Подписка
МЕНЮ
Подписка

Для чего нужна информационная безопасность компании и как убедить в этом руководителя?

13/10/2022

Для поддержания информационной безопасности в компании на должном уровне нужно, чтобы руководитель понимал суть и важность данных процессов. Постараюсь обобщить свой опыт и рассказать, что для этого нужно делать.

Импортозамещение в ИТ-сфере:  обзор продуктов отечественного производства

Часто работники сферы информационной безопасности сталкиваются с недопониманием со стороны руководства, которое не заинтересовано в том, чтобы закладывать в бюджет большие суммы на профилактические меры по информационной безопасности (ИБ). Многие руководители не видят смысла в расширении штата отдела ИБ, так как, по их мнению, если в штате уже присутствует офицер или менеджер по информационной безопасности, все риски этой сферы закроются сами собой и ничего больше предпринимать не нужно.

Если смотреть на данный вопрос с такой точки зрения, поддерживать информационную безопасность в вашей компании на должном уровне будет невозможно. Руководитель в первую очередь должен понимать, для чего ему отдел информационной безопасности и какие результаты он хочет видеть по итогам работы. И это должны быть не абстрактные понятия вроде "все должно работать и ничего не должно утекать", а принятие перечня согласованных мер, которые необходимо выполнить в установленные сроки. Видов угроз – масса, а их приоритет для каждой компании индивидуальный.

Как представить итоги работы по информационной безопасности руководству? Чтобы решить этот вопрос, необходимо в первую очередь довести до руководства простой факт того, что неуязвимых систем не существует. Невозможно защититься от всего, и основная цель отдела информационной безопасности вашей компании – это снижение найденных рисков возникновения инцидентов до минимального уровня.

Для этого необходимо в первую очередь идентифицировать риски, проведя аудит информационной безопасности. Он может быть проведен как самостоятельно сотрудниками отдела информационной безопасности, так и внешней компанией, предоставляющей подобные услуги. По итогам аудитов необходимо составить план работ (дорожную карту) по повышению уровня защищенности вашей компании либо поддержанию ее на должном уровне. Данный план в обязательном порядке должен быть согласован с руководством компании, после чего по выполненным работам и статистическим данным об инцидентах в течение года будет составляться отчет о работе отдела.

Хочется отметить, что закрытие плана работ по информационной безопасности, разбор штатных инцидентов и аварийных ситуаций могут быть недостаточными для некоторых руководителей. Технические ошибки в ходе процесса разработки, массовые DDoS-атаки беспрецедентного характера, которые никаким образом нельзя протестировать, а также принятые ранее риски могут вновь спровоцировать инциденты ИБ, которые могут быть приравнены к халатности со стороны отдела информационной безопасности. В данном случае рекомендуется позаботится о следующем:

  • документально распределить ответственность за различные технические средства компании (чтобы сотрудники ИБ не отвечали за технические ошибки систем, так как это ответственность системных администраторов компании);
  • составлять протокол или акт по принятым рискам ИБ в компании, чтобы в случае наступления инцидента, который можно было предотвратить, ответственность брали на себя сотрудники того департамента, которые выступали за принятие данного риска;
  • грамотно составить и согласовать план реагирования на инциденты и придерживаться его в случае возникновения. Здесь важно понимать, что угрозы были локализованы, изолированы и устранены в установленный срок. В противном случае руководство будет сложно убедить в эффективности мероприятий по устранению рисков со стороны отдела информационной безопасности.

Надеюсь, что описанные выше меры помогут сложить правильное мнение руководства о работе вашего отдела информационной безопасности и укрепить уверенность в правильности вашего подхода к работе.

Денис Богданов, ВЭББАНКИР

 

 

 

Денис Богданов

Независимый эксперт по информационной безопасности

Рынок физической безопасности. Экспертиза. Исследования. Обзоры

Темы:Информационная безопасностьЖурнал "Системы безопасности" №5/2022