Computerworld, США
В марте и апреле 2005 года компания PricewaterhouseCoopers и журнал CIO Magazine провели опрос, в котором приняли участие 8200 специалистов по ИТ и проблемам безопасности из 63 стран. Согласно полученным данным, 53% организаций на том или ином уровне поддерживают взаимодействие между отделами физической и информационной безопасности. В 2003 году таких было всего 29%
Служба физической безопасности и группа защиты информации одной компании могут отличаться друг от друга, как Дж. Эдгар Гувер отличается от Билла Гейтса. В службе безопасности чаще всего работают бывшие сотрудники правоохранительных органов, которые, как правило, находятся в подчинении юридического отдела, а также служб, отвечающих за выполнение требований законодательства и управления рисками. А группы защиты информации по большей части состоят из технических специалистов, работающих в ИТ-подразделении. Служба безопасности, или физической защиты, как правило, сосредоточивается на трех G — guards («охрана»), guns («оружие») и gates («входы и выходы»), в то время как группы логической защиты обычно специализируются на защите информационных систем.
В некоторых компаниях (хотя таких крайне мало) эти два подразделения объединены в общую структуру, но в большинстве организаций они абсолютно независимы. Руководители компаний начинают осознавать, насколько важно, чтобы эти группы работали совместно, руководствуясь одними и теми же тактическими задачами, такими как предотвращение убытков в компаниях розничной торговли или использование карточных систем для контроля доступа персонала в различные подразделения организации.
«Многие признают, что эти два подразделения не могут действовать порознь», — подчеркнула Энн Роджерс, вице-президент по маркетингу ассоциации Information Systems Security Association (ISSA), некоммерческой международной организации, объединяющей специалистов по защите информации.
Различные миры
Несмотря на все преимущества, которые дают совместные действия всех отделов, занимающихся вопросами безопасности, предстоит преодолеть серьезные проблемы, которые порождает различие культур. Например, ИТ-специалисты, как правило, с энтузиазмом устанавливают новые системы, чтобы понять, как их лучше всего использовать в своей работе, а специалисты по физической защите обычно более сдержанно относятся к новым технологиям. Как заметил Стив Хант, глава консалтинговой фирмы 4A International, специализирующейся на вопросах защиты, в силу этих различий обе группы по-разному оценивают и внедряют технологии защиты.
Еще одна проблема связана с оплатой труда. По словам Ханта, при наличии 20-летнего стажа, директор по безопасности компании, входящей в список Fortune 500, зарабатывает примерно 60 тыс. долл. в год, в то время как ИТ-руководитель той же самой фирмы, обладая гораздо меньшим опытом работы, нередко получает вдвое больше.
Борьба за разделение полномочий вместо сотрудничества может привести к еще большей изоляции.
«Самое плохое, что может произойти, — это когда сотрудники разных групп не допускают друг друга к решению проблемы, заявляя, что она относится к их компетенции и они будут все решать сами», — заметил Джон Миллер, президент компании InfraGard Long Island Members Alliance. Эта компания принимает участие в реализации инициативы по защите от киберпреступлений, начатой ФБР в 2001 году с целью улучшить взаимодействие между федеральными правоохранительными органами и частным сектором.
Еще одна проблема — пробелы в образовании. К примеру, как пояснил президент ISSA и директор по защите информации Washington Mutual Дейв Куллинен, охранники не понимают, насколько важно отключать оставленные включенными и без внимания пользователей ПК.
Несмотря на имеющиеся трудности, в ведущих компаниях уже прилагают серьезные усилия для того, чтобы обеспечить взаимодействие всех подразделений безопасности и наладить между ними сотрудничество.
«Одни организации не осознают необходимости такого объединения. Другие предпринимают для этого все необходимые шаги», — подчеркнул Виш Ганпати, старший компаньон фирмы Booz Allen & Hamilton по вопросам корпоративной безопасности.
Ганпати приводит в качестве примера фармацевтическую компанию, в которой ИТ-подразделение принялось развертывать виртуальную частную сеть с персонифицированным доступом, а отдел безопасности — внедрять систему идентификации по смарт-картам. После того как выяснилось, что обе группы на содержательном уровне во многом дублируют друг друга, они стали работать совместно и снизили общие затраты на 15%. Это произвело впечатление на генерального директора.
Группы физической и информационной безопасности тесно сотрудничают и в Bank of America. Здесь, как заметил Даг Смит, директор банка по защите корпоративной информации и вопросам обеспечения непрерывности бизнеса, принцип совместной деятельности настолько глубоко проник в корпоративную культуру, что сотрудничество между подразделениями не требует структурного оформления.
Яркий пример такого рода совместной работы — сотрудничество между подразделениями банка по защите информации и его внутренними и внешними аудиторами при работе, связанной с обнаружением достаточно известной аферы с так называемыми «нигерийскими письмами». Во время большинства расследований, проводимых властями, отдел корпоративной безопасности банка проводит свое выяснение обстоятельств дела, а также соответствующие опросы и необходимый анализ. Но когда преступление совершается с использованием электронной почты, в проведении таких расследований им помогает группа информационной безопасности.
Каждая конкретная ситуация имеет свои особенности, однако группа информационной безопасности, например, может изучить сетевую активность для того, чтобы помочь в расследовании преступления.
«Главное заключается в том, чтобы эти усилия были не хаотичны, а тщательно координировались», — подчеркнул Нейл Галлахер, директор Bank of America по вопросам внутренней безопасности. И это сотрудничество является результатом договоренности между менеджерами всех групп, а не следствием приказа по корпорации.
Совместной работе способствует и разнообразие навыков, которыми обладают сотрудники обеих групп. В отделе физической безопасности Bank of America есть немало специалистов с техническим образованием, а некоторые сотрудники группы защиты информации раньше работали в спецслужбах и других органах государственной безопасности.
Компания Waste Management, занимающаяся вывозом мусора, начала объединять свои группы безопасности и защиты информации три года назад. Основной целью такой интеграции был контроль систем противопожарной безопасности, охранной сигнализации, доступа в подразделения и цифровой видеозаписи. Теперь вместо того, чтобы платить охранным фирмам за мониторинг систем противопожарной безопасности и охранной сигнализации, Waste Management делает это усилиями своих сотрудников. Как заметила Роджерс, которая помимо своей работы в ISSA является директором Waste Management по защите информации, за первый год компании удалось сэкономить полмиллиона долларов.
Благодаря тому что мониторинг цифровых видеосистем ведут сотрудники самой компании, Waste Management удалось сократить и другие затраты, а также и увеличить эффективность бизнес-операций. Контроль экстренных ситуаций с помощью видео, например, может уберечь Waste Management от штрафов, которые приходится платить компании в случае ложного вызова пожарных и полиции.
Объединение работы двух групп помогло связать видеосистему компании с автоматической системой, которая в Waste Management организована как система POS-терминалов. Пустые грузовики взвешиваются на мусорной свалке и на транзитных станциях, а счета выставляются с учетом веса груза. Эти операции выполняются в рамках систем генерации счетов и доходов компании Waste Management. Корпоративная видеосистема записывает изображения грузовиков, так что фирма может отслеживать номера машин, определять тип грузовика и видеть содержимое каждого из них.
«Мы объединяем данные о транзакциях с цифровыми изображениями грузовика и храним их вместе», — сказала Роджерс. Это помогает снизить затраты на хранение данных, а благодаря сетевому доступу к системам цифрового видео снижаются время и затраты, требуемые для контроля операций с помощью камер.
В розничной торговле результат объединения отделов физической и информационной безопасности наиболее заметен при решении задачи предотвращения убытков. Для этого, как отмечает Стив Стоун, ИТ-директор компании Lowe?s Companies, некоторые торговые фирмы используют электронные ярлыки (включающие сигнал тревоги, если ярлык не был должным образом деактивирован) и планируют перейти на тэги радиочастотной идентификации.
Стоун приводит этот пример, чтобы показать, как системы физической и информационной безопасности могут дополнять друг друга. Группа ИТ в Lowe?s готовит серию отчетов, которые позволяют оценить ситуацию в торговых точках. Если менеджеры выявляют какие-либо признаки должностных преступлений в любом из магазинов, они могут использовать установленные там камеры для поиска доказательств, поскольку данные POS-терминалов имеют отметку времени.
Однако в некоторых компаниях сотрудничество между отделами пока осуществляется лишь на простейшем уровне. В прошлом году С.Уоррен Аксельрод, директор по глобальной защите информации компании Pershing, предоставляющей услуги инвестиционным банкам, занимался перевозкой архивных лент с корпоративной информацией во внешнее хранилище. Он заручился поддержкой отдела безопасности для того, чтобы обеспечить физическую защиту этих лент во время транспортировки.
Но Аксельрод, как и многие его коллеги, признает, что для объединения отделов защиты предстоит сделать еще немало.
«Сейчас эти подразделения оказывают друг другу помощь и обмениваются информацией, — заметил он. — Но большую часть времени мы занимаемся совершенно разными вещами».
Конвергенция безопасности: выполнение требований
По мнению экспертов, требования законов, таких как акт Сарбейнса—Оксли, вынуждает отделы физической и информационной безопасности более тесно работать друг с другом.
Так, например, считает Крис Пик, вице-президент по корпоративной стратегии компании NetIQ, занимающейся поставкой интегрированных систем и инструментальных средств управления безопасностью. По его словам в соответствии с актом Сарбейнса—Оксли, руководители акционерных компаний должны проводить проверку и физической, и логической защиты в центрах обработки данных, где хранится и обрабатывается критически важная финансовая информация.
Еще один закон, который может помочь американским компаниям в поддержке взаимодействия разных подразделений безопасности, — это акт Грэма—Лича—Блилей, требующий, чтобы фирмы, предоставляющие финансовые услуги, уведомляли своих клиентов в случае любых нарушений защиты клиентской информации. По мнению Дейва Куллинена, президента Information Systems Security Association, данный закон заставляет группы физической и логической защиты в банках, брокерских конторах и страховых компаниях более тесно работать друг с другом в целях обеспечения защиты частной собственности, будь то предотвращение кражи ноутбука с информацией клиента или защита от хакера, получившего доступ к критически важным данным.
Однако если одни менеджеры по защите признают связь между выполнением требований законодательства и объединением отделов, то другие эту связь отрицают.
«Я не считаю, что законодательство способствует изменениям в стиле работы этих двух подразделений», — заявил партнер компании PricewaterhouseCoopers Марк Лобел.
По-видимому, насколько законодательные требования стимулируют объединение отделов безопасности, руководство каждой из компаний решает индивидуально. Например, в Waste Management, как заметила директор по защите информации Энн Роджерс, ужесточение нормативных требований «заставляет всех обращать внимание на безопасность».
Виша Ганпати, старший компаньон Booz Allen & Hamilton по вопросам корпоративной безопасности, считает, что требования законодательных актов заставляют специалистов по защите «вести диалог не только друг с другом, но и с юристами, и с аудиторами».