Почему предприниматели не заботятся о защите данных так же, как они привыкли заботиться о сохранности денег? Специалисты по защите должны знать о ней все, как бухгалтеры знают все о деньгах.
Это довольно странно, что представители двух подразделений, выполняющих фактически одну задачу — управлять и снижать бизнес-риски — прежде не координировали свои усилия |
Подобно финансовому директору, под руководством которого компания добивается высокого уровня и эффективности работы финансовых служб, директор службы безопасности должен координировать и совершенствовать организацию безопасного хранения и использования данных.
Защита корпоративной информации — не просто внедрение и использование набора технологий. Для организации защиты необходимо вникнуть в соответствующие физические, психологические и юридические вопросы, такие как вопросы обучения, стимуляции, поддержки и наказания. Организация защиты требует стратегического планирования, квалифицированного ведения переговоров и решения каждодневных задач. Только люди, имеющие превосходную деловую хватку и знания в области защиты, могут эффективно планировать соответствующие операции, внедрять разработанные правила и выбирать шаги, адекватные той или иной бизнес-задаче.
Должность директора службы безопасности (Chief Security Officer, CSO) впервые появилась на корпоративной арене в странах Северной Америки и Европы два года назад. Сейчас люди работают в этой должности в 200 организациях, однако спектр их служебных обязанностей, их подотчетность, квалификация, заработная плата существенно разнятся от одной организации к другой. И несмотря на то, что организации все чаще вводят у себя эту должность, в чем состоят задачи CSO так до конца и неясно.
Обязанности
Изменение архитектуры систем защиты и растущая важность мероприятий по обеспечению защиты делает должность директора службы безопасности все более актуальной. Большинство организаций, осваивающих приемы электронного бизнеса, признают важность повышенных мер безопасности. Однако никак нельзя согласиться с тем, что принятие решений, связанных со стратегическими бизнес-рисками, передается в руки администраторов информационных систем. В сферу компетенции специалистов информационных служб не входит оценка бизнес-рисков. Технические риски — другое дело. Но заниматься бизнес-рисками — это задача бизнес-менеджеров и руководителей, пользующихся услугами аудиторов и директоров службы безопасности.
Должность «директора» налагает определенные обязательства.
Только несколько компаний в странах Северной Америки включили должность директора службы безопасности в штатное расписание и заполнили соответствующую вакансию.
Поэтому можно ожидать, что компании будут либо отказываться называть так эту должность, и человек, выполняющий эти обязанности, будет именоваться как-то вроде «директора по управлению рисками», либо в уставах корпораций появится должность директора по защите информации.
Только что назначенному директору службы безопасности (или, как бы эта должность ни называлась) придется управлять технологиями, процессами, включаться во «внутриполитические» интриги и во взаимоотношения между людьми, добиваясь более высокого уровня защиты. Проведение мероприятий по обеспечению технической защиты и бизнес-потребностей, помощь бизнес-менеджерам в оценке их реальных потребностей в защите и переговоры с провайдерами услуг об обеспечении приемлемого уровня обслуживания — это только некоторые из задач главы компании по защите.
Прежде всего, новому директору службы безопасности предстоит убедиться, что безопасность воспринимается во всей организации одинаково серьезно, а ответственность за ее обеспечение несут все сотрудники. В качестве первого шага новый директор должен оценить существующие наборы правил и процедуры обеспечения безопасности, установить, какие из них работают, а какие нет, и на основании этого наметить план действий. Прояснив для себя положение, директор службы безопасности должен проинформировать коллег и акционеров, объяснив последним, почему необходимы новые правила, сопоставляя новые метрики со старыми.
Внимание — на сочетание методов защиты
Конечно, это довольно странно, что представители двух подразделений, выполняющих фактически одну задачу — управлять и снижать бизнес-риски — прежде не координировали свои усилия. Впрочем, достаточно уже того, что в одной компании действуют два подразделения, отвечающие за защиту.
С исторической точки зрения, это понятно: обеспечение физической защиты требует знания других технологий и другого опыта, нежели защита информации.
Но среди руководителей компаний наметилась тенденция рассматривать управление рисками как бизнес-процесс. Следовательно, бизнес-процесс обеспечения защиты, очевидно, теряет в эффективности, так как разбивается на два.
Прежде бизнес-менеджеры «низводили» управление техническими рисками до уровня компетенции специализированных ИТ-групп и групп обеспечения корпоративной безопасности. Сотрудники охраны отвечали за безопасность служащих, предотвращение преступлений и управление физическими рисками.
Аналогично персонал, отвечавший за ИТ-безопасность, преследовал свои собственные интересы, такие как защита логического периметра (межсетевые экраны и так далее), управление паролями, предотвращение атак хакеров и защита Web-сайтов.
Но теперь защита все чаще упоминается как элемент ценности бизнеса и бизнес-процессов.
Например, обеспечение гарантий на случай стихийных и техногенных бедствий, предотвращение промышленного шпионажа и защита от кибертерроризма затрагивают компанию в целом — ее акционеров, сотрудников и оба подразделения, отвечающие за защиту.
Подотчетность
Директор службы безопасности может быть подотчетен либо директору информационной службы, что обычно и происходит в крупных и средних организациях, делающих акцент на технических мерах, снижающих угрозы технического порядка, либо финансовому ди-ректору или другим бизнес-руководителям, что характерно для очень больших компаний или компаний, в работе которых допускается минимальный уровень бизнес-рисков и где защита является общей функцией ИТ и предприятия в целом.
Директор службы безопасности может участвовать в работе советов высшего руководства или в аналогичных мероприятиях. Директор службы безопасности должен быть непосредственным или косвенным руководителем всех сотрудников корпорации, отвечающих за обеспечение безопасности или защиту информации.
Интересно, но невозможность выявить четкой тенденции, когда ответственный за защиту в организации занимает более высокое положение, нежели директор информационной службы, подотчетен директору информационной службы или руководителям, стоящим несколькими ступеньками ниже директора по информационной службе в иерархии компании. Чаще всего это связано с особенностями корпоративной культуры. Иногда сотрудник занимает пост директора по защите информации, но служебные его обязанности соответствуют более низкому уровню служебной иерархии.
Исторически сложилось, что в компаниях понимают важность независимости для аудиторов, но к директорам службы безопасности эта логика почему-то не применяется. По тем же причинам — в основном для избежания конфликта интересов — директора службы безопасности (несмотря на то, что в сферу их деятельности входят в основном компьютеры) не должны находиться в подчинении у директоров информационной службы.
Есть, однако, и другое мнение. Роли руководителя охраны и менеджера по защите информации могут не совпадать в тех случаях, когда риски, характерные для двух этих подразделений, связаны с различными причинами. Например, для компании розничной торговли среднего размера может оказаться необоснованным объединение двух групп защиты, поскольку в охране речь идет в основном о защите от потерь, а информационный отдел занят обработкой транзакций. В этом случае промышленный шпионаж полностью входит в компетенцию охраны. Крупная розничная компания может стать жертвой шпионажа на уровне управления торговыми площадями, кроме того, злоумышленники могут разрушить ее маркетинговые стратегии, планы в отношении предложения продуктов, и так далее.
Многие директора информационных служб справедливо считают, что играют роль связующего звена между ИТ и бизнес-подразделениями компании. В результате они не видят необходимости в еще одном руководителе — директоре службы безопасности. Защита информации представляется им только как одна из задач в их информационном отделе, и из-за возникающего при этом дублирования функций может уменьшиться число контролируемых директором информационной службы направлений в его подразделении и вне его.
Заключение
Защита становится критически важной службой для всей организации, и, следовательно, растет важность роли руководителя операций по защите. Новые лидеры, отвечающие за безопасность, должны подчиняться не только директорам информационной службы. Они отвечают за повышение эффективности бизнес-операций и за внедрение экономичных процедур управления рисками. Эти улучшения, отражающиеся на финансовых показателях компании, воплощаются на практике лучше всего, когда защита считается в компании полноправным бизнес-процессом, и один человек координирует различные процессы управления рисками.
Знание — сила
Навыки организации физической защиты плюс короткое знакомство с языком информационных технологий и вопросами, связанными с информацией, отличают идеального директора службы безопасности. Практика показывает, что директор службы безопасности должен иметь:
Степень бакалавра или эквивалентный опыт работы.
Отличные навыки общения, составления документов и публичных выступлений.
Умение взаимодействовать с руководителями высшего звена, а также умение ориентироваться в несхожих между собой культурах: корпоративной и культуре ИТ-защиты.
Глубокое знание основных принципов защиты (таких как аутентификация, аудит, блокировка доступ, управление рисками и т.д.).
Опыт в данной области от 8 до 10 лет. Минимальный опыт работы по обеспечению защиты в руководящей должности.
Способность приходить к соглашению в сочетании с настойчивостью в достижении целей.
Опыт работы по обеспечению защиты на базе Internet.
Способность относиться к работе, исходя из интересов бизнеса.
Опыт в области обслуживания клиентов.
опыт Тестирования систем на предмет уязвимости в дополнение к тестированию на возможность проникновения.
опыт Разработки правил обеспечения защиты как проблемы, которую решают люди, в противоположность к подходу к ней как к проблеме, которая решается техническими средствами.
Знание основанных на стандартах архитектур, понимание способов их использования, включая мониторинг на совместимость и правомерность.
сертификаты Certified Protection Professional (CPP), Certified Information Systems Auditor (CISA) или Certification for the Information Systems Security Professional (CISSP).