безопасность
Подавляющее большинство ИТ-отделов сегодня сталкиваются с большой проблемой: остальные сотрудники компании считают их на 100% отвечающими за кибербезопасность. Возлагать на них обязанности по некоторым аспектам кибербезопасности вполне разумно, но они, конечно, не могут нести всю тяжесть ответственности. На самом деле ИТ-персонал оказывается в том же положении, что и полицейские. Притом что полицейские могут ловить преступников и предупреждать некоторые преступления, они, конечно, не могут отвечать за каждое успешно совершенное злодеяние. И не их вина, что так много людей оставляют двери (или мобильные устройства) незапертыми (незаблокированными) и становятся невольными мишенями. Тем не менее, организации очень часто кого-то увольняют из ИТ, чуть ли даже не CIO, когда случаются взломы.
Обеспечение безопасности необязательно является трудной для решения задачей. Если бы ИТ-отдел имел полный контроль над организацией, они могли бы легко гарантировать полное отсутствие любых проникновений: вырыть ров вокруг компании, заполнить его сотней аллигаторов и запретить всем и всему входы и выходы. Это просто, хотя и попахивает средневековьем.
Конечно, бизнес не может функционировать в подобных «условиях изоляции». Не может любое предприятие сегодня преуспеть без многочисленных точек входа и выхода для людей, информации и коммуникаций. И со всем этим движением ИТ-отдел многое контролировать уже не способен. Одно из решений заключается в том, чтобы придумать формулу, помогающую измерить степень ответственности ИТ-отдела за кибербезопасность.
ИТ-отделы как полиция: могут предотвращать неприятности, но лишь некоторые из них.
Tweet
Страховые компании создали хорошие модели для этого: при рассмотрении ДТП, например, они точно определяют процент вины каждого участника аварии, который несет ответственность за инцидент. Ключевыми факторами могут быть: погода (5%), изношенные шины (12%), неопытность водителя (17%) и свинья на перекрестке (66%). Если на самом деле применить формулу такого рода для любого взлома компании, то напрашивается вывод, что ИТ-отдел виновен менее чем на 20%.
Перечень других факторов для рассмотрения при оценке вины в нарушении кибербезопасности:
— Руководители игнорируют обучение персонала основам кибербезопасности
— Маркетинг запустил новые «порталы клиентов», значительно увеличив площадь атаки компании
— Данные, полученные c этих порталов, являются ценными для киберпреступников
— Руководящие сотрудники регулярно подвергаются спиэрфишингу
— Мобильные политики регулярно нарушаются
— Сотрудники загружают бесплатные приложения из подозрительных источников
— Сотрудники подключают персональные мобильные устройства непосредственно к корпоративной сети
ИТ-отдел редко способен пресекать любое из этих действий, хотя каждое из них ставит под угрозу безопасность компании.
Такое положение дел несправедливо по отношению к ИТ. Но куда важнее то, что, пока ИТ-отдел выступает «козлом отпущения», никакое другое подразделение компании не отвечает за комплексные последствия принятых решений.
Вот несколько советов по устранению проблемы:
1) Озвучить формулу ответственности и определить подразделения и отдельных лиц, до некоторой степени отвечающих за взлом. (Побочная польза: это может на самом деле подтолкнуть людей соблюдать политики)
2) Добавить опросник в конце каждого запроса к ИТ в виде:
Как ваш запрос скажется на уровне кибербезопасности компании?
— Повысит
— Понизит
— Не скажется
Сначала люди могут не понять вопроса и будут оставлять это поле пустым. Но когда они узнают, что поле является обязательным для заполнения, то выберут «не скажется». Тогда ИТ-отдел уже может вмешаться и объяснить, что риск для безопасности, как правило, увеличивается, когда расширяется сеть, или собираются и хранятся дополнительные ценные данные о клиентах.
Каждый сотрудник компании несет свою долю ответственности за ее кибербезопасность.
Tweet
Со временем сотрудников можно переучить, чтобы они осознавали реальный статус кибербезопасности компании. «Статус безопасности» не так уж строг, как кажется. Да, он определяется оборудованием, программным обеспечением, а также надеждами и чаяниями (они же «утвержденные политики») ИТ-отдела, но еще и формируется под влиянием постоянных выборов в плане безопасности каждым сотрудником на ежедневной основе.
Синтия Джеймс, Глобальный директор по развитию бизнеса, CISSP. Ее карьера в IT охватывает 25 лет, из которых восемь отданы борьбе с киберпреступностью. Джеймс часто пишет на тему кибербезопасности и является автором книги Stop Cybercrime from Ruining Your Life! Sixty Secrets to Keep You Safe.
Советы