента в первую очередь требуется понимать риски утечки конфиденциальной информации. Ведь с одной стороны, именно топ-менеджеры принимают решение о выделении бюджета для закупки тех или иных средств защиты, что напрямую влияет на уровень защищенности, а с другой –  именно эти самые топ-менеджеры в силу своих обязанностей имеют доступ к наиболее критичной информации и являются одним из наиболее уязвимых звеньев в цепочке. 

Дмитрий Барабаш 

Дмитрий Барабаш, руководитель отдела защиты данных, T-Systems CIS: В большинстве случаев корпоративным подразделениям ИБ отводится основная роль в обеспечении безопасности. И часто руководство компании ожидает, что службы ИБ все задачи безопасности решат самостоятельно и быстро. Но ежедневная информационная безопасность зависит в первую очередь от действий обычных пользователей. Зрелое в вопросах информационной безопасности поведение пользователей – это достаточно важно. Поэтому пользователей необходимо постоянно обучать, просвещать и мотивировать. Задача решается с помощью взаимодействия нескольких отделов – ИБ, HR, сотрудников, отвечающих за внутренние коммуникации, и др.

Также типично, что во многих компаниях недостаточна роль топ-менеджмента, с поддержки которого следует начинать построение системы безопасности. К сожалению, типичный подход руководства – «мы наняли в подразделение ИБ несколько профессионалов, вот пусть они сделают так, чтобы «все было безопасно». Но такой подход малоэффективен, поддержка топ-менеджмента должна быть реальной, действенной и постоянной. Пример безопасного поведения должны демонстрировать руководители всех уровней – от топов до линейных менеджеров.

Вячеслав Медведев 

Вячеслав Медведев, старший аналитик, DrWeb: В постановке вопроса разделены топ-менеджмент и ИТ/ИБ службы. Это традиционно для России – и совершенно неправильно. Традиционно руководство компаний игнорирует потребности ИТ/ИБ – их нужды не связываются с нуждами бизнеса. А вот лучшие практики, стандарты безопасности (в том числе и российские) однозначно требуют введения руководства ИТ/ИБ в состав топ-менеджмента. Только в этом случае возможно не просто введение неких документов в действие, но постоянное действие процедур. При наличии в составе топ-менеджмента представителей ИТ/ИБ (в ранге заместителей генерального директора или его прямых подчиненных), имеющих право выдавать распоряжения по компании в рамках своей компетенции – роль топ-менеджмента состоит в выдвижении требований к ИТ/ИБ, адекватных с точки зрения бизнеса. Роль ИТ/ИБ в этом случае – разработка и проведение  в жизнь необходимых мер, выход с предложениями по совершенствованию процедур компании, контроль соблюдения утвержденных процедур. Немаловажна и роль сотрудников – они играют роль обратной связи. Без их помощи все меры превращаются только в путы и сотрудники – в том числе в интересах компании – начинают их обходить. Владимир Воротников

 

Владимир Воротников, руководитель отдела перспективных исследований и проектов, «С-Терра СиЭсПи»: Для того чтобы быть эффективной, системе безопасности необходимо быть комплексной. Серьезная брешь по одному из направлений – и вся система становится бессмысленной. Это касается и социального аспекта безопасности. Весь персонал организации вносит свой вклад в обеспечение безопасности. Но этот вклад можно разделить на три категории. Первая – активный вклад: управление и контроль систем безопасности (службы ИБ, ИТ). Вторая – косвенный вклад: подбор и обучение персонала, корпоративная культура и этика (служба HR и топ-менеджмент). Третья – пассивный вклад: соблюдение политик безопасности, недопущение возникновения инцидентов безопасности в пределах своей зоны ответственности и компетенции (рядовые пользователи). При этом совершенно невозможно сказать, что одна из этих категорий менее важна, чем иные. Они все чрезвычайно важны.

 

Александр ТрошинАлександр Трошин, технический директор, «Манго Телеком»: Мы действительно открыты для мира, для СМИ. Например, ежегодно открываем результаты работы, причем эти данные весьма подробны и характеризуют практически все аспекты работы компании. Отмечу также, что все эти данные предварительно проходят независимый аудит в агентстве с безупречной репутацией. Достаточно детально мы раскрываем и наши планы на год-два вперед, причем это не отвлекающие ветви, а действительно основные направления развития «Манго Телеком», что легко проследить по всей серии объявлений итогов года. Конечно, у нас есть совершенно определенная позиция, касающаяся ИБ внутри компании, но задач по контролю и прослушиванию сотрудников, просмотру их электронной почты перед нами не стоит. Автоматизированного эвристического контроля за содержанием текстов и разговоров мы тоже не ведем. Мы сами используем открытое ПО (OpenSource-технологии) для решения ряда ключевых задач, например, управления SIP-трафиком, и вносим свой вклад в сообщество OpenSource. Естественно, в компании есть конфиденциальная информация, но ограничения доступа к ней связаны исключительно с обычными задачами управления компанией – с целью сохранения лидирующих позиций на рынке и высокой гибкости и мобильности. Однако здесь согласованный контроль идет на уровне топ-менеджмента. И я не могу сказать, что в этой части применяются какие-то технические средства для защиты от утечки информации, скорее это HR-инструменты. Ведь подбор сотрудников, составляющих костяк компании и постоянно работающих с конфиденциальной информацией, находится как раз в компетенции HR-служб. Как и постоянная работа с такими сотрудниками, и уровнем их лояльности, как и их возможная ротация и т.д. Специалисты, составляющие основу «Манго Телеком», редко способны на кражу и «слив» конфиденциальной для бизнеса информации, поэтому ключевая роль тут отводится именно HR-службе, которая должна сделать «костяк» компании стабильным и лояльным, преданным целям компании и самой организации. Александр Хрусталев

 

Александр Хрусталев, директор департамента информационной безопасности, МГТС:   Сегодня цели корпоративной службы безопасности меняются в направлении более разумного и всестороннего управления рисками – от «тушения пожаров» к их предотвращению. Вовлечение топ-менеджеров и руководителей всех звеньев в процесс осуществления информационной безопасности компании позволяет обеспечить эффективный контроль и обработку конфиденциальной информации. В таких организациях ИБ является не случайной темой совещаний, а неотъемлемой частью корпоративной культуры. МГТС стала одной из первых компаний на рынке, применяющей данный подход. В компании информационная безопасность является частью корпоративной культуры, в которую вовлечены все сотрудники. В результате такой политики в компании снизился риск утечек конфиденциальной информации, сформировался уровень осведомленности и компетентности персонала, его способности справляться с будущими угрозами. Игорь Корчагин

 

Игорь Корчагин, руководитель группы обеспечения безопасности информации, ИВК: Реализация действительно эффективной системы защиты информации от утечек только одним комплексом технических мер, без принятия целого ряда организационно-распорядительных мероприятий, невозможна. Именно топ-менеджмент организации может сыграть ключевую роль в утверждении и принятии системы взглядов на обеспечение безопасности информации во всей организации. Эти действия смогут повлиять на выполнение правил ИБ рядовыми пользователями, оказывать поддержку службам ИТ и ИБ при принятии мер по контролю за действиями пользователей, а также при принятии санкций в отношении нарушителей данных правил. Сергей Иванов

 

Сергей Иванов, руководитель офиса технологии защиты информации, Первый БИТ: Разная мотивация и осознание личных рисков определяют роль сотрудника в процессе обработки конфиденциальной информации. Если компания хочет эффективно бороться с утечками, следует сделать угрозу для бизнеса личным делом специалиста – посредством мотивационной системы. Также большую роль в снижении рисков утечки информации играет лояльность сотрудника.

 


Александр БодрикАлександр Бодрик, ведущий консультант Центра информационной безопасности, R-Style: Распределение ответственности за защиту конфиденциальной информации в каждой организации уникально, но в целом можно указать стандартные обязанности участников.  Топ-менеджмент: определение приоритетности реализации мероприятий по борьбе с утечками, контроль эффективности системы мер защиты от утечек, обеспечение административным и бюджетным ресурсом, соблюдение правил работы с конфиденциальной информацией (пример для других сотрудников); служба ИБ: методическая поддержка организации системы защиты, координация и контроль эффективности деятельности всех задействованных служб, инициация и выбор внедрения контрольных процедур и средств защиты, мониторинг каналов утечек и расследования инцидентов, поддержка горячей линии сбора информации о нарушениях; служба ИТ: поддержка средств мониторинга и отдельных расследований, организация выбора, проектирования, поставки, и внедрения средств защиты; служба HR: обучение сотрудников правилам работы с конфиденциальной информацией (в силу специфичности предмета обучения нужно по возможности передать ответственность за обучение в службу ИБ, желательно интегрируя с расследованием инцидентов – таким образом можно создать систему обратной связи, когда нарушители будут обязаны заново обучаться и подтверждать знание правил работы с конфиденциальной информацией), организация изменения мотивационной части компенсации сотрудников (премий) вследствие нарушения ими правил ИБ; сотрудники организации: соблюдение правил работы с конфиденциальной информацией, информирование службы ИБ о нарушениях. Рустэм Хайретдинов

 

Рустэм Хайретдинов, исполнительный директор, Appercut Security: Топ-менеджмент принимает правила обращения информации в компании, легитимизирует системы контроля этих правил и вводит ответственность за их нарушение. ИТ, в свою очередь, обеспечивает работоспособность систем контроля. ИБ же формулирует эти правила и постоянно адаптирует их по требованиям бизнеса и регуляторов, реагирует на инциденты, проводит внутренние расследования и передает их результаты всем остальным участникам: организационные правила – топ-менеджменту, технические – ИТ-службе, результаты  расследования инцидентов – HR. HR доводит правила до сотрудников, проводит необходимое обучение, повышает осведомленность и вместе со службой экономической безопасности осуществляет принцип неотвратимости наказания. Алексей Лукацкий

 

Алексей Лукацкий, эксперт по информационной безопасности, Cisco: Если доверить вопросы защиты информации только сотрудникам службы ИБ, то они превратятся в бутылочное горлышко, которое не справляется с тем потоком задач, которые постоянно возникают в повседневной жизни любой организации. В обеспечение безопасности должны быть вовлечены все сотрудники без исключения. Все должны проходить соответствующие тренинги по повышению осведомленности. Сотрудники HR должны следить за прохождением таких тренингов при приеме на работу, а также по окончании каждого года или при серьезном изменений информационной системы или бизнес-процессов. Топ-менеджмент своим примером должен показывать важность защиты информации, к которой имеешь доступ в рамках выполнения служебных обязанностей. Только работая сообща можно снизить число потенциальных утечек.

 

Сергей СередаСергей Середа, руководитель проектов «Энергодата»: Роль высшего руководства компании в вопросах борьбы с утечками является, по нашему мнению, определяющей. От отношения к этому вопросу топ-менеджмента зависит эффективность (и само существование) организационной и технической инфраструктуры, обеспечивающей информационную безопасность предприятия. В сферу его компетенции входит подтверждение важности обеспечения информационной безопасности для бизнеса, утверждение общей концепции ИБ, формирование необходимой оргструктуры, а также контроль эффективности деятельности отвечающих за ИБ подразделений. Служба ИТ, ответственная за информатизацию предприятия, несомненно, должна учитывать вопросы защиты информации при проектировании, реализации и внедрении информационных систем. В то же время, так как обеспечение информационной безопасности выходит за рамки управления ИТ-инфраструктурой предприятия, им должна заниматься отдельная служба. В противном случае защита информации с высокой вероятностью «замкнётся» на информационные системы. Роль службы ИБ заключается в обеспечении комплексного подхода к защите информации во взаимодействии не только со службой ИТ, но и со службой внутренней безопасности, службой экономической безопасности, службой управления персоналом. Отдельными важными функциями службы ИБ являются: отчётность перед высшим руководством компании; развитие и, при необходимости, пересмотр концепции защиты информации; анализ инцидентов; развитие методологии, мер и средств обеспечения информационной безопасности. Роль HR-службы в вопросах борьбы с утечками заключается во взаимодействии со службой ИБ и обеспечении лояльности персонала компании. При этом, как представляется, совсем не обязательно концентрироваться именно на борьбе с утечками информации – достаточно эффективного использования собственных инструментов управления человеческими ресурсами, которыми пользуются специалисты в области HR. Планирование карьеры, социальные пакеты, talent management и, тем более, «пожизненный найм» являются весьма весомым «пряником», который вкупе с техническими и организационными мерами по защите информации станет серьёзным препятствием для, например, коммерческого подкупа или злоупотребления служебным положением, направленного на организацию утечки.

Что же касается рядовых пользователей, то их роль заключается в посильном соблюдении принятых в компании регламентов обработки информации ограниченного доступа и, по возможности, в информировании ответственных лиц об обнаруженных нарушениях. Не следует требовать от пользователей быть «святее Папы Римского» и, вместо исполнения своих непосредственных обязанностей, днями и ночами думать о соблюдении конфиденциальности корпоративных данных. Представляется, что необходимые и достаточные (т.е. не вредящие повседневной работе) правила по защите информации ограниченного доступа, при наличии всего, описанного выше, добросовестные работники будут соблюдать без излишнего принуждения. Недобросовестными же работниками по большей части должны заниматься службы, в сферу ответственности которых это входит, а не служба ИБ. При таком распределении обязанностей, как мы полагаем, меры по обеспечению информационной безопасности будут адекватны стоящим задачам, а риск саботажа со стороны пользователей – минимальным.

Хочется добавить также, что при организации сопровождения ИТ-систем в небольших компаниях зачастую привлекаются приходящие сотрудники. Их деятельность, как правило, не регламентируется, а потому плохо контролируется с точки зрения информационной безопасности. Как результат, никто в компании не застрахован от копирования "внешним злоумышленником" корпоративных документов (вплоть до критически важных) и их последующего использования

 

Алексей РаевскийАлексей Раевский, генеральный директор, Zecurion: Роль каждого звена в иерархической системе предприятия, от топ-менеджмента до рядовых пользователей, чрезвычайно важна для эффективной борьбы с утечками, поскольку, как известно, рвется там, где тонко, и каждое звено этой цепочки должно быть одинаково прочным. Топ-менеджмент, а иногда и владельцы бизнеса должны проявить политическую и управленческую волю для принятия решения о том, что организация должна защищать данные, выделить на это средства и ресурсы. Без этого соответствующие процессы в организации даже не будут запущены. ИБ-служба должна идентифицировать конфиденциальную информацию и риски информационной безопасности, разработать политику безопасности, концепцию защиты от утечек. Кроме этого, в дальнейшем именно ИБ-служба, как правило, обеспечивает выполнение политики информационной безопасности и поддерживает функционирование средств ИБ. ИТ-департамент отвечает за интеграцию политик и средств ИБ в бизнес-процессы и информационные потоки организации. На этой почве традиционно происходят конфликты ИТ- и ИБ-служб, поскольку для ИТ-департамента любые средства защиты информации усложняют инфраструктуру и добавляют сложности в работу. Очень часто именно саботирование проектов внедрения средств ИБ со стороны ИТ-отделов ставит на них крест, и чтобы преодолеть это сопротивление часто требуется вмешательство топ-менеджмента. HR-отдел отвечает за самое слабое место в любой системе ИБ – за человека. Известно, что существенный процент утечек происходит со стороны нелояльных и немотивированных пользователей. Выявление таких сотрудников и повышение их лояльности – задача как раз HR-службы. Кроме этого, важна роль HR в обучении пользователей правилам и политикам ИБ, которое, как правило, проводятся совместными силами HR- и ИБ-служб. Ну и рядовые пользователи – это самое важное звено, поскольку, именно их действия или бездействия обычно приводят к утечкам. Если бы все пользователи все делали в соответствии с правилами и политиками ИБ, никаких утечек не было бы, поэтому задача руководства любой компании – сделать так, чтобы пользователи были бдительны, их действия были осознанными и не нарушали бы политики информационной безопасности.Дмитрий Селиванов

 

Дмитрий Селиванов, вице-президент по работе с ключевыми клиентами, MAYKOR: В борьбе с утечками конфиденциальной информации важен симбиоз технических и организационных мер, поэтому в обеспечении ИБ задействованы в равной степени как ИТ- и ИБ-службы, так и HR. ИТ-департамент обеспечивает надлежащий уровень безопасности при хранении и работе с такого рода информацией (к примеру, шифрование на общих ресурсах и персональных компьютерах), служба информационной безопасности контролирует распространение информации (контроль доступа) и отслеживает работу пользователей с применением специализированных программно-аппаратных комплексов. В задачу HR входит довести до сотрудников правила работы с такой информацией и ответственность за их нарушение. Добавим к этому необходимость в регулярном проведении обучающих семинаров для сотрудников по вопросам ИБ.

Подготовила Лилия Павлова

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!