Цифровая трансформация и вопросы информационной безопасности
Александр Степашкин, 07/08/19
Хочу рассказать о том, как цифровая трансформация помогает непосредственно нашей компании войти в эру цифровизации и решить вопросы информационной безопасности. Это означает, что механизмы контроля и защиты информации должны быть интегрированы во все бизнеспроцессы и составлять с информационной системой единое целое.
Всем понятен термин "цифровая трансформация": это использование современных технологий, таких как искусственный интеллект, Интернет вещей и др., для кардинального повышения производительности и ценности предприятия. Одним из основных элементов цифровой трансформации является атмосфера открытости в компании, где каждый может высказать свое мнение по тому или иному направлению развития, и, соответственно, в результате весь коллектив компании осознанно подойдет к решению того или иного вопроса. Мы также должны понимать, что цифровая трансформация – это необратимый процесс, который изменяет наше мышление, позволяет увидеть новые угрозы внешней среды, к которым нужно адаптироваться и принять новые решения по их нейтрализации.
Предпосылки внедрения
В нашей компании сложилось так, что информационные управляющие системы сконструировали наши специалисты, соответственно это были корпоративные системы, которые разрабатывались внутри общества и создавались под нужды общества. Система развивалась и в определенный период времени полностью удовлетворяла все потребности компании. Но со временем мы столкнулись с тем, что некоторые специалисты, стоявшие у истоков создания управленческой системы, ушли в другие компании или же начали заниматься иными проектами. Те люди, которые остались, не были полностью погружены в процессы, которые планировались при создании управленческой системы, и мы увидели, что то, что было сделано и применялось, не соответствовало требованиям времени. У нас появился некий информационный хаос, мы не могли полностью контролировать процесс движения и распространения информации, где и кто имеет к ней доступ. Этот процесс необходимо было урегулировать, и руководство компании пришло к пониманию, что нашу управленческую систему нужно менять. У компании по факту было три варианта для принятия решения:
- дорабатывать существующую информационную систему;
- выбрать новое решение, которое возможно частично интегрировать с существующими процессами;
- строить все заново.
Оценив все риски, было принято решение и выбран путь развития достаточно рациональный, направленный на внедрение нового решения с оглядкой на существующий опыт и процессы, так как имевшиеся наработки и решения не совсем подходили.
Цифровая трансформация – это:
- использование современных технологий для кардинального повышения производительности и ценности предприятий;
- создание атмосферы открытости как корпоративной культуры;
- необратимый процесс изменения образа мышления и скорости адаптации под новые реальности
Сделано на сегодняшний день
Мы пошли по рациональному пути, сменили команду, выбрали направление развития и в настоящее время интегрируем существующую управленческую систему на новые платформы, чтобы в последующем перейти полностью к новым продуктам. Очень сильно нам помогает Федеральный закон "О безопасности критической информационной инфраструктуры
Российской Федерации" от 26.07.2017 г. № 187-ФЗ, потому что он позволяет посмотреть на те элементы нашей информационной системы, на которые мы раньше не обращали внимание, оценить слабые места и взвешенно подойти к выбору того или иного продукта для обеспечения безопасности инфраструктуры. На уровне руководства принята программа клиентоцентричной трансформации, которая открывает возможности всем работникам поучаствовать в процессе изменения подхода нашей компании к обеспечению информационной безопасности.
Рациональный путь цифровой трансформации предполагает:
- внедрение систем управления информационной безопасностью и межсетевого экранирования Next-generation Firewall;
- внедрение сканера анализа уязвимостей информационных сетей;
- внедрение программного/программно-аппаратного комплекса обеспечения мониторинга защищенности промышленных сетей;
- создание операционного центра управления событиями информационной безопасности;
- создание и развитие корпоративной инфраструктуры открытых ключей (PKI)
При выбранном рациональном пути на фоне всех этих изменений мы используем современные технологии, в перспективе планируется внедрение системы контроля обеспечения информационной безопасности, внедрение сканера уязвимости информационных систем, программно-аппаратного комплекса обеспечения киберзащищенности и иных сервисов. Все это в совокупности поможет как нам, так и нашим работникам лучше понимать те процессы, которые у нас существуют, и упростит работу с информационными системами, не нарушая требований компании по информационной безопасности.
Планируемый итог
К чему мы хотим прийти по завершению этой большой работы? В течение двух-трех лет будет сформирован центр контроля событий информационной безопасности для получения прозрачных информационных потоков данных. Это поможет своевременно выявлять и анализировать те аномалии, которые могут формироваться в информационной системе. Мы также стремимся к повышению доступности услуг информационной безопасности, чтобы каждое подразделение могло достаточно простым путем найти ответы на возникающие вопросы.
Результаты, ожидаемые от цифровой трансформации:
- формирование и развитие операционного центра контроля и анализа событий информационной безопасности;
- прозрачные информационные потоки данных, доступных для анализа, выявления аномалии и реагирования на них;
- повышение качества и доступности услуг информационной безопасности;
- построение эшелонированной защиты периметра общества;
- повышение компетенции как работников информационной безопасности, так и рядовых пользователей
В результате всей этой работы у нас будет выстроена защита информационного периметра нашей компании, и все работники получат более высокие компетенции в использовании ряда сервисов для обеспечения сохранности
информации.