Решение практических задач бизнеса - залог успешной системы информационной безопасности

Решение практических задач бизнеса -
залог успешной системы информационной безопасности

УЖЕ давно не является секретом то, что информация -значительный актив каждой компании. И, поскольку конечная ответственность за сохранность и эффективное использование любых активов лежит на высшем руководстве компании, все больше руководителей уделяют пристальное внимание вопросам обеспечения информационной безопасности. Конечно, руководство не должно заниматься микроменеджментом работы специалистов по информационной безопасности. Топ-менеджмент обязан активно участвовать в разработке политики информационной безопасности, предоставлять необходимые для ее реализации ресурсы и полномочия, а также обеспечивать контроль ключевых индикаторов ее исполнения. Причем от эффективности каждого из этих процессов напрямую зависит реальное состояние защищенности информационных ресурсов компании.

Научись сам - подай пример другим

Одним из наиболее действенных шагов, направленных на повышение эффективности защиты информационных активов компании, является обучение руководителей компании основам построения систем менеджмента информационной безопасности. Со стороны же специалистов информационной безопасности необходимо четкое понимание бизнес-целей организации и особенностей ее бизнес-процессов, а также - умение объяснить в общепринятых бизнес-терминах предлагаемую стратегию защиты, результаты анализа текущего состояния защищенности и обоснование выбранного плана мероприятий.

Все указанные действия направлены на поддержку осознанного диалога бизнес-руководителей с подразделениями информационной безопасности, что, в конечном итоге, позволит выстроить оптимальную для компании инфраструктуру информационной безопасности.

Обеспечить простоту и прозрачность

Ключевую роль приобретает простота и прозрачность выбранной методики классификации активов и анализа рисков информационной безопасности. Когда для руководства компании очевиден эффект от выделяемых на информационную безопасность ресурсов, то подразделения информационной безопасности перестают восприниматься "черной дырой" бюджета и становятся полноправным участниками бизнеса компании, работающими на его развитие.

Существует множество подходов к построению систем обеспечения информационной безопасности, но в основе любой из общепризнанных методик лежит принцип периодической оценки состояния защищенности, накопления опыта и непрерывного улучшения системы. Это обусловлено целым рядом факторов: как постоянно меняющейся картиной угроз информационной безопасности, так и динамическим развитием самого бизнеса и соответственно его технологической составляющей.

С чего начать?

На первоначальном этапе построения системы обеспечения информационной безопасности компании, параллельно с полноценной классификацией активов и проведением анализа рисков, очень практичным ходом может быть проведение экспресс-оценки первоочередных и, как правило, универсальных мер, дающих очевидный положительный эффект и требующих относительно небольших ресурсных затрат.

К таким мерам можно с уверенностью отнести:

• программу повышения осведомленности сотрудников компании в вопросах информационной безопасности;
• внедрение централизованной антивирусной защиты;
• базовую защиту периметра сети;
• защиту корпоративной электронной почты;
• контроль над использованием сотрудниками интернет-ресурсов.

Многие из этих мер непосредственно влияют на комфортность работы широкого круга пользователей.

Например, современные средства защиты электронной почты при минимальных усилиях по администрированию системы позволяют эффективно решить проблему нежелательной почты. Это немедленно отмечается пользователями, привыкшими ежедневно отвлекаться на удаление десятков, а иногда и сотен, ненужных сообщений.

Совместно с программой повышения осведомленности сотрудников в вопросах информационной безопасности это создает хорошую основу для конструктивного участия пользователей в процессах обеспечения защиты информации.