Безопасность требует согласованных действий

Как правило, у персонала ИТ-службы нет таких рычагов для контроля за деятельностью независимых компаний, какие имеются у руководства

Обсуждение вопросов информационной безопасности требует привлечения представителей высшего руководства компаний и руководителей их основных подразделений, при этом их участие должно быть действительно конструктивным.

С точки зрения долгосрочной перспективы ситуация с безопасностью ухудшается. На ИТ-службы ложится все больше ответственности, сильнее ощущается зависимость от других организаций, активизируются криминальные элементы, ширится автоматизация, повышается сложность, растет внимание со стороны регулирующих органов, увеличивается степень риска.

Было бы замечательно, если бы информационная безопасность требовала от людей лишь стратегического понимания возможных технических помех и финансирования необходимых для их устранения инструментов. Однако на практике для обеспечения безопасности требуется наличие не только специалистов и процедур, но и технологий. Иногда речь идет даже не об увеличении бюджета службы безопасности, а о финансировании вопросов, действительно критически важных для бизнеса, а также о соблюдении мер безопасности, необходимых при налаживании процедур контроля за изменениями, найма на работу, разработки программного обеспечения и управления отношениями с партнерами. При осуществлении закупок все это требует четкого взаимодействия между организациями.

Впрочем, быстрое изменение ИТ-среды — это еще не все. По мере вовлечения организации в процессы аутсорсинга, проведения офшорных работ и использования распределенных сетей партнеров число людей, которые потенциально могут получить доступ к внутренней информации, растет. Приложения и зона их действия становятся все более распределенными, организации приходится защищать все больше узлов и технологических компонентов, привлекая к этому все больше независимых компаний. Как правило, у персонала ИТ-службы нет таких рычагов для контроля за деятельностью внешних подрядчиков, какие имеются у высшего руководства предприятия.

Проведение согласованных действий диктует необходимость разграничения обязанностей, изменения подходов к управлению. Все это требует ролевого подхода к обеспечению безопасности, однако роли и процессы нужно определять и поддерживать одновременно как руководству, так и сотрудникам ИТ-службы. Вместо того чтобы заниматься поиском мифических наработок, упрощающих согласование, представителям бизнеса следует сосредоточиться на вопросах управления и организации процедур. Однако во многих организациях царит беспорядок, поскольку при всей технической оснащенности правила безопасности на всех ступенях иерархической лестницы не соблюдаются.

Но и рядовым сотрудникам вполне по силам поднять уровень важности обсуждаемых вопросов безопасности при более активном общении с начальством. «Капитанам» бизнеса не нужна подробная информация о вирусах и средствах обеспечения безопасности, но, принимая решения, они обязаны понимать возможные риски и необходимость проведения согласованных действий. Руководители должны определять роли, устанавливать контроль за деятельностью внешних подрядчиков и принимать участие в выработке требований к безопасности приложений. Если технически подготовленные сотрудники помогут руководителям понять, что от них нужно, и предоставят им для начала некоторые шаблонные схемы и свою поддержку, в этом направлении можно достигнуть существенного прогресса.