Управление рисками: пора менять приоритеты

Управление рисками: пора менять приоритеты

Интервью с Василом Барзаковым, региональным директором компании СА по России и СНГ.

-Васил, скажите, пожалуйста, с чем, на Ваш взгляд, связано сокращение ИТ-бюджетов компаний в последнее время? Касается ли это сокращение ИБ-бюджетов?

-Стремление компаний наиболее эффективно распоряжаться своими финансами, продиктованное постоянно ужесточающейся конкуренцией на рынке информационных технологий (ИТ) и на рынке информационной безопасности (ИБ), приводит к тому, что руководители компаний, финансовые директора часто стремятся максимально сократить общие расходы компании. В какой-то момент они задаются вопросом: а почему на И Б уходят такие огромные суммы, за что мы платим? Многие руководители российских компаний, к сожалению, недооценивают роль ИТ в достижении успеха компании, воспринимая их лишь как центр затрат и не придавая им значение стратегического инструмента, умелое использование которого гарантирует компании-игроку рынка ИТ и ИБ несомненный успех. Другими словами, руководство компаний обычно не замечает, что ИТ и ИБ идут рука об руку с задачами и целями бизнеса.

- На мой взгляд, нет такого понятия как "типичная фирма" или "типичный бизнес". Так, Интернет-банки подвержены рискам, отличным от рисков предприятий газовой отрасли. Для Интернет-банка основный риск - нарушение непрерывности бизнеса, причиной чему может являться внешнее воздействие, например запущенная в сеть вредоносная программа. Не меньшую угрозу представляют инсайдеры. Если сотрудник был уволен из компании, а его права доступа не были вовремя аннулированы, у него остается возможность извне вывести из строя важнейшие сервисы компании. А для Интернет-банкинга (а также для Интернет-торговли) это влечет за собой ущерб, исчисляемый миллионами долларов. Очень важно понимать, в чем заключается риск и "сколько он стоит".

Угрозы можно разделить на 2 группы - внутренние и внешние. Интересно, что из новостей СМИ складывается впечатление, что наиболее опасные угрозы приходят извне (вирусы, фишинг и т.п.). Однако результаты исследований, проведенных ведущими аналитическими компаниями, показывают, что представители почти 75% компаний во всем мире считают опасность внутренних угроз такой же высокой, как и внешних, а то и выше. Данная ситуация требует смены приоритетов многих компаний при разработке политики безопасности, установке систем защиты и оптимизации процессов обеспечения ИБ.

- Какие средства защиты информации наиболее востребованы?

- Одно лишь использование средств защиты информации не решает проблему. Защита информации - это непрерывный процесс. Невозможно добиться стопроцентной безопасности, однако максимально приблизиться к этому можно, создав систему управления рисками, отвечающую задачам конкретного бизнеса.

Сегодня объем циркулирующей и хранящейся в компании информации неуклонно растет, соответственно растут и риски. Нередко руководители компаний стараются решить эту проблему путем создания политики безопасности, которая часто фиксируется целой кипой документов. Возложение на сотрудников компании обязанности соответствовать данной политике - не лучший выход. От сотрудников требуется запомнить сотни паролей для входа в различные системы, что крайне негативно сказывается на продуктивности их работы. Сложность такой системы доказывает свою несостоятельность, а риски при этом не снижаются. Я вижу следующее решение: во-первых, превратить управление рисками в непрерывающийся процесс; во-вторых, создать систему, которая способна развиваться и меняться в зависимости от роста компании и эволюции угроз. Создание такой системы позволит освободить сотрудников от бремени многочисленных паролей и оптимизировать процесс управления данными.

- Удаленно работающие сотрудники позволяют компаниям сэкономить, но при этом возникают риски, связанные с доступом. Не перевешивают ли они выгоду от экономии?

- Я считаю, что экономические выгоды в этом случае намного перевешивают риски. Да и позитивный настрой сотрудника играет важную роль. Возможность работы дома - хороший стимул. В конечном итоге растет продуктивность сотрудников, а значит, и производительность компании. Я согласен, что при этом возникают новые риски, связанные с угрозой ИБ компании. Именно поэтому необходимо создать хорошо продуманную систему управления рисками, обеспечивающую определенный уровень безопасности всех операций между удаленно работающими сотрудниками и компанией. При этом технология, на основе которой можно построить эффективную систему управления рисков, - не единственная составляющая успешного решения проблем, касающихся обеспечения ИБ. Необходимо также подобрать соответствующим образом подготовленных специалистов, которые смогут управлять системой и контролировать проходящие в ней процессы.

- Планирует ли ваша компания сертифицировать свои продукты на соответствие требованиям безопасности информации в России?

-Конечно, мы планируем сертификацию. На данный момент мы стараемся определиться с тем, какие именно продукты наиболее целесообразно сертифицировать и на каком уровне. Система сертификации в России довольно сложна, поэтому мы обсуждаем данные вопросы со специалистами, а также с нашими партнерами на российском рынке. Сертификацию наших продуктов на соответствие требованиям безопасности информации в России мы считаем важнейшим шагом на пути к успешному освоению российского рынка ИБ.