В новом отчете RSA, подразделения безопасности корпорации EMC, основанном на результатах исследования Совета по безопасности и бизнес-инновациям, предложена программа, содержащая новаторский подход к обеспечению безопасности. Данная программа рассматривает подходы к защите ИТ-сред — от создания службы ИТ-безопасности нового поколения до управления жизненным циклом рисков в сфере защиты данных, с которыми сталкиваются современные предприятия мирового уровня.
За последние полтора года требования к работе служб ИТ-безопасности существенно изменились. Такие перемены связаны с целым рядом факторов: активным развитием высокоинтегрированной глобальной бизнес-среды, меняющимся ландшафтом угроз, расширенным внедрением новых технологий и ужесточением требований регуляторов. Эти изменения конъюнктуры послужили толчком к пересмотру основных обязанностей корпоративных служб ИТ-безопасности и выполняемых ими задач.
Эксперты в новом отчете под названием «Трансформация информационной безопасности: создание современной службы ИТ-безопасности» отметили, что сотрудники службы ИТ-безопасности должны расширять область своих знаний и обладать навыками в сферах, не относящихся непосредственно к их деятельности, таких как управление бизнес-рисками, юриспруденция, маркетинг, математика и закупки. В рамках деятельности по обеспечению информационной безопасности необходимо создать единую модель отчетности, где ответственность за обеспечение безопасности информационных активов разделяется с менеджерами и руководителями бизнес-подразделений. Ведь именно они, в конечном итоге, контролируют соответствующие риски кибербезопасности, а значит, и бизнес-риски в целом. Такие преобразования потребует серьезной переквалификации персонала и привлечение опыта и знаний внешних поставщиков услуг.
Ниже перечислены семь базовых рекомендаций экспертов SBIC, которые позволят компаниям сделать первые шаги на пути преобразования служб ИТ-безопасности.
Во-первых, пересмотрите и четко определите круг основных компетенций. Основное внимание службы ИТ-безопасности должно быть сосредоточено на развитии навыков в четырех ключевых областях: интеллектуальный анализ рисков кибербезопасности и аналитика данных по безопасности, управление данными по безопасности, консультирование по рискам и разработка средств контроля.
Во-вторых, делегируйте выполнение стандартных операций. Поручите выполнение повторяемых стандартных отработанных процессов ИТ-отделу, бизнес-подразделениям и/или внешним поставщикам услуг.
В-третьих, привлекайте специалистов из различных областей. Для выполнения некоторых задач к работе службы ИТ-безопасности можно привлечь специалистов из других отделов организации или извне.
В-четвертых, контролируйте возникновение рисков. Объедините усилия с бизнес-подразделениями в управлении рисками кибербезопасности и выработайте единый подход к обеспечению безопасности. Сделайте выполнение этой задачи для бизнес-подразделений проще и обеспечьте их подотчетность.
В-пятых, привлекайте специалистов для оптимизации процессов. Убедитесь, что в вашей команде есть сертифицированные специалисты, с опытом работы в сфере управления качеством, управления проектами и программами, оптимизации процессов и предоставления услуг.
В-шестых, выстраивайте прочные отношения, основанные на доверии и лояльности, с основными участниками рынка — владельцами «главных активов», руководством среднего звена и поставщиками услуг.
В-седьмых, готовьте кадры с учетом будущей перспективы. В виду отсутствия готового наработанного опыта, единственным правильным долгосрочным решением для многих организаций остается подготовка собственных специалистов. Таких специалистов можно набирать из сфер, где используются смежные навыки: разработка программного обеспечения, бизнес-аналитика, финансовый менеджмент, военная разведка, юриспруденция, обеспечение конфиденциальности данных, наука о данных и сложный статистический анализ.
«Для осуществления такой трансформации безопасность следует рассматривать с позиции ответственности, требующей активного сотрудничества для преодоления рисков, с которыми предприятия неизбежно сталкиваются в условиях постоянно меняющегося ландшафта угроз. Поэтому принципиально важно, чтобы организации могли создавать службы ИТ-безопасности, имеющие необходимые знания и опыт для профессионального выполнения своих обязанностей», — прокомментировал Арт Ковьелло (Art Coviello), исполнительный вице-президент корпорации EMC, исполнительный директор RSA — подразделения безопасности корпорации EMC.
«Прежде всего, опыт и знания специалистов по ИТ-безопасности должны быть направлены на консультирование, руководство, создание стратегий, выявление и разъяснение рисков для бизнеса, анализ угроз и содействие движению компании вперед. При этом всё их время не должно поглощаться рутинными каждодневными операциями», — отметил Боб Роджер (Bob Rodger), руководитель службы инфраструктурной безопасности группы HSBC Holdings plc.