Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

Роли в информационной безопасности

Валерий Естехин, 13/10/21

Оценивая корпоративное управление современных компаний, нельзя не обратить внимание на очевидные проблемы с информационной безопасностью. Для решения этих проблем от топ-менеджмента требуется проведение инициатив, которые, с одной стороны, являются сложными, многосторонними и неочевидными, а с другой – предполагают вовлечение всех сотрудников компании, и прежде всего руководителей ряда ключевых подразделений. Об этом и пойдет речь в данной статье.

Автор: Валерий Естехин, эксперт по вопросам информационной безопасности, автор блога estekhin.blogspot.ru

ИБ не работает без помощи изнутри организации

Перечислим, пропуская руководителя службы ИБ, еще примерно семь различных руководящих должностей в компаниях, отвечающих в качестве основных исполнителей за операционную отказоустойчивость, безопасную инфраструктуру, правильное распределение ресурсов, репутационные риски, реагирование на инциденты и другие аспекты информационной безопасности:

  • топ-менеджмент;
  • кадровая служба;
  • ИТ-служба;
  • риск-менеджмент;
  • служба внутреннего аудита;
  • юридическая служба;
  • общая безопасность.

Проанализируем возможные точки взаимодействия указанных подразделений, и прежде всего их руководителей, в разрезе информационной безопасности компании.

Топ-менеджмент

CEO (Chief Executive Officer), генеральный директор – главное должностное лицо

Руководство компании обеспечивает создание и поддержание внутренней среды, которая позволяет сотрудникам в полной мере участвовать в достижении стратегических целей компании. ИБ начинается с генерального директора и спускается вниз, охватывая весь персонал. Именно топ-менеджмент в ответе за создание строгой культуры безопасного поведения, и он лично должен показывать пример правильного отношения к требованиям информационной безопасности. Такой настрой руководства повлечет за собой активизацию диалога между теми, кто определяет культуру компании и требует соблюдения определенных правил, и теми, кто отвечает за бизнес-деятельность.

Сегодня бизнесу нужны внутренние лидеры, сочетающие хорошую осведомленность в передовых технологиях с широким кругозором. Важно, чтобы в компании была создана открытая обстановка, в которой поощряется не только информация об успехах, но и негативная информация о любых процессах. Создание атмосферы прозрачности – еще одна задача топ-менеджмента при выработке стратегии безопасности.

Кадровая служба

CHRO (Chief Human Resources Officer), директор по персоналу

Информационная безопасность в значительной степени зависит от организационной структуры и корпоративной культуры компании, а роль директора по персоналу – одна из ключевых в обеспечении информационной безопасности.

В чем это выражается? Прежде всего в том, что такой руководитель должен принять на себя часть ответственности за нанимаемых компанией сотрудников. Причиной любого ИБ-инцидента может быть злой умысел или некомпетентность работника. Понимание повседневных интересов и мотивации нанимаемых сотрудников – важная составляющая работы кадровой службы.

Организации могут обращаться со своими сотрудниками по принципу "нанял-уволил". Но в этом случае не стоит рассчитывать на высокое качество персонала и хорошую репутацию на рынке труда. Управление наймом и уходом сотрудников с учетом возникающих рисков, связанных, например, с утечкой информации, является одним из наиболее важных вкладов кадровой службы в безопасность компании.

Еще одной значимой составляющей в работе кадровой службы является применение передовых программ обучения информационной безопасности и распространение их по всей организации.

Важна также роль кадровой службы в обеспечении этичности мер безопасности, применяемых компанией, согласовании ее задач, целей, интересов с задачами и целями работников. Эффективное корпоративное управление не может опираться на сотрудников, вынужденных действовать вопреки собственным интересам. Мониторинг действий сотрудников часто вызывает вопросы о доверии к персоналу. Кадровая служба понимает этическую подоплеку этих вопросов лучше всех и может дать совет топ-менеджменту и службе ИБ относительно того, сработают ли принимаемые политики безопасности и соответствуют ли они корпоративной культуре.

ИТ-служба

CIO (Chief Information Officer), директор по информационным технологиям

Для ИТ-директора важно, что информационная безопасность повышает стабильность и надежность ИТ-систем и это сказывается на операционной отказоустойчивости бизнес-процессов.

Что касается технических аспектов, то руководство компании в первую очередь обеспокоено перебоями в работе ИТ-систем или неудовлетворенностью сотрудников их использованием, поскольку эти системы поддерживают текущие бизнес-процессы и в той или иной степени обеспечивают бизнес-деятельность.

На протяжении жизненного цикла компании часто происходит так, что ИБ-команда приходит и через непродолжительное время уходит, а ИТ-команда остается на долгое время. Это является следствием стратегических приоритетов бизнеса, которые формировались с развитием и внедрением ИТ-технологий. Действительно, со службой ИТ зрелый бизнес живет уже плюс-минус 40 лет и привык следовать и доверять всему, что она говорит (все в компании в курсе: как 20 лет назад запустили ИТ-инфраструктуру, так до сих пор все худо-бедно работает). В случае смены ИТ-команды нужно будет заново разбираться, как работает устаревшая ИТ-система, как нетривиально осуществляется процесс обновления и т.д.

С ИБ бизнес знаком в лучшем случае последние 10–15 лет. И именно служба ИБ сообщает наверх о всех косяках ИТ: неисполнительности сотрудников (например, в вопросах смены паролей сетевых администраторов), наличии технических учетных записей в Active Directory, несвоевременном закрытии уязвимостей и пр.

В противостоянии ИБ-команды с "косяками" ИТ последние формально на стороне информационной безопасности, но по факту в реальном мире между службами существует непонимание, соперничество, явные или скрытые действия со стороны ИТ-инженеров ("гуру в ИТ"), привыкших самостоятельно устанавливать те или иные правила. В силах директора по информационным технологиям развернуть ситуацию в сторону осознания его сотрудниками важности информационной безопасности для устойчивости компании.

Риск-менеджмент

CRMO (Chief Risk Management Officer), директор по управлению рисками, главный риск-менеджер

Одной из обязательных и постоянных стратегических задач компании должно быть непрерывное совершенствование. Идентификация рисков в контексте приоритетов бизнеса – одна из ключевых целей компании в сфере информационной безопасности.

Риск-менеджмент отслеживает все риски организации. Поэтому участие директора по управлению рисками в обеспечении информационной безопасности компании можно считать прямо вытекающим из его обязанностей.

Определение приоритетности рисков – не техническая задача. Это задача управления компанией. Директор по управлению рисками должен играть важную роль в разработке программы мероприятий по обеспечению информационной безопасности, а также контролировать, как выявленные риски документируются, принимаются и устраняются.

Не следует также полагать, что все подходы к регулированию рисков идеальны или просто разумны. Технологическому сектору необходимо избавиться от иллюзии, что только он сам способен понимать информационные технологии и их тонкости. Ему нужно больше делиться информацией об этих тонкостях с тем, чтобы топ-менеджмент и сотрудники службы управления рисками лучше разбирались в них.

Служба внутреннего аудита

CAE (Chief Audit Executive), директор по внутреннему аудиту

Деятельность службы внутреннего аудита очень важна как для служб ИБ и ИТ, так и для руководства компании. Для служб ИБ и ИТ это сторонний взгляд на проблемы ИТ-безопасности, сфокусированный на наиболее важных направлениях бизнес-деятельности компании. Для топ-менеджмента деятельность службы внутреннего аудита существенно экономит время и избавляет от рутинных процедур надзора.

Выявленные нарушения в ходе внутреннего аудита немедленно эскалируются "наверх", так как у службы внутреннего контроля традиционно налажены коммуникации с руководством компании. Все, что может иметь негативные последствия для компании, – штрафы, санкции, карательные меры со стороны регуляторов обсуждается с руководством, с целью выработки мер для предотвращения негативных последствий.

Но в деятельности внутреннего аудита есть и подводные камни. Для этой службы соблюдение реальных требований информационной безопасности может иметь меньший приоритет, чем соответствие отраслевым нормам и законодательству. У топ-менеджмента не должно возникнуть иллюзии контроля со стороны службы внутреннего аудита в отношении того, что соответствие стандартам защитит компанию от любых неприятностей. Тут важно не пренебрегать другими профилактическими мероприятиями, предлагаемыми всеми заинтересованными сторонами компании.

Юридическая служба

CLO (Chief Legal Officer), главный юрисконсульт, директор юридической службы

Директор юридической службы призван существенно влиять на убеждения и взгляды руководства компании, в том числе на стратегию.

Если специалисты юридической службы хорошо разбираются в законодательстве, связанном с защитой персональных данных, понимают основы технологий, знают надежные юридические практики из области соблюдения законодательства по информационной безопасности, то это может свидетельствовать о наличии в компании глубокой юридической экспертизы в технологиях безопасности.

Специалисты юридической службы играют ключевую роль в определении политики компании по обмену значимой информацией с госструктурами, они участвуют в судебных разбирательствах, их привлекают к оценке требований контролирующих органов, к оценке процедурных вопросов реагирования на проверки и расследования. Особо важную роль с точки зрения информационной безопасности играет юридическая служба при реагировании на утечки информации ограниченного доступа и персональных данных.

Общая безопасность (внутренняя безопасность, экономическая безопасность, служба режима)

CSO (Chief Security Officer), директор по обеспечению безопасности бизнеса, начальник службы безопасности

В современных компаниях организация физической безопасности обычно отдается на аутсорсинг, а служба безопасности чаще всего наделяется функционалом внутренней и/или экономической безопасности. Сотрудники службы безопасности проверяют послужной список кандидатов, пытаются выяснить негативные эпизоды в их биографии и другие моменты, важные с точки зрения надежности кандидата на должность в компании.

При расследовании инцидентов служба безопасности традиционно выходит на первый план. Служба ИБ предоставляет всю необходимую фактуру по проштрафившемуся сотруднику: логи, электронную переписку и прочее, а служба безопасности доводит расследование до логического конца.

Заключение

Перечисленные выше руководители подразделений нередко смотрят на проблемы обеспечения информационной безопасности по-разному, однако под управлением руководства компании они могут прийти к общему пониманию, которое будет определять стратегию безопасности в бизнес-деятельности компании.

Одним из ключевых условий сотрудничества большого числа участников является признание ролей, которые должна играть каждая группа в компании. На представителей топ-менеджмента ложится роль лидеров в этих процессах. Только у них есть полномочия определять, что важно для компании, а что нет.

Выше перечислены особенности участия в стратегии безопасности каждого из руководителей ключевых подразделений. Но есть одна область, в которой сходятся все усилия, – это реагирование на инциденты, связанные с информационной безопасностью. Разработка и применение продуманных, последовательных планов реагирования на инциденты – огромная задача, которая абсолютно необходима для успеха компании в борьбе с негативными событиями. Разработка таких планов – многопрофильный проект, в котором каждый из ключевых руководителей должен играть свою роль. При подготовке планов реагирования компания должна ответить на многие вопросы. Кто входит в команду реагирования? Кто возглавляет эту команду? В какой момент компания обязана сообщать о негативных событиях государственным или федеральным регулирующим органам? Какие соглашения и контракты необходимо иметь в случае, если инфраструктура компании будет неработоспособна? В соответствии с законами о конфиденциальности, трудовым законодательством или политиками компании обязано ли руководство уведомлять своих сотрудников, клиентов или акционеров? Кто несет ответственность за оплату возможных восстановительных работ, которые необходимо выполнить после окончания инцидента? И так далее.

Решение многих проблем информационной безопасности невозможно без компромисса между участниками. Топ-менеджмент не привык действовать по чужой указке, а регулирование со стороны неожиданно появившихся в компаниях технологических лидеров в лице ИТ- и ИБ-директоров часто ограничивает их свободу действий и ущемляет самолюбие. Но современные руководители, как правило, понимают скрытые технологические риски и при разработке стратегии безопасности опираются на широкий спектр мнений в компании.

Полная вовлеченность в деятельность компании сотрудников всех уровней способствует применению их знаний, навыков и способностей на благо организации. Только так можно выстроить стратегию безопасности современной компании.

Темы:УправлениеЖурнал "Информационная безопасность" №3, 2021

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2021
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

More...