В рубрику "Управление" | К списку рубрик | К списку авторов | К списку публикаций
Впрочем, прогресс в области взаимоотношений между бизнес-подразделениями во главе с топ-менеджментом компании и службой ИБ все же наблюдается. Еще семь лет назад службы ИБ были "заточены" лишь на защиту инфраструктуры компании. Сегодня ИБ-подразделения учатся формулировать свои задачи иначе: предметом защиты становятся бизнес-процессы. И в результате задачи И Б уже не всегда воспринимаются "перпендикулярно" задачам бизнеса. Но все же проблемы адаптации целей ИБ бизнес-целям компании остаются.
В каждой компании можно видеть свою комбинацию факторов, затрудняющих налаживание отношений между руководством и службой И Б. Но на поверку оказывается, что в большинстве случаев они сводятся к двум ключевым причинам.
Во-первых, специфика предметной области ИБ требует глубоких специальных знаний. Это, с одной стороны, затрудняет участие топ-менеджеров компании в процессах обеспечения ИБ. А с другой - ИБ-специалисты часто не умеют говорить с представителями бизнеса на понятном им языке. А между тем взаимопонимание между руководством и службой И Б во многом зависит от степени участия первого в постановке задач и контроле их выполнения последней.
Во-вторых, сложность оценки эффективности работы ИБ-подразделений и связанная с ней сложность обоснования инвестиций в И Б. И дело даже не в трудоемкости самих подсчетов потенциального вреда, который может принести реализация угроз ИБ в финансовом эквиваленте. Но в том, что большинство методик подсчетов ROI нацелены на оценку инвестиций в проекты, которые должны приносить прибыль. Между тем инвестиции в ИБ делаются не с целью получения прибыли, а чтобы избежать потерь.
Задачи, решаемые в рамках трех областей пересечения целей бизнеса и ИБ, во многом являются мостом между руководством и службой ИБ.
Согласно отчету Ernst & Yang, риск несоответствия требованиям регуляторов занимает первое место в списке главных бизнес-рисков. Требования в области ИБ стремительно развиваются, причем как на уровне государства, так и на уровне международных и отечественных союзов и ассоциаций. Невыполнение требований влечет за собой санкции, выражаемые как в денежных штрафах, так и в ограничениях по ведению бизнеса. Поэтому инвестиции, направленные на выполнение требований стандартов в области ИБ, более чем оправданы.
Вторая область - обеспечение непрерывности бизнеса. В эпоху высокой степени автоматизации бизнес-процессов даже небольшой простой IT-систем или сервисов может повлечь ощутимые финансовые убытки. Несмотря на то что задача обеспечения непрерывности бизнеса является комплексной, многие вопросы входят в компетенцию служб ИБ (классификация информационных ресурсов, резервное копирование, восстановление данных, управление инцидентами).
Наконец, третья - антифрод (противодействие всем видам мошенничества). Рост финансовых потерь от мошенничества приводит к снижению доходности бизнеса и утрате конкурентных преимуществ, поэтому борьба с ним является одной из приоритетных задач для многих компаний. Предотвращением мошенничества, связанного с использованием с IT, чаще всего занимается ИБ-подразделение.
К примеру, на помощь может прийти внедрение решений класса Governance, Risk and Compliance (GRC). С помощью решения этого класса топ-менеджмент компании может получать информацию о деятельности каждого из подразделений с учетом связанных с этой деятельностью рисков (Risk) и степени соблюдения внутренних и внешних требований (Compliance). На сегодняшний день большинство решений этого класса, представленных на рынке, может быть адаптировано под задачи ИБ.
В заключение хочется отметить, что адаптация целей ИБ под цели бизнеса в конкретной организации способствует не только улучшению взаимопонимания между службой ИБ и руководством, но и повышению эффективности системы управления ИБ и ее переходу на качественно новый уровень.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2013