Быстрый рост компании таит в себе немало проблем с точки зрения ее информационной безопасности
Какие действия необходимо предпринять руководству компании, чтобы избежать различных финансовых и информационных потерь при быстром развитии или реорганизации информационной системы? Среди вопросов, которые требуют особого внимания, — текучесть «пользовательской аудитории», допуск в корпоративную информационную систему удаленных пользователей, а также технологические и административные проблемы объединения компаний, их информационных систем и коллективов, в том числе коллективов ИТ-служб.
Сценарий 1. Расширение
При слиянии компаний объединяются и их информационные системы с собственными средствами защиты, а также конфиденциальная информация, которая может стоить не меньше других активов. Возможны различные сценарии интеграции. Если компания приобретается, чтобы выйти на новый рынок, то, возможно, разумнее сохранить наработанные бизнес-процессы и защитные механизмы, а интеграцией заниматься на уровне политик и стандартов безопасности.
«В ряде случаев, — заметил Олег Гурин, руководитель направления информационной безопасности, департамент сетевой интеграции ЛАНИТ, — системы безопасности нельзя объединить из-за внешних требований: например, они находятся в разных государствах, подчиняются различным законам, противоречащим друг другу. Другой пример — предприятия из различных отраслей, в которых законодательством регламентированы стандарты информационной безопасности. Скажем, банкам законодательство предписывает иметь свою, изолированную информационную систему и систему управления информационной безопасностью».
Кроме того, при выходе на новые рынки и вообще при смене бизнес-модели компании придется изменить и внутренние процессы, что, возможно, потребует новых инструментов. Алексей Лукацкий, менеджер по развитию бизнеса Cisco, отмечает: «Внедрение ERP иногда приводит к тому, что специалисты по защите должны вначале разобраться в автоматизируемых бизнес-процессах, что существенно отличается от традиционной для них проблематики, связанной с установкой сетевых экранов, антивирусов, прочих защитных средств».
Сценарий 2. Поглощение
Если речь идет о расширении присутствия на известном рынке, то защитные механизмы стоит унифицировать. Однако при этом возможно сильное напряжение между сотрудниками двух отделов безопасности.
Алексей Доля, руководитель аналитического центра InfoWatch, вспоминает следующий случай из практики: «Сливаются два банка. Служба информационной безопасности одного из них больше не нужна. Весь отдел сокращают. Все по закону, каждый служащий получает компенсацию, но людям обидно. В результате база заемщиков их бывшего банка оказывается в Internet».
В любом случае не удастся обойтись без разработки единой политики безопасности и доступа для объединенной компании, а также приведения обоих систем к единому технологическому стандарту, который обеспечивал бы взаимодействие систем хотя бы на уровне данных.
«Если компании остаются относительно самостоятельными бизнес-единицами одного холдинга, — пояснил ситуацию Гурин, — достаточно гармонизировать процедуры верхнего уровня: анализ и управление рисками, стандарты и т. д., оставив технические средства без серьезных изменений. Если же слияние подразумевает более полную интеграцию, необходимо задуматься о перестройке всех уровней информационной безопасности».
Современные технологии обеспечивают информационную безопасность предприятия при быстром росте и структурных изменениях. Однако не следует забывать и о проверке лояльности новых сотрудников. «Очень актуальной может стать проблема ‘инсайдеров’, то есть специально внедренных сотрудников, работающих на конкурентов», — отмечает Алексей Чередниченко, технический консультант Symantec в России и СНГ. Увы, для решения этой проблемы, как и других подобных «человеческих» проблем, технологий не придумано, а потому наряду с внедрением новых инструментов необходимо не забыть о комплексе организационных и административных мер.
Безопасность «в сумме»
В объединенной компании нужно пройти полный цикл разработки политики безопасности, начиная с оценки активов, рисков и угроз. При этом стоимость проекта по разработке новой политики и ее внедрения должна быть включена в стоимость сделки. Алексей Лукацкий, менеджер по развитию бизнеса Cisco, отмечает: «Руководители отделов защиты информации начинают оценивать, во сколько обойдется унификация решений по безопасности уже после процесса подписания всех необходимых документов».
Таким образом, при слиянии компаний нужно предусмотреть процедуру передачи информационных активов под контроль службы безопасности нового предприятия. Для этого рекомендуется по возможности использовать сотрудников отдела информационной безопасности приобретаемой компании.
Учесть возможные риски и предпринять необходимые действия по их снижению позволяет наличие специальной службы управления рисками. Однако процесс слияния не всегда идет гладко. В частности, Алексей Воронцов, менеджер по развитию бизнеса Центра информационной безопасности компании «Инфосистемы Джет», отметил: «В случае быстрого роста предприятия у руководства, как правило, находятся ‘более важные задачи’, чем система управления информационной безопасностью, а рядовые сотрудники сильно загружены или напуганы происходящими изменениями. В результате оказывается, что заниматься ею просто некому».
При интенсивном росте или обновлении персонала проблемой становится обеспечение корректного доступа к корпоративным ресурсам. Следует позаботиться о том, чтобы на новых рабочих местах были установлены все защитные программы, которые «приняты на вооружение» в компании, а также о построении системы обновления программ на новых компьютерах и о защите от утечки конфиденциальной информации через съемные и беспроводные устройства. Для управления всем этим процессом целесообразно использовать комплексное решение для управления информационной безопасностью.
Не обойтись и без внедрения системы управления учетными записями пользователей. При росте числа ресурсов и числа пользователей, к которым последние должны получить доступ, возникает непростая задача конфигурирования определения прав доступа всех пользователей ко всем ресурсам. Нельзя допустить, чтобы пользователи в результате перестановок потеряли доступ к своим данным и приложениям. Одновременно необходимо обеспечить недоступность важных данных для тех, кому они не нужны.
По замечанию Олег Гурин, руководитель направления информационной безопасности, департамент сетевой интеграции ЛАНИТ, при росте числа пользователей и числа ресурсов количество связей растет квадратично: «При частой смене пользователей это становится весьма затратной задачей. Для ее решения разработаны продукты класса Single Sign-On, которые осуществляют централизованное управление правами доступа».
«В случае предоставления временного доступа сотрудникам сторонних организаций можно использовать технологию федеративного доступа, — отмечает Владислав Ершов, ведущий аналитик отдела информационной безопасности компании «Открытые технологии». — В этом случае доступ внешнего сотрудника к ресурсам предоставляется на основании доверия между системами управления доступом двух организаций».
В некоторых случаях часть задачи по организации управления доступом можно переложить на плечи самих пользователей. По заверениям Глеба Ладыженского, директора по технологиям Oracle СНГ, в продуктах компании реализована возможность самообслуживания пользователей: «Это позволяет ему самостоятельно запросить необходимые права и привилегии в системе с помощью Web-портала. В зависимости от настроек такой допуск может быть предоставлен автоматически или после утверждения соответствующими руководителями. Время предоставления доступа также можно настроить в зависимости от служебной необходимости».
«Необходима централизованная система управления доступом — связующее звено между пользователями, средствами аутентификации, приложениями информационной безопасности и политикой безопасности — так сформулировал общие требования к подобной системе Алексей Сабанов, коммерческий директор Aladdin. — Надежнее организовывать подобную систему на базе аппаратных электронных ключей, или токенов».