Чому так важко знайти людину, яка буде відповідальною за інформаційну безпеку компанії? (частина 1)

«Зроби мені безпечно або чому спеціалісти з безпеки в бізнесі не завжди виправдовують очікування» – оригінальна назва статті. 

Головною метою пошуку нової інформації для компанії MO Group є не лише отримання нових знань нашими спеціалістами, а й ознайомлення наших клієнтів та колег з новими рішеннями у сфері інформаційної безпеки, опис вже існуючих рішень та просто публікація цікавої та важливої інформації у сфері діяльності нашої компанії. Цю неділю ми присвячуємо особистим нотаткам фахівця у сфері інформаційної безпеки – Віталія Ісакова. Чоловік, який має досвід роботи консультантом з безпеки, у простій манері пише про те, чому важливо не помилитися при виборі відповідального за інформаційну безпеку на підприємстві та які бувають небезпеки інформаційній безпеці.

Вибір особи, відповідальної за інформаційну безпеку підприємства, є чи не найголовнішим питанням серед організацій, які прагнуть захистити свої ресурси. Робота підприємства напряму залежить від збереження таких властивостей інформації як цілісності, конфіденційності та доступності. Модифіковані чи видалені контактні дані клієнтів, незаконно отримана інформація, яка є комерційною таємницею, заблокований доступ до важливих ресурсів – все це підриває як репутацію організації, так і впливає на робочий процес і може призвести навіть до повного припинення роботи бізнесу. Головним призначенням служби безпеки (далі – СБ) на підприємстві є забезпечення збереження головних властивостей інформації, які були вказані вище. Проте Віталій Ісаков зазначив, що СБ не завжди можуть виконувати поставлені перед ними задачі з максимальною ефективністю, при цьому самі керівники бізнесу часто не розуміють, які задачі потрібно ставити перед спеціалістами СБ і як оцінювати їх результативність.

Таку ситуацію автор порівнює з несправним вогнегасником в машині: «Він дає помилкове відчуття захищеності. Начебто він є і все добре, але якщо трапиться пожежа, а вогнегасник не працює, тоді починається стрес, паніка, а машина вже згоріла і збиток вже завдано. Так і з поганою СБ – вона є, співробітники щось роблять, чимось звітують, а як відбувається будь-який інцидент – самі губляться. Або коли співробітники СБ компанії (а вони входять в коло довірених осіб) самі завдають шкоди: крадуть ресурси компанії, продають інформацію, так само як і несправний вогнегасник – ось лежить в салоні спокійно, а в наступний момент БАХ, і вся машина в піні, салон зіпсовано…»

Чому ж так важко знайти людину, яка була б відповідальною за інформаційну безпеку компанії?

«Практично будь-який керівник хоче, щоб його компанія була захищена від посягань зловмисників, щоб у кризовій ситуації «під рукою» знаходився фахівець, який оперативно та ефективно зможе вирішити проблему, на якого можна покластися і знати, що бізнес захищений. З іншого боку, далеко не кожна компанія може дозволити собі утримувати подібного співробітника, а керівництво реагує на загрози «по факту», тобто після того, як збиток вже завдано або спроба атаки сталася. Вони часто беруть завдання захисту бізнесу на себе, відкладаючи питання комплексного вирішення на потім. Питанням створення власної системи безпеки фірми, як правило, переймаються або після серйозних інцидентів, що призвели до суттєвих втрат бізнесу, або у міру зростання, коли потрібен додатковий вектор контролю за персоналом, або якщо діяльність ведеться у висококонкурентному середовищі, особливо якщо робота балансує на межі закону, а іноді й просто тому, що «ну, так інші роблять». Часто бізнесу і не потрібен окремий напрямок з безпеки, особливо якщо фірма невелика. Цей функціонал може виконувати керівництво компанії і в цьому немає нічого складно, якщо достатньо часу. Потрібно тільки правильно оцінити загрози бізнесу і підібрати ряд компетенцій», – пише Віталій, і з ним не можна не погодитись.

«Якщо задати питання практично будь-якому керівнику чи власнику бізнесу, кого він буде розглядати в якості кандидата на роль співробітників служби безпеки, то з величезним відривом будуть лідирувати представники «силового блоку»: ФСБ, МВС, ФСВП і т.д. Ну, тут начебто все зрозуміло. Люди багато часу пропрацювали в спеціальних службах, правоохоронних структурах, і хто, як не вони, повинні розбиратися в питаннях безпеки і захисту бізнесу. Так дійсно думають напевно більшість людей. Принаймі всі опитані мною, без жодного винятку, відповідали так. Тобто з групою, звідки вибирати, всім ясно, а далі розглядаються вже інші характеристики, як то: послужний список, сфери діяльності, зв’язки в середовищі силовиків, нагороди, відгуки тощо. Начебто все відмінно і правильно, але є один нюанс: більшість співробітників силових структур особливо безпекою у своєму житті і не займалися. Вони займалися оперативно-розшуковою діяльністю (далі – ОРД), ловили злочинців, які вчинили протиправні діяння, займалися написанням довідок, звітів, статистикою, нарадами…  Безпекою тут особливо і не пахне, принаймі, тією її частиною, яка пов’язана із запобіганням нанесення шкоди, чому в даний час, на жаль, уваги приділяється мало. Звичайно, агентурно-оперативна робота поставлена ​​добре, і інформацію отримувати багато оперативних співробітників вміють відмінно, проводити її оцінку, працювати над розкриттям злочинів, але ось робота на випередження часто поставлена ​​гірше. А такі аспекти, як постійний аналіз загроз безпеки, визначення потенційних векторів «атак» на підприємство, визначення власних вразливостей бізнесу (тут все досить погано, так як такий аналіз, якщо і проводиться, то вкрай рідко і робиться формально, тому що зізнаватися у своїх прорахунках мало хто захоче), аналіз стану конкурентів, оцінка їх можливостей по нанесенню шкоди бізнесу і т.д., як правило, не беруться до уваги. Це не означає, що ті, хто працюють фахівцями з безпеки дурні або невмілі, а всього лише, що під час служби, на подібного роду або схожі аспекти робочого часу практично не залишалося, і люди звикали працювати з тим, що було, а потім подібні моделі просто переносили на бізнес.»

Слід звернути увагу на такі слова автора: «Крім того, не варто забувати і про те, що більше цінуються не ті злочини, яким лише запобігли СБ, а й ті, які були розкриті. Саме за підсумками розкриттів, арештів, гучних посадок, співробітники отримують подяки та нагороди, просування по кар’єрних сходах. Це, безумовно, дуже потрібна робота і без неї жити було б напевно страшно, але в такому випадку збиток вже був завданий. Людина понесе покарання, але після вчинення протиправного діяння. Для бізнесу це означає можливе (саме можливе, оскільки треба ще знайти і довести) покарання лиходія, але після нанесення шкоди компанії, а це, як правило, втрачені гроші. Крім того, треба ще вміти перекласти свої вміння і навички з охорони інтересів особистості, суспільства і держави, з позиції співробітника силової структури, на майже «безправного» спеціаліста СБ в бізнесі…»

Продовження, в якому Віталій Ісаков розповідає, чому керівник служби безпеки, який вийшов на пенсію після роботи в силових структурах, не завжди може  бути кращим варіантом для підприємства, буде у середу, 25.04. Але якщо Вас дуже зацікавив автор і Ви не можете чекати і дня, то переглянути оригінал статті Ви можете за посиланням: https://vc.ru/35412-sdelay-mne-bezopasno-ili-pochemu-bezopasniki-v-biznese-ne-vsegda-opravdyvayut-ozhidaniya.

Якщо Ви знаходитесь в пошуку спеціаліста з інформаційної безпеки в Вашу організацію, повідомляємо Вас, що компанія MO Group готова стати на захист Вашої інформації! Пишіть нам, і ми проконсультуємо Вас, проведемо пілотний проект та надамо Вам інформацію про всі ціни і терміни виконання робіт!

Замовити рішення

Якщо у Вас виникли питання, звертайтесь за номером  +380 50 705 82 24 та +380 67 589 42 70 або по електронній пошті sales@mogroup.com.ua для отримання додаткової інформації.

Даний матеріал є перекладом статті спеціаліста з інформаційної безпеки – Віталія Ісакова.

Об авторе: Anastasia

оставьте ответ

Ваш электронный адрес не будет опубликован.