Руководители ИТ-подразделений, а также специалисты по безопасности и соблюдению требований регуляторов часто несут ответственность за управление рисками в среде корпоративных ИТ, когда предпринимают меры к обеспечению бизнеса всем необходимым. Облачные вычисления, социальные медиасредства, мобильные устройства — все это обрушивается на CIO одновременно, создавая новые риски и угрозы безопасности.
Представители бизнеса могут оказывать на вас давление, чтобы добиться скорейшего использования зарождающихся или быстро развивающихся технологий и решений для получения конкурентных преимуществ. В некоторых случаях в погоне за скоростью мнением руководителей ИТ-подразделений даже не интересуются, пока сервисы или приложение не будут закуплены или развернуты.
Такая быстро развивающаяся корпоративная техническая среда более чем когда-либо требует от CIO понимания реальных рисков, существующих в его ИТ-экосистеме. Как эти риски влияют на бизнес и на три главных принципа работы вашего ИТ-подразделения — конфиденциальность, целостность, доступность? Что собирается предпринять ваше подразделение для управления этими рисками?
Проблема еще больше усложняется из-за большого объема и ценности данных, как структурированных, так и неструктурированных, которые порождаются бизнес-процессами вашей организации и от которых во многом зависят принимаемые решения. Учтите еще высокую квалификацию и огромные ресурсы киберпреступников, хакеров, промышленных шпионов, похитителей интеллектуальной собственности и обеспечивающей их деятельность подпольной сети “сервис-провайдеров”, и тогда начнут вырисовываться контуры проблем, с которыми вы сталкиваетесь.
Одно ясно — подход на основе выполнения требований регуляторов, который избирали в прошлом многие предприятия, зачастую является не лучшим способом управления реальными рисками, с которыми сталкиваются руководители ИТ-подразделений.
Задумайтесь над тенденциями последнего времени, которые только усилятся в 2011 г.:
- Мобильные устройства. Смартфоны, персональные электронные секретари, ноутбуки, планшеты, любые устройства, имеющие доступ в Интернет, открывают новые направления атак против систем и данных. Удаленное стирание и локальное шифрование информации, например, являются стандартными контрмерами. Но что делать с сотрудниками или работающими по контракту, которые используют мобильные устройства без разрешения? Что делать с генеральным директором, который требует мобильной гибкости? Как предотвратить исходящие от пользователя риски, такие как подключение к запрещенным точкам доступа или загрузка и использование вредоносных приложений на своих мобильных платформах, что потенциально может привести к взлому корпоративных систем и хищению информации?
- Социальные медиасредства. Компании независимо от их размера стремятся использовать платформы социальных медиа. Хотя без должного их понимания и четкого руководства эти технологии потенциально способны породить множество новых рисков для компании. Социальные сайты могут предоставлять атакующим доступ к персональным и корпоративным данным. Вы и ваши сотрудники должны участвовать в обучении менеджеров и бизнес-пользователей связанным с социальными медиасредствами рисками и преимуществами, чтобы помочь им правильно воспользоваться достоинствами этих технологий.
- Облачные вычисления. Это один из наиболее быстро растущих элементов корпоративных ИТ. Облачные вычисления могут принести многочисленные выгоды, в т. ч. повышенную гибкость, снижение затрат, надежную защиту и соблюдение требований регуляторов. Для принятия важнейших решений вам необходимо проанализировать преимущества, затраты и риски, связанные с обслуживанием определенных ИТ, таких как серверные фермы или специализированные приложения, собственными силами или по договору. Но даже в тех случаях, когда использование облачных сервисов имеет смысл, провайдеры могут не нести ответственности за определенные виды ущерба, связанные со взломом систем или потерей данных, такие как подрыв репутации компании или ее бренда, хищение интеллектуальной собственности. Ответственность за защиту этих важнейших активов обычно ложится на руководителя ИТ-подразделения.
Как могут CIO повысить приоритетность информационной безопасности в глазах руководства? Как вам усовершенствовать развертывание ресурсов для управления ИТ-рисками и разработать проактивные, экономически эффективные решения для выявления реальных рисков и управления ими, не создавая препятствий для бизнеса? Ниже приводятся три конкретных способа добиться этих целей:
- Объясните менеджменту, что представляют собой киберугрозы. Привлеките внимание менеджмента к преимуществам и рискам, которые несут бизнесу новые технологии. Если вам необходимо соблюдать требования регуляторов, заверьте руководство, что эти вопросы находятся под контролем. Но подчеркните при этом, что выполнение положений нормативных актов представляет собой лишь один компонент управления рисками. Для охвата всего спектра рисков необходимы также тщательное обучение пользователей, управление доступом, системами и поставщиками, мониторинг систем. Всегда, когда представляется такая возможность, показывайте, что означают киберугрозы для бизнеса и стратегии компании, каковы возможные финансовые последствия. Объясните менеджменту, какие опасности грозят репутации компании, ее бренду и интеллектуальной собственности.
- Продемонстрируйте, как кибербезопасность способствует бизнесу. Обеспечение защиты от всего спектра киберугроз требует внимания и участия высшего руководства. Кибербезопасность является ключевым элементом управления рисками и лучше всего обеспечивается именно в таком контексте. Используйте примеры из реальной жизни в качестве иллюстрации ваших взглядов. Как минимум, такой подход позволить включить поддержание кибербезопасности в бюджет управления рисками отдельной строкой, а возможно и в качестве самостоятельного пункта повестки дня заседаний правления. Добиться понимания со стороны руководства — это только часть работы начальника ИТ-подразделения. Помимо этого вам необходимо выбрать такие решения для обеспечения защиты, которые позволят конечным пользователям как можно легче и быстрее решать связанные с безопасностью задачи. Это снизит вероятность человеческих ошибок.
- Знайте, что происходит в вашей ИТ-среде. Управление киберугрозами сводится к пониманию происходящего в вашем хозяйстве. Это означает, что вы должны знать связанные с ИТ риски и их проявления. В качестве CIO вы и ваши сотрудники должны быть досконально знакомы с компонентами, функциями и использованием ИТ в своей организации. Только в этом случае вы сможете проактивно смягчать риски. Например, управление событиями в системах и информации в сочетании с внешними сведениями разведывательного характера может помочь выявить подключения с уязвимых сайтов. Объем информации огромен. Главное выделить релевантные данные из окружающего шума, систематизировать эту информацию и дополнить ее сведениями из других источников, что позволит более надежно управлять средой ИТ.
На пути в будущее руководители ИТ-подразделений будут сталкиваться с серьезными проблемами, особенно если те будут связаны с сочетанием киберугроз, новых технологий и запуском новых программ для борьбы с первыми и освоения вторых. Отказавшись от подхода, ориентированного исключительно на соблюдение требований регуляторов, CIO могут выработать стратегическое, прагматичное видение реальных рисков, грозящих их предприятиям. Обучение партнеров по бизнесу и кооперация с ними позволят вашей организации придерживаться целостного подхода к предотвращению рисков. Вы, безусловно, справитесь со всеми трудностями.