Информационная безопасность и бизнес-стратегия фирмы

Информационная безопасность и бизнес-стратегия фирмы

Илья Сачков, менеджер по информационной безопасности компании "Арктел"

СПЕЦИАЛИСТЫ в области информационной безопасности (ИБ) лучше всех понимают, что защита информационной инфраструктуры организации открывает новые деловые возможности, а имеющиеся бизнес-процессы при этом требуют меньше ресурсов для эффективной работы. Надежная защита информации позволяет вовлечь в бизнес новых партнеров. Чем выше уровень доверия, тем больший уровень доступа можно безопасно предоставлять внешним сторонам, таким как: клиенты, деловые партнеры, сотрудники и подрядчики. Это помогает расширить бизнес и одновременно упрощает выполнение операций, снижая затраты.

Однако классическое подразделение по ИБ, к сожалению, оторвано от реалий бизнеса и привязано сугубо к технологиям. Компании, в которых директора и руководители отделов по ИБ имеют представление о бизнес-процессах и методологии управления проектами, можно пересчитать по пальцам. Кроме того, существует стереотип, что И Б привязана к информационным технологиям (ИТ). Хорошо, что в печати и на семинарах периодически можно услышать мнение, что ИБ - это не только ИТ. Но опять же, согласно статистике, в большинстве компаний ИБ привязана к ИТ, очень часто имеет общий с ИТ бюджет, топ-менеджмент компаний уверен, что ИБ -лишь подразделение ИТ.

Необходимо понимать, что в современном мире ИБ - это, в первую очередь, очень сильный менеджмент, очень четкое представление бизнес-стратегии компании и умение взаимодействовать со всеми ее подразделениями. Технологии - это лишь инструмент.

Без эффективного менеджмента и понимания бизнес-стратегии компании на подразделения ИБ будут смотреть как на подразделения, не приносящие доход. Управление ИБ на среднем уровне позволяет окупать расходы, а при хорошем менеджменте -приносить доход и делать бизнес еще эффективнее. Необходимо донести до топ-менеджеров, что подход, который рассматривает ИБ с точки зрения защиты, уже устарел. Сегодня речь идет о том, что ИБ позволяет расширять бизнес в глобальном масштабе независимо от размеров компании или ее расположения.

Рассмотрим два метода, которые позволят установить твердую связь между бизнес-процессами, бизнес-стратегией компании и информационной безопасностью.

Эффективное управление проектами

В разных организациях влияние ИБ на бизнес-процессы и бизнес-стратегию будет различным. В каждой компании - свои проекты. ИБ традиционно является частью ИТ-проектов. Однако целесообразно было бы включать руководителя (или представителя) отдела информационной безопасности в работу над любым бизнес-проектом компании. Причем под проектом может пониматься изменение бизнес-стратегии компании и, как следствие, изменение бизнес-процессов, внедрение новой технологии или новой маркетинговой кампании. При этом методология управления различными проектами будет общей.

Согласно методологии PMP (Project Management Professional), существует пять групп процессов в управлении проектом: разработка или инициация, планирование, выполнение, контроль и завершение. Специалисты по информационной безопасности могут и должны участвовать в каждом процессе.

Стоит разделить "ИТ-проек-ты" (плюс проекты по ИБ) и "не ИТ-проекты".

В "ИТ-проектах" безопасность - одна из основных составляющих, другие подразделения, как правило, в них не участвуют. А подразделение по безопасности обычно не участвует в "не ИТ-проектах". Следовательно, чтобы увеличить эффективность всех проектов, надо произвести своеобразный обмен. Представители других подразделений должны участвовать в фазе инициации и контроля ИТ-проек-тов. Это поможет увеличить общую осведомленность и понимание в области ИБ. В свою очередь представитель отдела информационной безопасности должен быть включен в работу над "не ИТ-проек-тами". Это поможет ответить на вопросы: "Как организовать обмен информацией между клиентом и компанией?", "Как предотвратить утечку информации о клиенте?", "Как сделать так, чтобы о новой рекламной акции никто не узнал раньше времени?" и т.п.

Таким образом, подразделение информационной безопасности окажется не только надежным защитником информационных ресурсов компании, но и активным участником бизнес-стратегии компании, при этом у других подразделений появится доверие и уважение к задачам безопасности, так как и они будут участвовать в их решении.

Взаимодействие с топ-менеджментом

Довольно сложно говорить о том, как установить взаимоотношения с топ-менеджментом организации, не зная ее структуры и истории. В компаниях, где безопасность информации имеет критичные для бизнеса функции, директор по безопасности практически всегда найдет общий язык с руководством организации. Но факт остается фактом: вне зависимости от организации, если руководство следит за соблюдением безопасности, обладает фундаментальными знаниями в области защиты информации и придает большое значение работе по направлению ИБ, выгода для компании и бизнеса будет максимальна. Сложнее всего и важнее всего убедить руководство в том, что надежная и безопасная оптимизация любых бизнес-процессов компании позволяет ей сфокусироваться на ключевых аспектах деятельности и вывести эффективность выполнения операций на новый уровень. Поэтому очень важно, чтобы представители И Б участвовали в планировании и реализации бизнес-стратегии. Стратегия безопасности при этом должна быть целиком построена на задачах бизнес-стратегии компании. Когда безопасность ориентирована на бизнес, проблема инвестиций в безопасность решается сама собой. В первую очередь целесообразно заняться задачами бизнеса, во вторую - обратить внимание на типовые и призрачные угрозы ИБ вроде инсайдеров и т.п. Идеальной является ситуация, когда топ-менеджмент, да и рядовые сотрудники, начинают гордиться своим подразделением безопасности, говоря: "А вот в нашей компании информационная безопасность помогает нам в работе", и когда не соблюдать политику информационной безопасности становится просто дурным тоном. Поэтому обучение по направлению ИБ - одна из необходимых задач бизнеса. Важно, чтобы топ-менеджмент компании в результате мог ответить не только на вопрос "Как?", но и на вопрос "Зачем?".

Информационная безопасность - это прежде всего сильный менеджмент и грамотное управление. Подразделение информационной безопасности должно стать бизнес-единицей, направленной на увеличение эффективности и прибыльности бизнеса компании, а защита информации - оставаться лишь одной из функций подразделения. Результаты работы отдела информационной безопасности в развитии бизнеса компании станут лучшим доказательством надежности и правильности данного подхода к ИБ.

Комментарий эксперта

Николай Ионов, эксперт Группы компаний "Антивирусный центр"

Обеспечение информационной безопасности у большинства руководителей сводится к запрету нежелательных действий. Зачастую службе безопасности компании достаточно запретить копирование файлов, использование флэш-накопителей, ограничить доступ пользователей к информации, чтобы быть уверенными в надежной защите корпоративных данных. Однако это чувство уверенности, вероятнее всего, будет ложным.

Информационная безопасность имеет развитую техническую компоненту, и именно поэтому многие не видят ее второй составляющей: организации управления. Соответственно вопросы защиты корпоративных данных зачастую пытаются переложить исключительно на плечи ИТ-службы.

В этом случае сотрудники ИТ-отдела в силу своей специфики не относятся к сложному внедрению систем обеспечения информационной безопасности как к приоритетному направлению деятельности, а значит, качество работы таких систем весьма далеко от идеала и они не выполняют возложенных на них функций. Однако если внедрение систем безопасности выполнено идеально и информацию нельзя ни скопировать, ни переслать по почте, ее можно просто запомнить и при случае передать "куда не надо", а это уже больше касается морально-этического аспекта, чем технического.

Поэтому ни в коем случае нельзя смешивать функции ИТ-отдела и отдела безопасности, более того, эти отделы не должны находиться в дружественных отношениях. У них изначально должны быть разные задачи и разные подходы к организации информационной безопасности. И хотя в службе безопасности и могут работать специалисты по ИТ, руководство отделом должно быть сосредоточено в руках управленцев.