Безопасность не должна мешать бизнесу

- Владимир, на ваш взгляд, безопасность мешает бизнесу или, наоборот, помогает?
- Мешает или нет - зависит от работы службы безопасности. Я уверен, что она не должна мешать. Безопасность уже давно неотъемлемая часть современного бизнеса, как рука или нога - неотъемлемая часть тела. Если рука мешает, значит что-то с ней не так. Именно поэтому я придерживаюсь подхода "полезной безопасности для конкретного бизнеса. Например, PwC ("ПрайсвотерхаусКуперс") работает много активных участников различных профессиональных сообществ - в области той же информационной безопасности, финансового аудита, налогообложения. Поддержание профессиональных, нередко совмещенных с личными связей - это часть их работы. О каком запрете доступа к социальным сетям (популярном сейчас ограничении) здесь можно говорить? Моя задача как офицера безопасности - принять все меры, чтобы не было разглашений конфиденциальных данных через такие сети, а не просто запрещать общение как таковое, то есть найти решение, полезное для бизнеса.

- В своем выступлении на VII Международной выставке InfoSecurity Russia. Storage Expo. Documation'2010 вы выразили мысль, что безопасность - это необязательно запрет и что именно такой подход к безопасности практикуется в PwC. Расскажите, пожалуйста, об этом подробнее.
- Разумеется, в крупной международной компании многое определяется глобальными политиками по безопасности, отраслевыми стандартами, и, разумеется, законодательством. Тем не менее место для творчества и гибкости всегда есть. Один пример такой гибкости уже приведен. Вот еще один личная почта сотрудников. Не секрет, что люди проводят на рабочих местах не только формально отведенные восемь часов, а работникам, особенно приезжим, приходится решать массу личных вопросов, находясь на рабочем месте. Я уверен, что это надо уважать, поэтому пользование личной почтой для личных целей разрешено. Естественно, при этом мы следим, чтобы рабочие документы через этот канал компанию не покидали.

Вообще, уважение к сотрудникам и их потребностям один из краеугольных камней нашего подхода. Не могу сказать, что в PwC уже можно приходить с домашними животными, как в одну хорошо известную компанию, но комфортные условия работы это подход, которому следует и служба информационной безопасности в том числе. Яркое тому подтверждение обязательная проверка и адаптация решений службы ИБ, влияющих на большие группы сотрудников, отделом внутренних коммуникаций. Это не монолог с какой-то из сторон это диалог, поиск оптимального, в том числе и комфортного для сотрудников, решения.

Второй краеугольный камень это открытость службы ИБ. Открытость во всех смыслах. Люди, работающие в такой службе, должны уметь улыбаться, делать яркие и запоминающиеся презентации, позитивно общаться с людьми, уметь искать и находить взаимовыгодные решения. Служба ИБ должна в первую очередь помогать конкретным людям и конкретному бизнесу делать работу эффективно и безопасно. Есть простой индикатор работает она так или нет. Если топ-менеджмент обращается к офицеру безопасности со своими проблемами, сомнениями, идеями одним словом за советом, значит, такая служба работает хорошо ей доверяют, она полезна для бизнеса. То же касается и рядовых сотрудников: если служба ИБ работает хорошо, к ней будут обращаться за советом, ей будут доверять. Во многом это же является показателем полезности службы ИБ ощущение ее необходимости для бизнеса, когда не офицер безопасности доказывает, что он компании нужен, а сам бизнес вовлекает офицера ИБ в принятие решений и разрешение проблем.

Как вы мотивируете сотрудников работать безопасно? В чем заключается ваше ноу-хау и как оно работает?
Мотивация традиционно состоит из двух элементов пряника и другой части. Я бы сказал, что есть еще один элемент это информация. Только известное животное идет за морковкой, которую никогда не достанет. Человек не пойдет, потому что знает результат это действие информации. Люди должны максимально ясно представлять себе, что можно и чего нельзя делать на рабочем месте и почему. Еще раз подчеркну можно и почему не менее, а может, и более важны, чем нельзя& . Приходя к нам в компанию, человек попадает на тренинг по информационной безопасности, где в очень краткой, доступной и в то же время яркой форме получает представление о можно, нельзя" и "почему". Жаль, что не могу показать эту презентацию здесь, но уверяю вас картина рабочего места с точки зрения безопасности вам стала бы понятна за несколько минут и еще долго не забылась бы. Также для сотрудников была создана специальная, максимально укороченная политика по ИБ. Несмотря на то что компания в целом оперирует в рамках СУИБ (ISMS), мы стремимся оградить рядовых сотрудников от излишней бюрократии: для большинства только один документ на несколько страниц. Кстати, эту политику выдают человеку вместе с компьютером.

Еще один способ мотивации предоставление удобных средств. Как избавиться от забытых документов в принтерах? Внедрить печать по пропускам по картам доступа. Это и удобно и безопасно. Другой пример стандартная для компании программа работы с IP-телефонией. Где бы ни был наш сотрудник он может позвонить со своего компьютера как с рабочего места. И это для него совершенно бесплатно! Находясь в командировке или в отпуске, можно бесплатно звонить домой. Соответственно нет проблем, связанных с различными программами бесплатной IP-телефонии, и интересы людей при этом не ущемляются.

Разумеется, существует и второй элемент мотивации. Но и здесь мы придерживаемся принципов уважения и открытости. Существует конкретный, открытый список нарушений политик компании, за которые начисляются штрафные баллы. Одно-два незначительных нарушения на карьере сотрудника никак не скажутся, но будут служить предупреждением и напоминанием об установленных правилах. Систематическое нарушение может привести к снижению бонуса и другим негативным последствиям. В конце года все набранные баллы обнуляются.

Суммируя, можно сказать, что каждый сотрудник для компании это в первую очередь личность, человек, которого компания уважает и с которым стремится наладить партнерские отношения, установить атмосферу взаимопонимания. Отсюда и способы мотивации.

Есть ли критерии эффективности вашей политики?
Фундаментальными критериями эффективности остаются объективные показатели, такие как статистика инцидентов, результаты аудитов и т.д. Без результатов в этих областях служба ИБ эффективной считаться не будет. Тем не менее на этом фундаменте есть и другие важные элементы. Как я уже упоминал, это в первую очередь потребность бизнеса и сотрудников в службе ИБ. Я уверен, что в серьезной компании топ-менеджмент не станет вовлекать службу ИБ в принятие решений, если не будет видеть от нее конкретную, материальную пользу, даже если инцидентов минимум, а аудит ничего не нашел. В свою очередь, сотрудники не будут обращаться за советом и помощью, если не будут видеть в этом смысла. К нам обращаются и это меня очень радует вот такие критерии.