СЛУЖБА БЕЗОПАСНОСТИ — НАДЕЖНАЯ ОПОРА БИЗНЕСА
Какие реальные вызовы и угрозы для бизнеса должна учитывать стратегия корпоративной безопасности компании?
Сергей Бугримов, директор по корпоративной безопасности ОАО «КОМСТАР-ОТС»:
— Стратегия корпоративной безопасности практически любой компании должна быть направлена на ликвидацию следующих угроз:
— использования непрозрачных бизнес-схем, в том числе и раннее выявление мошеннических структур или лиц;
— потери непрерывности управления и предоставления услуг, а также нарушения целостности, доступности и защищенности информации, циркулирующей в компании;
— отсутствия контроля за объектами компании, перемещениями ценностей, материально-технических средств, персонала и посетителей.
Денис Зенкин, директор по маркетингу, компания Perimetrix, группа компаний «КомпьюЛинк»:
— Современная теория защиты данных основывается на своего рода трех китах, от которых зависит успешность политики ИБ (информационной безопасности): конфиденциальность, целостность и доступность. Не утруждая читателя подробностями, замечу, что выполнение этих «максим» позволяет построить такую систему защиты, которая будет обеспечивать наиболее эффективную работу КИС (корпоративной информационной системы) в соответствии с бизнес-целями организации.
С этой точки зрения, угрозы для бизнеса можно разделить на две основные части: внешние (вирусы, хакерские атаки, спам) и внутренние (сотрудники). На протяжении десятков лет в области ИБ наблюдался явный перекос внимания специалистов к первому типу угроз. В результате, ИБ-индустрия выработала более-менее эффективные технологии защиты, которые успешно применяются практически на всех компьютерах в мире. Со вторым типом угроз дела обстояли по-другому: собственные сотрудники не принимались в расчет как фактор опасности для бизнеса. Трудно назвать причину такого положения вещей — возможно, решающую роль сыграл «романтический» ореол мира вирусов и хакеров, созданный голливудским кинематографом.
Именно этот образ подсознательно заставлял бизнес концентрироваться на борьбе с внешними угрозами. Как бы то ни было, в начале века на первый план озабоченности специалистов все же вышли внутренние угрозы. Многие годы игнорирования проблемы заставили бизнес буквально ужаснуться тому, что творилось у него под носом, какую гигантскую опасность представляли собственные сотрудники. Это подтверждают наши исследования: в тройку наиболее опасных ИБ-угроз вошли: «утечка данных», «халатность» служащих» и, лишь на третьем месте, «вирусы». При этом последний участник этого печального «пьедестала» за год потерял в рейтинге опасности 15%.
Спектр угроз, которые представляют собой сотрудники весьма обширен и зависит от типа внутреннего нарушителя, его места в экосистеме внутренних угроз.
Какие предприятия находятся в зоне риска и почему?
Сергей Бугримов:
— В настоящее время практически все предприятия в России находятся под риском утечки информации конфиденциального характера. Однако предприятия связи с учетом необходимости соответствия требованиям Федерального закона «О персональных данных» являются ключевыми, с точки зрения интенсивности внедрения средств обеспечения безопасности.
Какие потенциально узкие места в плане безопасности Вы могли бы назвать?
Сергей Бугримов:
— Мы имеем дело с как внешними, так и с внутренними угрозами. С учетом того, что защита компании основывается на современных технологиях, в результате чего вероятность реализации внешних угроз небольшая, основными являются внутренние угрозы (в частности, исходящие от персонала).
Как изменились службы безопасности за последние десять лет?
Сергей Бугримов:
— Помолодели. Бизнес хочет видеть в лице своей службы безопасности не якорь, мешающий двигаться дальше и расширять границы возможностей, а надежную опору, способную реально оценить новые перспективы и предложить такие же новые актуальные решения по безопасности, а не выступать только с позиции запретов.
Молодые люди больше открыты к познанию нового и практическому применению полученных знаний. Впрочем, если человек стремится к новому, постоянно совершенствуется и развивается, то возраст не помеха, практический опыт приходит только с годами.
Кроме того, появилось много современных технических средств и организационных методов, позволяющих обеспечить необходимый уровень безопасности без увеличения количества персонала служб безопасности.
Денис Зенкин:
— Могу отметить множество положительных моментов, которые характеризуют эволюцию ИБ-служб за последние 10 лет. Прежде всего — они стали ближе к бизнесу. Специалисты все меньше зацикливаются на технологических особенностях систем защиты и смотрят на проблему с точки зрения эффективности инвестиций, непрерывности бизнес-процессов, соответствия основополагающим целям организации.
Также нельзя не отметить и возросшие профессиональные навыки — знакомство с международным опытом и стандартами защиты.
Кому поручить безопасность компании (внешние фирмы или создание собственной службы)?
Сергей Бугримов:
— Организационная структура безопасности компании определяется, прежде всего, размерами бизнеса компании и отраслевой принадлежностью. В нашем случае блок безопасности относится к управлению крупной телекоммуникационной компании, поэтому аутсорсинг и аутстаффинг здесь неприемлемы, хотя не исключена передача отдельных функций специальным фирмам, например охрана объектов, аудит, техническое сопровождение комплексных систем безопасности.
Денис Зенкин:
— Ответ на этот вопрос не может быть однозначным, поскольку вплотную зависит от особенностей внутренней структуры, стратегических приоритетов, традиций и специфики бизнеса. В пику распространению SaaS-концепции (Software as a Service) в сфере управления продажами, персоналом, в области ИБ ситуация характеризуется повышенным консерватизмом. Что вполне понятно, так как безопасность — внутреннее дело компании. Глобальная тенденция свидетельствует, что к частичному ИБ-аутсорсингу прибегают 18% компаний, в то время как на полный откуп ИБ внешнему подрядчику решаются лишь единицы. В России ситуация еще более консервативная: партнеры привлекаются исключительно для установки и наладки систем защиты, в то время как общее стратегическое планирование, управление и поддержка — почти всегда остаются в руках собственной ИБ-службы.
В частности, в исследовании «ИБ в условиях кризиса») респонденты дали следующие ответы:
Можно отдать на аутсорсинг всю сферу ИБ — 5,5%.
Можно отдать на аутсорсинг часть наименее критичных функций — 8,8%.
Можно перевести часть своих ИБ-специалистов на удаленную работу — 5,8%.
Нет, доверять безопасность внешним специалистам нельзя — 60,3%.
Затрудняюсь ответить — 19,7%.
Полагаю, такое положение вещей отражает современные настроения бизнеса. Вряд ли в среднесрочной перспективе это соотношение поменяется. Даже несмотря на очевидный тренд расширения аутсорсинга в пакете заказов.
Финансирование вопросов безопасности. На чем нельзя экономить?
Сергей Бугримов:
— В первую очередь — на персонале. Какими бы ни были совершенными системы контроля и обеспечения безопасности — основой любой системы всегда является человек. Конечное решение по любому событию или инциденту всегда принимает специалист. А грамотный специалист сможет не только принять правильное решение, но и разработать методику выявления неочевидных, но потенциально опасных событий, с последующим устранением первопричины. Мы не можем просто отказаться от обеспечения безопасности, даже если это затратный процесс, ведь тогда и бизнес станет очень уязвим.
Денис Зенкин:
— В России средний уровень расходов на ИБ составляет всего лишь 3% (мировой показатель — 7%) от общего ИТ-бюджета, поэтому даже при сокращении расходов сэкономить не удастся. Более того, в условиях кризиса и массовой миграции сотрудников между компаниями вопрос защиты конфиденциальности данных многократно возрастает. Естественно, что для повышения своей стоимости работник будет стремиться аккумулировать как можно больше стратегической и тактической информации своего предыдущего работодателя.
В частности, обращу внимание на следующую цифру: 73,3% респондентов считают, что несмотря ни на какие кризисы ИБ является важнейшим приоритетом организации. В период кризиса значение ИБ даже возрастает.
Как должна строиться кадровая политика предприятия, с точки зрения обеспечения экономической безопасности?
Сергей Бугримов:
— Прежде всего воспитание лояльности сотрудников к компании.
Константин Борисов, управляющий директор Morgan Hunt Selection:
— В период нестабильности, когда над многими работниками, в том числе и не помышлявшими ранее о некорректных действиях, висит «домоклов меч» потенциального сокращения или снижения зарплаты, сотрудники начинают зачастую испытывать чувство неприязни к компании, особенно в условиях недостатка информации. Такая ситуация может спровоцировать персонал на кражу, прежде всего, ценной корпоративной информации, в основном о клиентах или контрактных и ценовых условиях. Такая информация копируется зачастую «на всякий случай», но нередко ее начинают использовать или продавать, а это уже ситуация, способная реально Поэтому в отношении работы с персоналом следует сделать больший упор на защиту данных от копирования, возможен контроль корпоративной почты части работников, но такие действия никогда не должны быть публичными или анонсируемыми, так как ничего, кроме страха и напряжения, вызвать не могут. Однако осуществляясь незаметно, такие действия способны уберечь ценную для вашей компании информацию.
Какие методы проверки персонала хорошо зарекомендовали себя, с точки зрения безопасности компании?
Сергей Бугримов:
— Проверка персонала — это совместная работа блока безопасности и блока по управлению персоналом. Это тестирование, собеседование, определение личностных характеристик и наклонностей.
Какие современные технические средства используются службами безопасности? Ваша оценка их эффективности?
Сергей Бугримов:
— Это, прежде всего ,средства мониторинга сетевого трафика, анализа сетевой активности, антивирусной защиты, охраны, контроля и управления доступом на объекты компании, видеонаблюдения и др.
Профессиональное использование имеющегося набора технических средств в совокупности с организационными мероприятиями дает высокую эффективность. Например, не стоит ставить дорогостоящие камеры наблюдения там, где нет существенных по значимости угроз и рисков.
Возврат долгов и их недопущение — это интересный фронт работы службы безопасности?
Сергей Бугримов:
— Возврат долгов и их недопущение является сферой деятельности юридической службы компании. Однако подразделение безопасности осуществляет информационное сопровождение данного процесса.
Поделитесь опытом и секретами недопущения образования должников.
Сергей Бугримов:
— В условиях нынешнего финансов кризиса данный вопрос является очень тонким и требует индивидуального подхода. Полезно помнить мудрость: «Не навреди».
Женщины в службах безопасности — это экзотика или восторг?
Сергей Бугримов:
— Работа — есть работа. И женщины в службах безопасности — это не экзотика и не восторг. Они равноправные коллеги. Мало того, их отличает усидчивость, пунктуальность, аккуратность, а также нестандартный подход к решению ряда проблем.
Денис Зенкин:
— В ИБ — это и экзотика, и восторг. Экзотика, понятно, потому что редкость. Восторг — потому что каждая женщина-ИБ — профессионал — это исключительно талантливый человек, самородок, заслуживающий всей сортов уважения.
«Святая простота — хуже воровства» — любимая фраза министра безопасности Франции при Наполеоне.
Как бороться с механическими, непреднамеренными ошибками работников?
Сергей Бугримов:
— Основыми методами борьбы с механическими, непреднамеренными ошибками работников являются «защита от дурака» (например, в числовое поле документа нельзя внести текстовую информацию) и выработка профессиональных навыков и повышение мотивации (выработка желания работать с радостью и отдачей) работников с использованием их обучения.
Денис Зенкин:
— Одно из центральных мест внедрения системы защиты от утечки занимает комплекс организационных, административных мер, направленных на повышение информированности и компетентности сотрудников. Логично предположить, что самый лучший инструмент защиты не сможет помочь в решении проблемы, если не знать, как с ним обращаться.
Поэтому тренинги и поддержание осведомленности персонала трудно переоценить. Экзотический, граничащий с эпатажем, способ работы с персоналом мне подсказал в частном разговоре один профессионал. С его точки зрения, подавляющее количество проблем с электронными утечками можно решить психологическими методами (эффект плацебо). На компьютере размещается программа, которую можно видеть в системном лотке, но ничего не делающая. Параллельно проводятся тренинги для сотрудников о внедрении новой системы контроля над внутренними нарушениями. Иногда распускаются слухи о поимке инсайдеров, проводятся новые тренинги.
Расскажите о себе.
Сергей Бугримов:
— Дирекция по корпоративной безопасности ОАО «КОМСТАР-ОТС» представляет собой небольшое по численности, но достаточно
эффективное подразделение, обеспечивающее весь спектр безопасности компании. В ее состав входят как убеленные сединами «зубры», так и молодые, но активные сотрудники. Еще раз следует подчеркнуть, что есть у нас и девушки, работа которых эффективна и продуктивна.
Денис Зенкин:
— Родился в 1974 г. в г. Москве. Окончил с отличием Дипломатическую академию МИД РФ по кафедре «Международные экономические отношения» и Российскую экономическую академию им. Г.В. Плеханова по специальности «экономист-математик». Имею степень кандидата экономических наук в области маркетинга. С 1999 по 2004 гг. занимал пост менеджера по маркетингу, PR-менеджера, а затем директора по корпоративным коммуникациям «Лаборатории Касперского». За это время компания создала эффективную систему связей с общественностью и добилась значительных успехов в продвижении продуктов и услуг в России и за рубежом. Согласно опросу журналистов ведущих российских печатных и интернет-изданий, проведенному агентством PR Link, «Лаборатория Касперского» заняла первое место в рейтинге лучших PR-служб. В 2004 г. стал одним из основателей и директором по маркетингу компании InfoWatch, внес свой вклад в создание нового рынка и обеспечение лидерских позиций нового брэнда.
Автор более 500 статей по тематике информационных технологий, маркетинга и связей с общественностью, опубликованных в российских и зарубежных СМИ.