Сотрудники нашего портала Information Security Forum хорошо знают, что кибербезопасность — один из ключевых приоритетов бизнеса, и связано это со все большей его цифровизацией и ростом как количества, так и сложности киберугроз. В нынешнюю цифровую эпоху кибербезопасность является одним из главных вопросов для CIO. Чтобы их работа была успешной, они должны не только хорошо ориентироваться в постоянно эволюционирующем ландшафте киберугроз, но и вырабатывать проактивную стратегию готовности своей организации к противостоянию сегодняшним вездесущим опасностям.
В течение многих лет CIO добивались права занять место у пресловутого «большого стола» и стать партнерами бизнеса. И, очевидно, сейчас для этого самое время, ибо технологическая связка между обеспечением условий для функционирования ИТ и управлением безопасностью и рисками диктуют необходимость партнерства CIO и CEO. По моему опыту успешное взаимодействие этих двух руководителей повышает вероятность того, что компания сумеет достичь целей своих стратегических инициатив. Эффективное взаимодействие позволяет организациям выгодно использовать возможности, открываемые киберпространством и современной технологией, и вместе с тем быть защищенными от сопутствующих рисков.
CIO необходимо знать тенденции в использовании личных устройств и облаков в рабочих целях, новые нормы защиты личной информации и ответственности за утечку данных, а также новые угрозы безопасности.
Функция CIO пребывает в процессе значительных изменений, но то же самое происходит и в бизнесе. Роль CIO со временем существенно выросла — от концентрации на самих ИТ до фокуса на бизнес-рисках, умения разговаривать на языке бизнеса и четкого изложения своей позиции на совете директоров, которые наверняка менее сведущи в технологиях. Что касается инцидентов с безопасностью, современный CIO обязан досконально понимать, что произошло, и уметь правильно осмыслить и отреагировать на причинные риски. Без этого понимания анализ рисков и принимаемые решения могут содержать ошибки, на которые руководство будет реагировать неадекватно.
Три сферы безопасности
Хочу обратить внимание на три специфические сферы информационной безопасности, о которых, как мне кажется, надо знать всем CIO. Заметим, что сферы эти не являются взаимно изолированными и могут сочетаться, порождая опасности еще более высокого уровня. И хотя это не единственные проблемы, о которых должен помнить CIO, их надо постоянно держать под пристальным вниманием.
1. BYOx и личные облака на рабочем месте
С усилением тенденции использовать для рабочих целей приносимые сотрудниками личные мобильные устройства, приложения, персональную облачную память и собственное облачное рабочее пространство (Bring Your Own Everything, BYOx) организации всех масштабов сталкиваются с фактами злонамеренного использования рисков информационной безопасности. Эти риски проистекают как из внутренних, так и из внешних угроз, включая неправильное обращение с самим устройством, манипуляции извне с уязвимостями ПО и развертывание плохо протестированных, ненадежных бизнес-приложений.
Если CIO чувствует, что риски BYOx слишком высоки, ему следует контролировать разработки и вносить в них необходимые коррективы. Если эти риски находятся в приемлемых рамках, он должен напрямую взаимодействовать с CEO и советом директоров, чтобы программа BYOx была хорошо структурирована и правильно реализована. Необходимо помнить, что плохо реализованная стратегия использования персональных устройств на рабочем месте может приводить к случайным утечкам информации из-за размывания границы между рабочими и личными данными, а также из-за того, что значительная часть бизнес-данных будет плохо защищена.
К заботам CIO в этой области относится также продолжающийся переход к использованию облаков и связанная с этим проблема оценки безопасности как сервиса для облачных приложений, часть которых может сосуществовать с экосистемой организации вне сферы компетенции или без разрешения ИТ-группы. Использование собственного облака является новым вектором угроз, который требует постоянного внимания и контроля.
2. Законодательное регулирование безопасности данных
Правительства большинства стран уже выпустили или разрабатывают правила, содержащие гарантии безопасности и условия использования персональных данных и предусматривающие наказания для предприятий, не обеспечивающих надлежащую защиту. Поэтому защиту личной информации следует рассматривать как юридическую норму и одновременно как бизнес-риск, который надо устранять, чтобы организация не подпала под санкции и не понесла коммерческого ущерба (например, в виде репутационных потерь или прямой потери клиентуры из-за утечки данных).
При этом заметно, что планы правительств, особенно стран Европейского союза, по регулированию сбора, хранения и использования информации вместе с жесткими взысканиями за утечку данных становятся все шире. Этот тренд, по всей видимости, будет продолжаться и усиливаться, и это потребует дополнительной работы по управлению соблюдением законодательства в более широком аспекте, чем функция безопасности, и с обязательным участием CIO, CEO и советов директоров.
Для CIO многонационально рассредоточенной организации это крайне запутанная задача, так как подчиненная ему инфраструктура должна функционировать во многих зонах с разными законодательными требованиями. Совет директоров заинтересован во взаимосвязанности и эффективности бизнеса в масштабе всего предприятия, и CIO должен обеспечить условия, при которых всё будет работать эффективно и рационально, не спотыкаясь о новации законодательства о защите информации и управлении данными.
3. Угрозы безопасности данных
Хакеры стали более организованными, атаки — более изощренными, угрозы — более опасными, и всё это создает больше рисков для репутации компаний. А репутация бренда и динамика доверия со стороны поставщиков, покупателей и партнеров сегодня стали прямыми мишенями киберпреступников и хактивистов.
При буквально ежедневном изменении частоты атак и сложности их ландшафта бизнес нередко страдает от репутационного и финансового ущерба. CIO надо взаимодействовать с CEO, чтобы организация была полностью готова к этим постоянно обновляющимся вызовам и хорошо оснащена против кибератак на данные. В большинстве цепочек поставок присутствуют уязвимости, позволяющие хакерам завладеть интеллектуальной собственностью и секретными корпоративными данными через доступ к сторонним системам, что является настоящей головной болью для CIO, которым приходится строить стратегию управления своими системами с учетом множества многосторонних факторов.
Главное — в подготовленности
Сегодня ставки как никогда высоки, и мы говорим не только о персональной информации и краже личных данных. Под острием атак постоянно находятся высокоуровневые корпоративные секреты и жизненно важная инфраструктура. Предприятия должны знать важные тренды, связанные с последними или давними, но изменёнными атаками, и понимать, к чему надо быть готовым в ближайшем будущем.
Сегодня CIO пора проявить инициативу и начать работать с CEO и советом директоров, чтобы лучше подготовить свою организацию к постоянно меняющимся вызовам. Разобравшись в возможностях кибербезопасности, CIO могут существенно повысить свой авторитет в руководстве и свою роль в масштабе всей организации, что является важной целью большинства честолюбивых CIO.