IT Manager Безпека управління ІБ Григорій Рудницький
| 12.11.2018
У будь-якій компанії чи організації, в міру її розвитку, поступово створюється корпоративна культура - набір моделей поведінки, які довели свою життєздатність і ефективність як в процесі взаємодії із зовнішнім середовищем, так і в ході формування внутрішніх процесів. Корпоративна культура являє собою сукупність як писаних, так і неписаних правил. Перші - це офіційно декларовані норми поведінки співробітників при вирішенні конфліктів один з одним, клієнтами, партнерами, взаємодії з регулюючими органами, прийняті моделі внутрішньокорпоративних і зовнішніх комунікацій, система лідерства та кар'єрного зростання, а також багато іншого. Все це може бути зафіксовано документально або й існувати у вигляді усних правил, беззастережно прийнятих усіма співробітниками - від генерального директора до прибиральниці і охоронця. І хоча сам термін «корпоративна культура» вперше з'явився в XIX столітті, норми і правила роботи компаній беруть витоки з середньовічних гільдій ремісників. Гільдія захищала права кожного її члена, але порушення її внутрішнього порядку могло спричинити за собою виключення з професійного співтовариства і, відповідно, позбавлення можливості захисту та інших привілеїв.
У кожній компанії існує свій рівень проникнення корпоративної культури. У великих корпораціях і холдингах, чия історія налічує багато років і навіть десятиліть, найчастіше нормований кожен крок співробітника. У невеликих компаніях і стартапи все формалізовано в набагато меншому ступені, однак і там є ряд правил і табу, за порушення яких можуть послідувати неприємності.
Регламенти інформаційної безпеки, «інформаційної гігієни» на робочому місці, а також відповідальність за їх недотримання є одним з ключових елементів корпоративної культури. Але, на жаль, далеко не скрізь. При цьому не можна забувати, що наслідки від недотримання правил ІБ негативно відбиваються на всій компанії.
Ставлення до інформації
У чому ж витоки ІБ-нігілізму? Що потрібно зробити для того, щоб інформаційна безпека, культура роботи з даними та інформацією стала невід'ємною частиною корпоративної культури? Спробуємо розібратися з допомогою експертів. Михайло Сергєєв, начальник відділу ІТ-проектування Orange Business Services, вважає, що навіть в рамках однієї галузі існують як компанії, які відносяться до даних як цінному активу - збирають, захищають, зберігають і аналізують їх, так і ті, хто взагалі не бачить цінності в даних. «Такий підхід, наприклад, спостерігається на підприємствах роздрібної торгівлі та логістики. І навіть у фінансовій сфері, яка, здавалося б, знаходиться в авангарді цифрової трансформації, можна зіткнутися з обома варіантами », - говорить він. За словами Іллі Тимофєєва, керівника напряму «Інформаційна безпека» «Академії Айті», більш зрілий, сформований підхід до роботи з інформацією чітко помітний в технологічних компаніях, для яких інформація, цифрові дані вже стали найважливішим активом. Безлад в даних для таких компаній рівноцінний провалу в бізнесі. У той же час в компаніях, де багато років переважали «аналогові», а не digital-підходи до ведення бізнесу, культура роботи з інформацією тільки формується. На думку Максима Захаренко, генерального директора компанії «Облакотека», основна відмінність між компаніями, акуратно і недбало відносяться до даних, полягає в розумінні моделі загроз. «Там, де загрози істотні, наприклад в банках, ситуація з процедурами забезпечення безпеки значно краще. У малому бізнесі зі сфери торгівлі справа йде взагалі ніяк, тому що загрози втрати конфіденційності, скажімо, не дуже істотні », - пояснює він. Юрій Урсу, керівник Департаменту інформаційних технологій Орловської області вважає, що організації, як і раніше приділяють мало уваги подібним питанням, за винятком хіба що великого бізнесу. «Якщо теза« поки якось працює, ІТ підрозділ не потрібно »вже перестав існувати, і керівники розуміють, що ІТ забезпечує ефективність і прямо впливає на економічні результати організації, то в частині інформаційної безпеки« шишок »поки набито мало, - коментує він . - Суттєвим приводом замислитися над цією проблемою стали віруси-шифрувальники, що блокують робочі місця і вимагають грошей для отримання коду розблокування: хвиля подібних заражень і їх широке висвітлення в ЗМІ сприяли тому, що бізнес став замислюватися про інформаційну безпеку на випередження ».
Вплив зовнішніх факторів
Все-таки, десь правила ІБ дотримуються неухильно, особливо якщо за їх дотриманням стежать регулюючі організації, а десь, особливо якщо керівництво дивиться на це крізь пальці, норми ІБ дотримуються «опціонально». Проте в разі атаки або зараження шкідливим ПЗ починають прийматися певні заходи згідно з приказкою «поки грім не вдарить, мужик не перехреститься». Рустем Хайретдінов, генеральний директор компанії Attack Killer, говорить про те, що жорсткість і швидкість впровадження правил поводження з конфіденційною і чутливої для бізнесу інформацією диктується внутрішньою культурою і зовнішніми умовами, зокрема вимогами регуляторів. «Чим більше зовнішніх нормативів, тим жорсткіше і швидше повинно відбуватися впровадження. До факторів, що прискорює впровадження правил, можна віднести успішні атаки, що принесли чутливий збиток і штрафи регуляторів », - пояснює він. За словами експерта, якщо в державних компаніях традиційно сильніше вплив регуляторів і власних безпечники, що мають досвід роботи в спецслужбах, то бізнес сам зважує співвідношення зручності користування інформацією та обмеженнями в її застосуванні, виходячи з максимізації прибутку або мінімізації збитків. Наприклад, всім відомо, що в перші роки появи вимог щодо захисту персональних даних бізнес вважав за краще платити штрафи, а не міняти зручність користування інформацією. «Раніше керівництво компаній сприймало ризики ІБ як якусь екзотику, - розповідає Андрій Янкин, заступник директора Центру інформаційної безпеки компанії« Інфосистеми Джет ». - Інциденти були рідкісні, шкоди не такий великий, тому менеджмент цілком розумно приділяв питанням ІБ досить скромну увагу. В останні ж три - п'ять років ми бачимо в цій області істотну еволюцію поглядів: ризики ІБ стали сприйматися керівництвом великих компаній як абсолютно невід'ємна частина інформатизації ».
Людський фактор незнищенний?
Протягом всієї історії інформаційної безпеки найслабшим місцем був і залишається людський фактор, ніж вдало користуються зловмисники всіх мастей. Людям простіше повірити, ніж перевірити, - така властивість людської природи. «Найголовніша причина, по якій люди не дотримуються правил захисту, - незнання цих самих правил. Для початку їх треба навчити, перевірити засвоєння матеріалу і проконтролювати поведінку. Потім повторити схему: навчити, перевірити засвоєння матеріалу, проконтролювати поведінку. І так далі. Це трудомісткий безперервний процес. Допомогти в даній діяльності може як «батіг», так і «пряник», але їх не можна використовувати поодинці або у відриві від навчального процесу », - вважає Михайло Сергєєв (Orange Business Services).
З домінуванням людського фактора в числі загроз ІБ не згодна Олена Теплушкіна, керівник відділу продуктового маркетингу офісного обладнання компанії Xerox Євразія. За її словами, в більшості випадків витоку інформації відбуваються через людський фактор, а не через вразливостей, що дозволяють підключитися до корпоративної мережі ззовні. Причому це може бути не тільки свідомий запуск шкідливого коду, але і заподіяння шкоди через незнання правил безпечного обміну даними. Для формування у співробітників культури безпечної роботи з корпоративною інформацією при використанні друкованих пристроїв дуже важлива не тільки просвітницька діяльність, а й збудовані правила і політики управління печаткою.
Повністю навчити людей «перевіряти, а не довіряти» і виключити вплив людського фактора неможливо, вважає Олексій Лукацький, бізнес-консультант з ІБ компанії Cisco. Він нагадує, що для абсолютної більшості працівників компанії інформаційна безпека не є пріоритетом № 1 і не відноситься до основного виду діяльності. «Звідси і наслідки: співробітники не вміють розпізнавати весь спектр хитрощів, якими користуються зловмисники. Вони не можуть розпізнати всі фішингові розсилки, всі шкідливі домени, всі небезпечні вкладення в e-mail. Так, впровадження культури ІБ допоможе знизити загрозу, але виключити повністю її неможливо. Ось чому необхідно застосування компенсуючих захисних заходів, які допомагають закрити прогалини з горезвісним «людським фактором», - пояснює експерт.
Забороняй з розумом
У ряді організацій існують формалізовані норми і регламенти дотримання правил ІБ. Як правильно скласти цей документ? Що потрібно для того, щоб ці норми і регламенти дійсно виконувалися?
«Недостатньо просто мати хороші регламенти, важливо контролювати їх виконання, давати співробітникам зворотний зв'язок, додатково навчати нетямущих і карати злісних порушників. Дуже важливо реалізувати принцип невідворотності покарання - реагувати на кожне порушення. Якщо використовувати принцип «вибіркового правосуддя» і карати порушників вибірково, то замість поведінкового патерну «не робити» можна виховати зовсім інший патерн «робити, але не потрапляти». Погано впроваджувані заборони народжують бажання їх обходити, створюючи у частини користувачів навіть особливу «зухвалість» в порушеннях », - вважає Рустем Хайретдінов (Attack Killer). На думку Іллі Тимофєєва ( «Академія Айті»), щоб формалізовані норми дійсно виконувалися, документ не повинен бути відірваний від реального життя компанії, його треба розробляти прив'язаним до реалій і специфіки конкретного стилю роботи підприємства, з урахуванням сформованих підходів. При цьому вимагати міняти сформовану практику потрібно лише в тих випадках, якщо вона в корені суперечить нормам ІБ. Крім того, важливо і до подачі матеріалу в регламенті підійти по можливості неформально.
Отже, впровадження правил ІБ в корпоративну культуру - процес непростий і багатоплановий. Тут задіяні як технічні, так і організаційні заходи. Для того щоб дотримання «інформаційної гігієни» стало для співробітників не просто обов'язком, а й потребою, необхідно зробити її правила зручними для виконання, міцно інтегрувати їх в існуючі робочі процеси, не забуваючи заохочувати найбільш грамотних в плані ІБ і невідворотно карати порушників. В цілому, ця тема настільки широка, що ми обов'язково повернемося до неї в одному з найближчих номерів нашого журналу.
Далі буде
Ключові слова: безпеку , зовнішні загрози , захист периметра , командоутворення , Спільноти , криза , оптимізація , скорочення витрат
Гарячі теми: аксіоми кібербезпеки
Журнал: Журнал IT-Manager [№ 10/2018] , Підписка на журнали
Що потрібно зробити для того, щоб інформаційна безпека, культура роботи з даними та інформацією стала невід'ємною частиною корпоративної культури?Людський фактор незнищенний?
Як правильно скласти цей документ?
Що потрібно для того, щоб ці норми і регламенти дійсно виконувалися?