Компания Chevron: роль информационной безопасности возрастает

Компания Chevron: роль информационной безопасности возрастает

М. Мимосо, старший редактор журнала «Information Security»

Управление рисками

Chevron является четвертой в мире по величине среди нефтедобывающих компаний. Она была образована в результате объединения в 2001 году Chevron и Техасе После этого были созданы многочисленные подразделения, в каждом из которых теперь принята своя технология обработки данных. Такое положение дел усложняет задачу управления всем массивом информации, обеспечением его защиты. Одновременно реализуется до 50 проектов трехмерного сейсмического моделирования — это больше чем 500 терабайтов информации в год.

Особое значение для компании имеет управление рисками: ведь бурение каждой скважины обходится очень дорого и она должна работать десятилетия. В защите нуждаются сотни терабайтов данных. Нефтяная скважина не может быть мобильной. Обычный срок ее эксплуатации составляет 25-30 лет. И если она пробурена «не там», то денежные потери будут чрезвычайно велики.

Естественно, что решение о бурении принимают люди. Они выносят его на основе анализа компьютерных данных сейсмологов и данных моделирования нефтяных полей. Так специалисты определяют направление движения нефти, оценивают запасы месторождения. И, конечно, они рассчитывают на целостность этой информации.

Обеспечить гарантии

«Задача нашей группы состоит в обеспечении безопасности проектов, в детализации факторов стоимости и риска, — говорит руководитель группы по информационной безопасности Джексон. — Наш бизнес — разведка нефти. Я существую благодаря бизнес-подразделениям компании, и я должен обеспечить гарантии их правильной работы. Мой отдел — вспомогательный, а не конкурирующий с другими».

Джексон стремится внедрить оценку рисков в любой бизнес-процесс или политику компании. В ближайшие месяцы он собирается обобщить все связанные с информацией риски компании, чтобы не только оптимально управлять компьютерными данными, но и участвовать в разработке внутренних нормативных актов, а также в закупке IT-оборудования. Несмотря на то что эта инициатива выглядит революционной, кажется символичным, что дело защиты информации разрастается, становится существенной частью общего бизнес-процесса.

Консолидация политик

В компании Chevron созданы временные подразделения из числа топ-менеджеров для проведения анализа процессов и политик управления данными. Стало понятно, что обеспечение безопасности 500 терабайтов данных, генерируемых ежегодно, требует выработки взаимоувязанных политик, устранения дублирования.

Прежние политики были слишком статичны, риски не переоценивались. Ведь то, что рассматривалось как высокий риск 5 лет назад, совсем не обязательно останется таковым сегодня. И наоборот, многие современные угрозы несколько лет назад еще не были известны.

В настоящее время группа Джексона управляет всеми политиками IT-безопасности и защиты приватности. В недалеком будущем ей предполагается передать вопросы управления информацией, классификации бизнес-документов, их хранения и уничтожения.

Как звенья одной цепи

Кроме того, под юрисдикцию группы также подпадет защита прав на интеллектуальную собственность. Chevron уделяет большое внимание защите своей информации, составляющей ноу-хау, а также отражению попыток третьих фирм, которые пытаются организовать судебное преследование по мнимым нарушениям патентов. Компании приходится постоянно следить за чистотой лицензий на ПО и аппаратное обеспечение.

Консолидировав все компоненты информационных рисков, Джексон надеется существенно повлиять и на процесс закупок. Он намерен практиковать оценку рисков на ранних стадиях — вместо того, чтобы «бить по хвостам».

Для компании исключительно важным является надежное хранение данных. Некоторые специалисты не слишком заботятся о безопасности. Максимум, что они учитывают, — это необходимость сохранения данных.

Сегодня в компании Chevron формируется понимание неразрывности надежного хранения данных и обеспечения их безопасности, принимаются соответствующие меры.

Таким образом, авторитет подразделения по информационной безопасности растет, как и диапазон выполняемых им функций. Интересно при этом, что по вопросам ИБ Джексон докладывает СIO (директору информационной службы), а отчет по техническим вопросам адресует СТО (техническому директору).