Информационная безопасность в фокусе мирового финансового кризиса
Александр Дорофеев, CISSP, CISA, эксперт по управлению информационной безопасностью
Сергей Колосков, CISA, эксперт по управлению информационной безопасностью
Мировой финансовый кризис уже затронул целый ряд секторов экономики и сказался на деятельности многих российских компаний. Каким образом кризис скажется на работе служб информационной безопасности (ИБ) компаний? Ответ на этот вопрос мы хотели бы дать в настоящей статье.
Что происходит в компаниях?
Исследование компании "Эрнст энд Янг" в области ИБ за 2008 г. показало, что более чем 70% респондентов отметили прямое влияние инцидентов в области информационной безопасности на прибыль компании. Именно поэтому вопросы управления информационной безопасностью в период экономической нестабильности становятся все более актуальными. Прежде чем говорить об особенностях управления ИБ во время финансовой нестабильности, попробуем разобраться в том, что происходит сейчас в компаниях.
Снижение доступности кредитов для российских компаний и отток инвестиций ведет к сокращению рынков и объема деятельности наших компаний. Руководство компаний активно принимает меры по сокращению затрат и с большей аккуратностью управляет финансовыми потоками своего бизнеса. Сокращение затрат ведет к следующим переменам в компаниях:
пересмотр портфеля инвестиционных проектов;
снижение объемов закупок услуг, напрямую не влияющих на повышение операционной эффективности компании;
изменение организационной структуры компании, объединение отделов;
сокращение персонала;
повышение эффективности
труда сотрудников;
сокращение бюджетов на обучение персонала;
пересмотр условий работы с партнерами, их смена.
Последствия для службы информационной безопасности
Для службы ИБ снижение лояльности сотрудников, ожидающих возможного увольнения, и обострение конкурентной борьбы приведет к повышению рисков информационной безопасности и заставит компании с большой внимательностью относиться к вопросам управления рисками и инцидентами ИБ. Также очевидно, что, хотя проблем у службы ИБ станет больше, бюджеты на их решение, скорее всего, не увеличатся. Рассмотрим возможные последствия более детально.
Сокращение персонала и изменение организационной структуры компании может привести к увеличению количества инцидентов, связанных с несанкционированным доступом к информации компании и, возможно, с нарушением доступности информационных ресурсов. Так, сотрудник, узнавший о своем грядущем увольнении, может попытаться уничтожить данные, с которыми он работал, или попытаться получить информацию, представляющую интерес для конкурирующих организаций, в одной из которых он сможет найти работу. Таким образом, службе ИБ придется уделять большее внимание своевременной блокировке учетных записей, а также пересмотру прав доступа для сотрудников, чьи должностные обязанности изменились, и мониторингу действий пользователей в информационных системах.
Сокращение затрат на развитие и обучение персонала в компании, как правило, касается сотрудников всех подразделений, в том числе специалистов в области информационных технологий и ИБ. Ведущие российские учебные центры уже отмечают существенное уменьшение спроса на учебные курсы по информационной безопасности. Как следствие, функция обучения персонала компании в области защиты информации перейдет к службе ИБ.
Сложившаяся практика работы с партнерами (поставщиками, заказчиками и т.п.) в течение ряда лет формирует определенные взаимоотношения, в том числе связанные с передачей конфиденциальной информации и контролем ее дальнейшей защиты. Финансовый кризис может вынудить компании сменить партнеров, что, в свою очередь, потребует от службы ИБ усилить контроль информационного взаимодействия с третьими сторонами.
Следует отметить, что многие компании будут заинтересованы в аудите ИБ, так как зачастую руководству компании требуется независимая оценка состояния информационной безопасности, проектов в данной области и деятельности службы ИБ, а для этого лучше всего воспользоваться услугами внешнего независимого аудитора. Дополнительно спрос на данный вид услуг по ИБ может повыситься из-за грядущего всплеска слияний и поглощений компаний, вызванных все тем же финансовым кризисом.
Вывод
Таким образом, финансовый кризис добавит работы службам ИБ, но в то же время позволит в очередной раз продемонстрировать руководству компаний важность функции информационной безопасности и позитивно скажется на ее развитии в долгосрочной перспективе. Последние результаты исследования "Эрнст энд Янг" показывают, что компании не планируют массового сокращения затрат на информационную безопасность в условиях кризиса - так, лишь 5% опрошенных в ходе исследования заявили о своих намерениях снизить годовые затраты на информационную безопасность, а 50% респондентов планируют даже их увеличить.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2008