Безопасность бизнеса – маркетинг или реальность?

– В последнее время от игроков ИБ-рынка все громче звучит термин "безопасность бизнеса". Насколько близки понятия информационной безопасности и безопасности бизнеса?
– Да, действительно, сейчас ряд поставщиков решений по ИБ видят прямую связь между своими предложениями и безопасностью бизнеса. А, например, поставщики антифрод-решений вообще ставят практически тождественное равенство с безопасностью бизнеса.

На мой взгляд, это во многом маркетинговый ход. Для большинства владельцев бизнесов бизнес-риски лежат далеко за пределами плоскости информационных технологий. В части безопасности они уделяют внимание событиям, происходящим на рынке, слияниям и поглощениям, недружественным действиям конкурентов, изменениям в фискальной политике.

– Что же такое для бизнеса информационная безопасность? И как она соотносится с экономической, физической или какой-либо другой безопасностью?
– Информационная безопасность и решения по защите ИТ-инфраструктуры для бизнеса являются в первую очередь способом сокращения операционных рисков и потерь. И говоря про минимизацию рисков, связанных с ИТ, не нужно их отделять в целом от операционных рисков организации, решать эти проблемы нужно в комплексе. Отсюда следует еще один важный момент – не нужно сильно отделять друг от друга вопросы экономической, физической и информационной безопасности. Это все инструменты.

– Можете привести пример?
– Да, конечно. Вот, например, в каждой организации очень много рисков связано с персоналом. Их, как правило, трудно минимизировать только лишь техническими средствами – невозможно за каждым сотрудником установить видеонаблюдение или проверять каждого на полиграфе. Решение этой задачи должно быть комплексным.

Оно должно содержать средства контроля действий персонала в ИТ-системе, элементы кадровой безопасности и соответствующих проверок при приеме на работу, пропускной режим, видеонаблюдение, а еще должны быть урегулированы юридические вопросы, чтобы сотрудники понимали свою ответственность за нарушение правил организации, разглашение конфиденциальной информации и пр.

На этом примере хорошо видно, что защита от каждого риска состоит из целого комплекса взаимоувязанных мероприятий, и нет четкого деления на защиту информационной безопасности, экономической или технической.

Иными словами, такой подход можно назвать конвергентной безопасностью, когда разные по технологической направленности решения позволяют достичь единой цели.

– С чего бы вы порекомендовали начать построение системы комплексной безопасности бизнеса?
– Начальный шаг – это обеспечение некоторого "гигиенического" базиса во всех областях, включая информационную безопасность. Грубо говоря, нужно поставить на каждый компьютер антивирус, на входе в сеть установить межсетевой экран, в офис все должны проходить по пропускам, а в большинстве помещений должна быть видеорегистрация.

А дальше должен быть реализован риск-ориентированный подход. Должны быть идентифицированы и ранжированы основные операционные и бизнес-риски. По каждому из них должно быть принято решение о способах минимизации потенциального ущерба. Необходимо в каждом конкретном случае подбирать определенный сбалансированный комплекс технических, организационных, юридических и других мер защиты.

Конечно, успешностью такого подхода является вовлеченность и деятельное желание высшего менеджмента этот процесс поддерживать.

– А у себя в компании вы пошли этим путем?
– Да, с самого начала нашей деятельности мы так и начали двигаться. У нас выделено 63 основных риска, по почти сорока из них принято решение о необходимости минимизации, собран общий action-план по работе с этими рисками. На периодической основе собирается риск-комитет, на котором идет контроль исполнения планов, обсуждаются наши направления развития, развитие ИТ-систем и возникающие новые риски.

– И все же. Современный бизнес стал зависимым от ИТ: высокая централизация корпоративной информации делает ее уязвимой и увеличивает риск утечки данных. Есть ли какие-то особенности построения защиты именно от ИТ-рисков?
– Подход должен быть примерно такой же. Но хочу добавить. Информационная безопасность – это два главных момента.

Первый – это порядок в ИТ, начиная с развития бизнес-систем компании, которое должно аккуратно осуществляться с проработкой всех вопросов безопасности, и заканчивая банальным порядком в доступах, в управлении обновлениями, контроле персонала.

Второй – это постоянный мониторинг состояния информационной безопасности и контроля защищенности. Ведь даже говоря о кибератаках, важно не столько блокировать каждую первую атаку, сколько обнаружить ее и сделать какие-то организационные выводы, чтобы предотвратить ее в будущем.