Оценивая корпоративное управление современных компаний, нельзя не обратить внимание на очевидные проблемы с информационной безопасностью. Для решения этих проблем от топ-менеджмента требуется проведение инициатив, которые, с одной стороны, являются сложными, многосторонними и неочевидными, а с другой – предполагают вовлечение всех сотрудников компании, и прежде всего руководителей ряда ключевых подразделений. Об этом и пойдет речь в данной статье.
Автор: Валерий Естехин, эксперт по вопросам информационной безопасности, автор блога estekhin.blogspot.ru
Перечислим, пропуская руководителя службы ИБ, еще примерно семь различных руководящих должностей в компаниях, отвечающих в качестве основных исполнителей за операционную отказоустойчивость, безопасную инфраструктуру, правильное распределение ресурсов, репутационные риски, реагирование на инциденты и другие аспекты информационной безопасности:
Проанализируем возможные точки взаимодействия указанных подразделений, и прежде всего их руководителей, в разрезе информационной безопасности компании.
Руководство компании обеспечивает создание и поддержание внутренней среды, которая позволяет сотрудникам в полной мере участвовать в достижении стратегических целей компании. ИБ начинается с генерального директора и спускается вниз, охватывая весь персонал. Именно топ-менеджмент в ответе за создание строгой культуры безопасного поведения, и он лично должен показывать пример правильного отношения к требованиям информационной безопасности. Такой настрой руководства повлечет за собой активизацию диалога между теми, кто определяет культуру компании и требует соблюдения определенных правил, и теми, кто отвечает за бизнес-деятельность.
Сегодня бизнесу нужны внутренние лидеры, сочетающие хорошую осведомленность в передовых технологиях с широким кругозором. Важно, чтобы в компании была создана открытая обстановка, в которой поощряется не только информация об успехах, но и негативная информация о любых процессах. Создание атмосферы прозрачности – еще одна задача топ-менеджмента при выработке стратегии безопасности.
Информационная безопасность в значительной степени зависит от организационной структуры и корпоративной культуры компании, а роль директора по персоналу – одна из ключевых в обеспечении информационной безопасности.
В чем это выражается? Прежде всего в том, что такой руководитель должен принять на себя часть ответственности за нанимаемых компанией сотрудников. Причиной любого ИБ-инцидента может быть злой умысел или некомпетентность работника. Понимание повседневных интересов и мотивации нанимаемых сотрудников – важная составляющая работы кадровой службы.
Организации могут обращаться со своими сотрудниками по принципу "нанял-уволил". Но в этом случае не стоит рассчитывать на высокое качество персонала и хорошую репутацию на рынке труда. Управление наймом и уходом сотрудников с учетом возникающих рисков, связанных, например, с утечкой информации, является одним из наиболее важных вкладов кадровой службы в безопасность компании.
Еще одной значимой составляющей в работе кадровой службы является применение передовых программ обучения информационной безопасности и распространение их по всей организации.
Важна также роль кадровой службы в обеспечении этичности мер безопасности, применяемых компанией, согласовании ее задач, целей, интересов с задачами и целями работников. Эффективное корпоративное управление не может опираться на сотрудников, вынужденных действовать вопреки собственным интересам. Мониторинг действий сотрудников часто вызывает вопросы о доверии к персоналу. Кадровая служба понимает этическую подоплеку этих вопросов лучше всех и может дать совет топ-менеджменту и службе ИБ относительно того, сработают ли принимаемые политики безопасности и соответствуют ли они корпоративной культуре.
Для ИТ-директора важно, что информационная безопасность повышает стабильность и надежность ИТ-систем и это сказывается на операционной отказоустойчивости бизнес-процессов.
Что касается технических аспектов, то руководство компании в первую очередь обеспокоено перебоями в работе ИТ-систем или неудовлетворенностью сотрудников их использованием, поскольку эти системы поддерживают текущие бизнес-процессы и в той или иной степени обеспечивают бизнес-деятельность.
На протяжении жизненного цикла компании часто происходит так, что ИБ-команда приходит и через непродолжительное время уходит, а ИТ-команда остается на долгое время. Это является следствием стратегических приоритетов бизнеса, которые формировались с развитием и внедрением ИТ-технологий. Действительно, со службой ИТ зрелый бизнес живет уже плюс-минус 40 лет и привык следовать и доверять всему, что она говорит (все в компании в курсе: как 20 лет назад запустили ИТ-инфраструктуру, так до сих пор все худо-бедно работает). В случае смены ИТ-команды нужно будет заново разбираться, как работает устаревшая ИТ-система, как нетривиально осуществляется процесс обновления и т.д.
С ИБ бизнес знаком в лучшем случае последние 10–15 лет. И именно служба ИБ сообщает наверх о всех косяках ИТ: неисполнительности сотрудников (например, в вопросах смены паролей сетевых администраторов), наличии технических учетных записей в Active Directory, несвоевременном закрытии уязвимостей и пр.
В противостоянии ИБ-команды с "косяками" ИТ последние формально на стороне информационной безопасности, но по факту в реальном мире между службами существует непонимание, соперничество, явные или скрытые действия со стороны ИТ-инженеров ("гуру в ИТ"), привыкших самостоятельно устанавливать те или иные правила. В силах директора по информационным технологиям развернуть ситуацию в сторону осознания его сотрудниками важности информационной безопасности для устойчивости компании.
Одной из обязательных и постоянных стратегических задач компании должно быть непрерывное совершенствование. Идентификация рисков в контексте приоритетов бизнеса – одна из ключевых целей компании в сфере информационной безопасности.
Риск-менеджмент отслеживает все риски организации. Поэтому участие директора по управлению рисками в обеспечении информационной безопасности компании можно считать прямо вытекающим из его обязанностей.
Определение приоритетности рисков – не техническая задача. Это задача управления компанией. Директор по управлению рисками должен играть важную роль в разработке программы мероприятий по обеспечению информационной безопасности, а также контролировать, как выявленные риски документируются, принимаются и устраняются.
Не следует также полагать, что все подходы к регулированию рисков идеальны или просто разумны. Технологическому сектору необходимо избавиться от иллюзии, что только он сам способен понимать информационные технологии и их тонкости. Ему нужно больше делиться информацией об этих тонкостях с тем, чтобы топ-менеджмент и сотрудники службы управления рисками лучше разбирались в них.
Деятельность службы внутреннего аудита очень важна как для служб ИБ и ИТ, так и для руководства компании. Для служб ИБ и ИТ это сторонний взгляд на проблемы ИТ-безопасности, сфокусированный на наиболее важных направлениях бизнес-деятельности компании. Для топ-менеджмента деятельность службы внутреннего аудита существенно экономит время и избавляет от рутинных процедур надзора.
Выявленные нарушения в ходе внутреннего аудита немедленно эскалируются "наверх", так как у службы внутреннего контроля традиционно налажены коммуникации с руководством компании. Все, что может иметь негативные последствия для компании, – штрафы, санкции, карательные меры со стороны регуляторов обсуждается с руководством, с целью выработки мер для предотвращения негативных последствий.
Но в деятельности внутреннего аудита есть и подводные камни. Для этой службы соблюдение реальных требований информационной безопасности может иметь меньший приоритет, чем соответствие отраслевым нормам и законодательству. У топ-менеджмента не должно возникнуть иллюзии контроля со стороны службы внутреннего аудита в отношении того, что соответствие стандартам защитит компанию от любых неприятностей. Тут важно не пренебрегать другими профилактическими мероприятиями, предлагаемыми всеми заинтересованными сторонами компании.
Директор юридической службы призван существенно влиять на убеждения и взгляды руководства компании, в том числе на стратегию.
Если специалисты юридической службы хорошо разбираются в законодательстве, связанном с защитой персональных данных, понимают основы технологий, знают надежные юридические практики из области соблюдения законодательства по информационной безопасности, то это может свидетельствовать о наличии в компании глубокой юридической экспертизы в технологиях безопасности.
Специалисты юридической службы играют ключевую роль в определении политики компании по обмену значимой информацией с госструктурами, они участвуют в судебных разбирательствах, их привлекают к оценке требований контролирующих органов, к оценке процедурных вопросов реагирования на проверки и расследования. Особо важную роль с точки зрения информационной безопасности играет юридическая служба при реагировании на утечки информации ограниченного доступа и персональных данных.
В современных компаниях организация физической безопасности обычно отдается на аутсорсинг, а служба безопасности чаще всего наделяется функционалом внутренней и/или экономической безопасности. Сотрудники службы безопасности проверяют послужной список кандидатов, пытаются выяснить негативные эпизоды в их биографии и другие моменты, важные с точки зрения надежности кандидата на должность в компании.
При расследовании инцидентов служба безопасности традиционно выходит на первый план. Служба ИБ предоставляет всю необходимую фактуру по проштрафившемуся сотруднику: логи, электронную переписку и прочее, а служба безопасности доводит расследование до логического конца.
Перечисленные выше руководители подразделений нередко смотрят на проблемы обеспечения информационной безопасности по-разному, однако под управлением руководства компании они могут прийти к общему пониманию, которое будет определять стратегию безопасности в бизнес-деятельности компании.
Одним из ключевых условий сотрудничества большого числа участников является признание ролей, которые должна играть каждая группа в компании. На представителей топ-менеджмента ложится роль лидеров в этих процессах. Только у них есть полномочия определять, что важно для компании, а что нет.
Выше перечислены особенности участия в стратегии безопасности каждого из руководителей ключевых подразделений. Но есть одна область, в которой сходятся все усилия, – это реагирование на инциденты, связанные с информационной безопасностью. Разработка и применение продуманных, последовательных планов реагирования на инциденты – огромная задача, которая абсолютно необходима для успеха компании в борьбе с негативными событиями. Разработка таких планов – многопрофильный проект, в котором каждый из ключевых руководителей должен играть свою роль. При подготовке планов реагирования компания должна ответить на многие вопросы. Кто входит в команду реагирования? Кто возглавляет эту команду? В какой момент компания обязана сообщать о негативных событиях государственным или федеральным регулирующим органам? Какие соглашения и контракты необходимо иметь в случае, если инфраструктура компании будет неработоспособна? В соответствии с законами о конфиденциальности, трудовым законодательством или политиками компании обязано ли руководство уведомлять своих сотрудников, клиентов или акционеров? Кто несет ответственность за оплату возможных восстановительных работ, которые необходимо выполнить после окончания инцидента? И так далее.
Решение многих проблем информационной безопасности невозможно без компромисса между участниками. Топ-менеджмент не привык действовать по чужой указке, а регулирование со стороны неожиданно появившихся в компаниях технологических лидеров в лице ИТ- и ИБ-директоров часто ограничивает их свободу действий и ущемляет самолюбие. Но современные руководители, как правило, понимают скрытые технологические риски и при разработке стратегии безопасности опираются на широкий спектр мнений в компании.
Полная вовлеченность в деятельность компании сотрудников всех уровней способствует применению их знаний, навыков и способностей на благо организации. Только так можно выстроить стратегию безопасности современной компании.