Network World, США
Предприятиям необходимо переложить ответственность за информацию на сотрудников своих бизнес-подразделений
Приоритет в сфере защиты корпоративных сетей переносится с защиты инфраструктуры на обеспечение безопасности данных, и это требует нестандартных маркетинговых шагов со стороны руководства предприятий. Таково мнение участников недавней конференции Forrester Research Security Conference.
Информационная безопасность — исключительно важный вопрос для компании Diageo, владельца Smirnoffs, Guinness, Bailey?s и других брэндов алкогольных напитков. Компания подготовила для своих сотрудников видеоролики, в которых объясняется необходимость защиты данных внутри самого предприятия. Об этом в своем выступлении на конференции рассказала Клаудиа Наденсон, директор по информационным системам компании.
Проводя семинары, в Diageo стараются адаптировать их к культуре тех филиалов, в которых проводится обучение. Скажем, на Ямайке, где компании принадлежит торговая марка пива Red Stripe, занятия проводились во время пляжных вечеринок под громкую музыку. Сотрудники же в Великобритании предпочитают «выставочную» атмосферу, когда их водят от стенда к стенду, у которых преподаватель дает краткие комментарии.
Информация о проблемах с информационной безопасностью может негативно сказаться на имидже корпоративных брэндов, поэтому, по мнению Наденсон, крайне важно не допускать появления дыр в системы защиты. Поскольку их могут «устроить» сотрудники бизнес-подразделений, которые не уделяют должного внимания защите, крайне необходимо, чтобы они поняли важность проводимой политики обеспечения безопасности.
«Необходимо правильно установить приоритеты: прежде всего, мы должны защищать данные, а не инфраструктуру», — считает Пол Стемп, аналитик компании Forrester. По его мнению, бизнес-подразделения должны взять на себя ответственность за защиту данных, которые они порождают и контролируют.
«ИТ-специалисты хранят данные, но не владеют ими, — подчеркнул Стемп. — Нам необходимо переложить ответственность за информацию на сотрудников бизнес-подразделений».
Для этого, по словам Наденсон, финансовый, маркетинговый и кадровый отделы, а также другие бизнес-подразделения должны осознать значимость защиты ИТ как средства, поддерживающего их работу, а не препятствующего использованию потенциально полезных ИТ-инструментов.
Наденсон предлагает встретиться с руководителями подразделений и в первую очередь выяснить их приоритеты в бизнесе, а затем представить информационную безопасность как важный элемент, который необходимо интегрировать в новые проекты, разрабатываемые этими подразделениями. Такие встречи должны проводиться постоянно.
«Речь идет о том, чтобы превратить информационную безопасность в неотъемлемый компонент корпоративной культуры», — подчеркнула она.
Кроме того, руководители ИТ-отделов должны располагать количественными оценками эффективности мер по пропаганде идей информационной безопасности внутри компании.
«Нужно знать, сколько человек прошли соответствующее обучение, и как после этого изменилась их работа», — пояснила Наденсон.
За те два года, что Наденсон работает в Diageo, в компании значительно сократилось количество корпоративных мобильных компьютеров, которые выносят за стены офиса. Это было сделано для того, чтобы снизить риск утечки такой важной информации, как прогнозируемые доходы или данные о рекламной кампании нового напитка.
Наденсон также считает, что деньги на эти цели должны выделяться из бюджетов бизнес-подразделений или из корпоративных средств.