Sherpa Business Consulting - информационный сайт
Главная | Консалтинг | Виды консалтинга | Бизнес системы | О компании

-> Статьи -> Призрачная стратегия

Призрачная стратегия

У большинства российских компаний нет внятной стратегии информационной безопасности, что делает многие их меры по защите информации непродуктивными.
Мы продолжаем цикл публикаций, посвященных проблеме информационной безопасности. В одном из предыдущих выпусков "Технологий и управления" обсуждались основные угрозы информационной безопасности компании и меры по ее защите (см. "Эксперт С-З" №16 от 25 апреля 2005 года). В этом выпуске мы решили разобраться в том, как на практике строится политика информационной безопасности и с какими сложностями при этом приходится сталкиваться.

Опрос руководителей ИТ-служб и других представителей компаний показал, что менеджеры в целом адекватно представляют себе риски, возникающие в сфере информационной безопасности. На первое место в списке угроз они ставят нарушения правил работы с электронной почтой, Интернетом и внутренними коммуникациями, правил доступа к информации и ее использования - в общем, все те обстоятельства, которые подпадают под формулировку "человеческий фактор". Менее опасными, но весьма существенными менеджеры считают вирусные и хакерские атаки, а затем - технические сбои в работе системы. Однако даже при реалистичной оценке потенциальных проблем во многих случаях предприятию не удается сформировать действенную и непротиворечивую политику информационной защиты.

Принцип невмешательства
Вопрос о том, существует ли на предприятии стратегия информационной безопасности и каково основное содержание этой стратегии, мы задали представителям целого ряда компаний, но в большинстве случаев получили краткие и неинформативные ответы. Начальник ИТ-отдела крупной строительной компании ответил на этот вопрос так: "Стратегия, безусловно, существует". Еще на одном предприятии нам сообщили, что "стратегия есть, но она требует денежных затрат, умственной энергии руководителей всех рангов, наличия подготовленных пользователей и т.д. Из-за этого она плохо вписывается в общую стратегию развития бизнеса и автоматизации управления".

"Компаний с четкой стратегией обеспечения информационной безопасности - единицы", - считает директор по развитию компании "Поликом Про" Сергей Курьянов. Чаще всего речь идет не об осмысленной стратегии, а о "планах мероприятий по информационной безопасности". Поэтому-то меры защиты и выпадают из бизнес-стратегии: они направляются на решение частных, тактических задач, а не на то, чтобы поддерживать развитие производства или системы взаимоотношений с клиентами.

Поскольку за "планами" нет осмысленной политики информационной безопасности, принимаемые меры не удается связать в систему. Как говорит директор центра защиты информации компании "Конфидент" Алексей Сидоров, "часто можно видеть установленные на предприятии отдельные компоненты и средства безопасности, не сведенные в единую систему, лишенные возможности централизованного управления, внедренные без основы в виде нормативной и распорядительно-документальной базы и т.д. Подобный подход приводит, во-первых, к снижению эффективности защиты информационных ресурсов, а во-вторых, к необоснованным затратам".

Меж двух стульев
Такое положение дел - естественное следствие того, что руководство предприятия, с одной стороны, перекладывает решение вопросов информационной безопасности на ИТ-службу, а с другой - не предоставляет ее руководителю полномочий, достаточных для эффективного управления мерами защиты. ИТ-специалисты редко имеют доступ к руководству и не могут добиться того, чтобы политика защиты информации соблюдалась, а это превращает пусть даже и утвержденную руководством стратегию в набор ничего не значащих фраз. Налицо весь букет проблем, связанных с недооценкой роли ИТ-подразделения, о чем "Эксперт С-З" писал уже не раз.

Задачи обеспечения информационной безопасности в таких случаях делегируются ИТ-специалистам, но последние в силу ограниченности своих полномочий могут решать лишь технические вопросы - выбирать антивирусную программу, устанавливать ограничения на работу в Интернете, настраивать права доступа - и представлять на утверждение финансовые сметы. Топ-менеджмент утверждает предстоящие траты или урезает бюджет, не желая вникать в вопросы обеспечения безопасности. В итоге система информационной безопасности становится сугубо внутренним делом одного подразделения, а это обрекает ее на неполноценность и неэффективность.

Кроме того, оставаясь на вторых или третьих ролях, ИТ-специалисты не могут не только сформировать продуманную политику информационной безопасности, но и повлиять на рядовых пользователей системы, заставить их выполнять все требования. "На сотрудников, за редким исключением, надежды нет. Стараемся обходиться силами сисадминов", - констатирует заместитель начальника отдела системного информационного обеспечения локальных вычислительных сетей Канонерского судоремонтного завода Борис Новиков.

Базовые задачи информационной безопасности таким образом можно решить, но это приводит к одному из двух вариантов: либо на работу персонала с компьютерной техникой накладываются предельно жесткие и не всегда обоснованные ограничения, которые компенсируют прорехи в системе безопасности по другим направлениям, либо человеческий фактор все же перевешивает и деятельность ИТ-отдела превращается в сизифов труд.

Эффект коллективного действия
Успех мероприятий по информационной безопасности возможен лишь тогда, когда ИТ-служба и менеджмент вместе работают над задачами и конкретными мерами защиты. Как говорит Сергей Курьянов, "нужно защищать не информацию или инфраструктуру, а бизнес-процессы, то есть выделять важнейшие для предприятия процессы и защищать все связанные с ними данные и каналы коммуникаций, обеспечивая безопасность всех звеньев на определенном уровне".

По словам системного инженера компании "Хлебный Дом" Константина Макова, приоритетные для защиты объекты определяет руководство предприятия. На основании этих задач ИТ-служба разрабатывает политику информационной безопасности и систему мероприятий по ее реализации; все это выносится на утверждение руководства. "Политика безопасности подразумевает, что все информационные системы компании должны работать бесперебойно и согласованно с потребностями бизнеса. Исходя из этого мы и планируем комплекс необходимых мер", - говорит Маков.

При таком подходе вполне реально выстроить цельную стратегию информационной безопасности, но для этого руководство и сотрудники ИТ-службы должны наладить непрерывный диалог. По мнению Сергея Курьянова, "на предприятии должен быть запущен постоянный процесс обеспечения информационной безопасности, опирающийся на анализ рисков по отношению к критичным бизнес-процессам. В этом должны принимать участие и те, кто может вычислить или хотя бы взвесить на относительной шкале риски предприятия, и те, кто может оценить соотношение "цена/прочность" для предлагаемых на рынке технологий. В результате анализа определяется либо бюджет, необходимый для достижения заданной прочности защиты, либо уровень прочности, достижимый в рамках заданных бюджетных ограничений".

Оценка эффективности принимаемых мер - все еще больной вопрос даже для компаний, где информационной безопасности уделяется достаточно внимания. Как правило, такая оценка или вообще не производится, или является приблизительной. "Конкретного механизма оценки затрат у нас нет, - признается Константин Маков. - Составляется список задач по информационной безопасности, по ним и рассчитываются затраты. Обычно это происходит в конце года, в момент составления бюджета на будущий год". Зачастую нет и оценки убытков, которые приносят нарушения режима безопасности: такой ущерб измеряется лишь в минутах простоя системы.

Безопасность под ключ
В то же время невозможность выполнить все эти задачи собственными средствами вовсе не означает, что компанию ждет кризис системы безопасности. Проблема скорее в том, чтобы понять, в каких случаях лучше прибегнуть к услугам внешних специалистов - компаний, специализирующихся в области защиты информации. Обращение к консультантам по безопасности может быть выгодно, например, небольшим предприятиям. "Нередко обеспечение информационной защиты перекладывается на плечи единственного в компании системного администратора, который к тому же не является специалистом в данной области. А если нет собственных профессионалов, нужно привлекать сторонние компании", - считает коммерческий директор компании "БУХта" Игорь Сидоренко.

Нередко менеджмент компании принимает решение улучшить систему защиты не потому, что это остро необходимо или поможет сократить убытки в долгосрочной перспективе, а для того, чтобы подготовиться к прохождению сертификации по стандартам качества. Кроме того, наличие продуманной политики информационной безопасности может быть имиджевым ходом, который позволяет более успешно привлекать инвестиции и вести дела с партнерами (особенно это касается консалтинговых фирм). Во всех этих случаях правильно выстроить стратегию в сфере безопасности самой компании затруднительно: нужно привлекать специализированные фирмы.

Однако речь не обязательно идет о полном ИТ-аутсорсинге в сфере безопасности. Во многих компаниях работают грамотные специалисты, которые в состоянии ориентироваться на рынке защиты информации. В таком случае может быть достаточно проведения базового аудита действующей информационной системы. На основе результатов такого аудита ИТ-директор, обладающий необходимыми полномочиями, вполне может самостоятельно обнаружить в системе критические участки и дополнить общую стратегию информационной безопасности мерами по их устранению.

Источник: Эксперт Северо-Запад #36 (241) от 26 сентября 2005

Все статьи

Бизнес консалтинг
Управленческий консалтинг
Аудит консалтинг
Менеджмент консалтинг
Кадровый консалтинг
Финансовый консалтинг
Консалтинг недвижимости
Инвестиционный консалтинг
Налоговый консалтинг
Риск консалтинг
Стратегический консалтинг
Операционный консалтинг
IТ консалтинг
Маркетинг консалтинг
Организационный консалтинг
Консалтинг в области логистики
Юридический консалтинг


Rambler's Top100