От того, как будет построена служба информационной безопасности в компании, зависит эффективность ее работы. В условиях кризиса и обострения конкуренции, когда вопросы сохранности и защиты информации выходят на первый план, вклад этой службы в процесс упр
Начавшийся кризис активизировал борьбу с операционными издержками, инвестиционные программы подверглись пересмотру, что, безусловно, является фактом положительным. Кризис — хорошая возможность остановиться и внимательно посмотреть на операционную деятельность, ее отдельные направления, в том числе и организацию информационной безопасности (ИБ).
В разных отраслях подразделения ИТ пострадали неодинаково. В некоторых сегментах рынка сокращений ИТ-специалистов практически не было, другие, например сырьевые компании, понесли серьезные потери. Следует ли ожидать сокращения в подразделениях информационной безопасности?
По прогнозам аналитиков, именно услуги по информационной безопасности будут особенно востребованы как в ближайшей, так и в отдаленной перспективе.
Риски возрастают
При массовых сокращениях на улице оказывается большое количество специалистов по информационной безопасности. Времена тяжелые, и не все уволенные даже имеют выходное пособие. Бывшие сотрудники достаточно хорошо осведомлены о деятельности организации, об обрабатываемых данных, технологиях и о многом другом, касающемся ее бизнеса. Не усилится ли риск нарушения информационной безопасности, не увеличится ли количество инцидентов, не станут ли компании набирать на работу бывших сотрудников своих конкурентов?
Очевидно, что кризис — одна из возможностей доказать бизнесу свою значимость, поэтому внутренняя конкуренция за различные направления деятельности — в том числе и за расходные части бюджетов — в организациях будет обостряться. Один из ярких примеров — трения между ИТ-департаментом и службой экономической безопасности, касающиеся обеспечения информационной безопасности, при этом отношение к ней со стороны бизнеса весьма серьезное, так как потенциальные риски, связанные с ее нарушением, значительно выше, чем риски, связанные с ИТ-деятельностью.
Проанализируем тактику подразделения информационной безопасности в зависимости от занимаемого места в организационной структуре компании.
Подразделение ИТ-департамента
В большинстве случаев отдел по информационной безопасности входит в состав ИТ-департамента — это классическая структура. Она характерна для организаций, в которых вопрос обеспечения информационной безопасности только начинает обсуждаться. Это связано с тем, что деятельность подразделения информационной безопасности в первую очередь направлена на эксплуатацию и поддержку средств защиты, причем основных — межсетевых экранов, антивирусных систем и т.п.
В соответствии с многочисленными рекомендациями, в том числе Gartner Research, необходимо выводить подразделение информационной безопасности из структуры ИТ-департамента. Дело в том, что директор по информационным технологиям или автоматизации (CIO) и руководитель подразделения информационной безопасности (CISO) имеют разные интересы, которые могут находиться в конфликте. CIO отвечает за работоспособность и оперативность ИТ-поддержки бизнеса. CISO заботится о ее целостности и безопасности с точки зрения минимизации рисков. Организации приходится находить баланс между стремлением к наиболее быстрым способам доставки, обработки и хранения информации и «помехами», создаваемыми мероприятиями дополнительного контроля со стороны ИБ-департамента. Поэтому, в соответствии с рекомендациями, CIO и CISO должны быть независимыми друг от друга и подчиняться на равных правах первому лицу компании.
Итак, если «парадом командует» ИТ-директор, целесообразно, чтобы один сотрудник совмещал функции менеджера по информационной безопасности и администратора основных информационных систем. Таким образом, этот сотрудник становится ключевым в ИТ-департаменте. Следующей задачей развития системы информационной безопасности станет построение ее комплексной архитектуры, основных процессов системы управления ИБ, расширение должностных обязанностей менеджера, демонстрация задач по обеспечению информационной безопасности как стратегически важных для организации. Если менеджер сможет показать сложность системы информационной безопасности, комплексный характер обеспечения информационной безопасности, необходимость интеграции со смежными областями (физической и экономической безопасностью), то появляется возможность перевода подразделения информационной безопасности в состав подразделения безопасности.
В составе департамента экономической безопасности
Достаточно распространена схема (особенно часто она используются в крупных коммерческих организациях), когда отдел информационной безопасности входит в состав департамента экономической безопасности. При этом за внедрение и эксплуатацию технических средств обеспечения информационной безопасности отвечает ИТ-департамент, а за мониторинг, аудит, управление доступом — подразделение информационной безопасности.
К тактическим задачам подразделения информационной безопасности, перечисленным выше, добавляется построение и поддержка систем защиты от инсайдеров: различные службы цензуры, мониторинга деятельности сотрудников, борьбы с мошенничеством, что становится особо актуальным во время кризиса. В этом случае подразделению информационной безопасности целесообразно было бы участвовать, например, в построении систем закупок и борьбы с коррупцией (в том числе систем электронных тендерных комитетов) и т.д. Таким образом, подразделение из просто технического, операционного превращается в подразделение, отвечающее за «чистоту рядов» компании.
Прямое подчинение финансовому директору
В случае, когда отдел информационной безопасности подчиняется непосредственно финансовому директору, стоит уделить особое внимание аудитам информационной безопасности и согласовывать свою деятельность с подразделением внутреннего ИТ-аудита, чтобы успешно пройти проверку на соответствие различным требованиям, например закону Сарбейнса—Оксли. Если подразделения внутреннего ИТ-аудита в компании нет, то служба информационной безопасности может стать родоначальником такой структуры. Особое внимание тогда стоит уделить обеспечению непрерывности бизнеса.
Прямое подчинение генеральному директору
И, наконец, лучше всего — когда подразделение, обеспечивающее информационную безопасность, подчиняется напрямую генеральному директору организации, который имеет непосредственное влияние на формирование систем контроля и отношения к риску. В этом случае отдел информационной безопасности располагает собственным бюджетом, в организации функционирует комитет по обеспечению информационной безопасности на регулярной основе и т.д. Кроме того, подразделение напрямую обеспечивает высший менеджмент регулярными обзорами состояния информационной безопасности, отчетами о внедрении политики безопасности, участвует вместе с топ-менеджментом в управлении кризисами или нештатными ситуациями в(в случае возникновения таковых), обеспечивает информационную поддержку принятия решений топ-менеджерами по вопросам технических модернизаций, имеющих отношение к сфере информационной безопасности.
Единственное, что можно рекомендовать — говорить с бизнесом на его языке, например вести каталог услуг по обеспечению информационной безопасности, предлагать SLA в тех случаях, когда это возможно, особое внимание уделять количественному анализу рисков и т.д.
Все не так плохо
Учитывая, что кризис пришелся на период формирования бюджета будущего года, данная ситуация может стать удобным случаем для пересмотра стратегии в области обеспечения информационной безопасности, в том числе схемы распределения полномочий и должностных обязанностей, ресурсов, модификации системы управления — принципов и механизмов принятия решений, прохождения информации, планирования, контроля, системы мотивации и т.д.
Кризис способствует концентрации на реально необходимых действиях по обеспечению информационной безопасности. Меняются направления деятельности ИБ-отдела, по-иному начинают решаться вопросы взаимодействия с другими подразделениями, бюджетирования, выработки отношения к рискам, пересматриваются портфели проектов компании.
Успешное решение всех этих задач может дать импульс к следующему витку развития. Ведь вслед за кризисом всегда наступает новый этап развития.
Андрей Голов — руководитель направления информационной безопасности компании Energy Consulting / Integration; golov_a@ec-group.ru