Бюджет составляется лишь для того, чтобы его сокращать.

Бюджет — это математическое подтверждение подозрений.

Сколько нужно денег на обеспечение информационной безопасности?
Каждый руководитель подразделение по обеспечению информационной безопасности сталкивается с необходимостью планирования. И один из самых сложных аспектов этого - формирование бюджета. Какие есть «берега», которые нельзя терять ИБ-руководителю при формировании бюджета?
С одной стороны, есть очевидное соображение   стоимость защиты информации не может быть больше цены самой информации. Но стоимость информации (базы данных, информационной системы) на практике не может определить ни один собственник.
Для первого приближения можно использовать передовой мировой опыт. По данным исследований на цели информационной безопасности приходится до 10% бюджетов, выделяемых в целом на информационные технологии, по другим данным - до 0,9% от общей выручки компании. Бюджет на информационные технологии наверняка уже есть на любом среднем или крупном предприятии, он и будет являться ориентиром.
Совет. Проведите хотя бы поверхностную инвентаризацию своей ИТ-инфраструктуры и прикиньте грубо, сколько нужно будет потратить обеспечение соответствия основным стандартом по ИБ, требованиям регуляторов, закону «О персональных данных». Реалистичными будут цифры, составляющие до 10-20% от ИТ-бюджета.

Стоит ли ждать окупаемости вложений в безопасность?
Финансовые подразделения предприятия охотнее прислушаются к аргументам о необходимости трат на ИБ, если они будут сформулированы в привычных им терминах. Например, с использованием самого известного показателя эффективности вложений - ROI (от англ. return on investment). Среди экспертов по ИБ давно идёт полемика о возможности применения финансовой терминологии при описании эффективности безопасности. Один из самых известных в мире экспертов по киберебезопасности, Брюс Шнайер, считает применение ROI бессмысленным. По его мнению, сфера ИБ слишком быстро меняется, чтобы использовать в ней сколько-нибудь статичные методы. И вообще невозможно говорить о прибыли от безопасности. «Безопасность - это не про прибыль, это про предотвращение убытков» (в оригинале на англ. «Security is about loss prevention, not about earnings»).
    Действительно, давайте взглянем на самые громкие инциденты в киберпространстве за последние шесть лет:

• 2016 год - предполагаемое внешнее вмешательство в президентские выборы в США через киберпространство и утечка базы электронной почты одной из партий.
• 2017 год - распространение вируса-шифровальщика WannaCry, поразившее более 200 000 компьютеров в 150 странах мира.
• 2018 год - утечка данных 50 миллионов пользователей социальной сети Facebook.
• 2019 год - кража злоумышленниками архива записей музыкальной группы Radiohead с требованием выплаты выкупа в 150 тысяч долларов.
• 2020 год - проникновение злоумышленников в программное обеспечение компании SolarWinds, а через него в сети тысяч потребителей программного обеспечения этой компании . Масштабы атаки неясны до сих пор.
• 2021 год - атака на трубопроводную систему компании Colonial Pipeline в США, которая привела к пятидневной приостановке его работы.

Даже по такому краткому списку становится понятно, что жертвой атаки может стать предприятие из любой отрасли и нет какого-то единственного решения, панацеи, внедрив которое можно было бы быть спокойным за свои информационные активы. Тем более, что в большинстве случаев это не столько прямые финансовые потери, сколько ущерб репутации с долгосрочными последствиями.
Как донести важность проблем ИБ до руководителя/собственника/финансового директора? При разговоре с руководством самая сложная задача убедить их в реальности угроз. Проще всего было бы привести данные о размерах штрафов и убытках аналогичных компаний. Но в Узбекистане статистика в сфере ИБ практически недоступна. Поэтому сколько-нибудь качественный анализ можно сделать только по итогам неформальных бесед с коллегами в экспертном сообществе. Например, на конференциях, но они в очном формате практически не проводятся последние полтора года. А на онлайн-конференциях как раз нет неформального общения, того, что называется «в кулуарах» или «в курилке».

Опасные и нежелательные приёмы при планировании расходов.
Отсутствие доверия и взаимопонимания между службой безопасности и финансовым менеджментом может привести к таким манипуляциям:

• Преднамеренное завышение сумм при планировании. Применяется подход: «Если тебе нужно сто тысяч ‑ прости двести. Расходы урежут вдвое и получишь свои сто тысяч».
• Включение заведомо нереализуемых проектов. Это другая разновидность предыдущей техники. В смету включаются проекты, которые и не предполагается внедрять. При сокращении сметы именно эти позиции «идут под нож». Т.е. непроходные позиции являются как бы громоотводом, жертвой, которую нужно принести для сохранения в смете действительно важных позиций.
• Реализация («освоение») бюджета любой ценой. Часто в рамках своей аудиторской деятельности на предприятиях мы обнаруживаем закупленное ПО или оборудование, которое хранится на складе и не используется. В неформальной беседе сотрудники предприятия говорят, что купили то что не могут внедрить только для того чтобы полностью реализовать смету на текущий год. Ведь если в конце года останутся нереализованные проекты, то на будущий год эти деньги могут и не выделить.

Сложно упрекнуть сотрудников ИБ за это. Ведь такими манипуляциями приемами пользуются и другие подразделения предприятия, конкурирующие за общий бюджет, например ИТ. И если одни будут придерживаться этических правил, а другие использовать описанные выше приёмы, то пострадавшим окажется скорее те, кто действовал честно. Такую сформировавшуюся порочную практику очень непросто искоренить. Единственным выходом от этого «планового подхода» (в худшем смысле слова) видится повышение доверия между финансовым менеджментом и «расходными подразделениями», которыми являются ИБ и ИТ. Ещё один возможный шаг - создание гибкой системы планирования, не привязанной к такому большому периоду времени как календарный год, а то и более. Ведь сметы на будущий год начинают формироваться в сентябре-октябре текущего.

Каковы риски и возможные ошибки долгосрочного планирования?

• Расходы на будущие периоды закладываются по текущим ценам без учёта инфляции. Особенно это касается планирования в национальной валюте, ведь её курс более волатильный/изменчивый чем курсы свободно конвертируемых валют. В результате может оказаться, что через полгода цена на требуемую позицию увеличивается из-за девальвации. Учитывая, что большая часть бюджета ИБ тратится на приобретение ПО и оборудования зарубежного производства такая зависимость от курса валют особенно чувствительна. Вывод - при планировании учитывать прогнозы курсовой разницы и инфляции.
• На цены и доступность товаров могут повлиять факторы, которые невозможно спрогнозировать. Сейчас для описания таких событий часто используют термин «черный лебедь». («чёрный лебедь» — теория, рассматривающая труднопрогнозируемые и редкие события, которые имеют значительные последствия). Яркие примеры таких явлений в сфере высоких технологий:
      - дефицит микросхем для производства автомобилей из-за сбоев в цепочках поставок на фоне пандемии коронавируса.
      - рост цен и дефицит видеокарт из-за популярности майнинга (добычи) криптовалют. Именно видеокарты являются основным компонентом компьютера для обработки транзакций в блокчейне.
• Т.к. спрогнозировать такие явления почти невозможно, то единственной мерой является наличие некоторого запаса оборудования, запчастей, чтобы можно было «пережить» периоды скачков цен. Но это, во-первых требует отвлечения значительных средств для закупки запасного оборудования. Во-вторых, вряд ли кто-то мог предсказать что последствия кризиса с пандемией будут такими долгосрочными. Т.е. долгосрочный запас создать не удастся всё равно.
• Изменение действующего законодательства может привести к значительным финансовым затратам. Яркий пример - введение требования о локализации обработки персональных данных граждан Узбекистана на территории страны. С момента публикации требования до его вступления в силу прошло всего несколько месяцев. За это время необходимо было не только перестроить технологические процессы, но и перевести/купить/арендовать часть оборудования внутри страны. Пожалуй, единственный положительный момент того, что Узбекистан находится в фарватере (или арьергарде) высокотехнологичного развития и отстаёт на 10-15 лет, в том, что можно заранее предсказывать появление подобных правовых нормы. Ведь они уже несколько лет есть в России и Казахстане, где действуют подобные нашему законы. Но всё это возможно только при наличии хорошей технико-юридической экспертизы, аналитических служб на предприятии. В Узбекистане это большая редкость.

Совет: внимательно отслеживать изменения в законодательстве и закладывать некоторый резерв в финансовый план.

Таким образом, с учётом всех этих знаний, формирование финансового плана по обеспечению ИБ можно представить в несколько шагов.
1. Проведение инвентаризации и выявление того, что нужно купить/продлить в любом случае. Почти наверняка на предприятии есть антивирусное ПО и вряд ли в будущем году от него можно отказаться. Также в перечень «обязательных покупок» входят продление сервисной поддержки на оборудование, операционные системы и прикладное ПО.
2. Определение требований законодательства и расходов на их реализацию. Тут будет проще обосновать выделение средств. Ведь для каждого из нарушений уже предусмотрены санкции. Так, например, для некоторых нарушений в сфере защиты персональных данных предусмотрено даже уголовное преследование должностных лиц.
При формировании позиции в смете лучше прямо указывать какой именно НПА и в какой статье требует подобные затраты. Это очень важный этап, ведь именно тут проходит граница разделения ответственности. Если в смету внесены и грамотно аргументированы позиции для реализации конкретного закона, но затем они «срезаны», то ответственность за это переходит от начальника отдела ИБ к руководителю предприятия. К сожалению, бывает ровно наоборот - средства не выделяются, а требования остаются. Т.е. создаётся ситуация прямо описанная в сказке «Каша из топора».
3. Формирование бюджета развития. При планировании внедрения новых решений по ИБ нужно тщательное обоснование такого шага. Выше отмечено, что сложно перевести информационную безопасность на язык финансов и сделать привычное технико-экономическое обоснование. Но подготовить несколько вариантов развития событий, с внедрением и без него, будет полезно. Ещё лучше - подготовиться к защите этих статей бюджета, представить возражения финансовой службы и контраргументы на них.
4. Создание резерва. Независимо от качества планирования, наверняка в течение года появятся непредвиденные расходы. Поэтому важно обосновать перед финансовым менеджментом необходимость резерва. Некоторые аргументы и примеры мы привели выше. Размер резерва   чем больше, тем лучше, но хотя бы 10-15% от общего бюджета на информационную безопасность.

Антон Ракитский, специально для IT-TEAM SERVICE

Статья начальника отдела ИБ ООО "IT-TEAM SERVICE" Антона Ракитского вышла в журнале «Управление предприятием» в журнале №12 за декабрь 2021 г.
Полную версию статьи можно прочитать на сайте издания, в электронной версии журнала. Она доступна на русском и узбекском языках. Ниже приводится авторская редакция статьи.

    Уже в самом начале составления подобного списка, скорее всего, придётся столкнуться с тем, что количество устройств в разы (а то и десятки раз) больше чем ожидалось. Этот феномен частично объясняется развитием интернета вещей (англ. internet of things, IoT). Т.е. сейчас в сети предприятия существует множество устройств, которые подключены к интернету, но находятся «в свободном плавании», их активность не контролируется человеком. Это кроме упомянутых выше принтеров ещё и хранилища данных, телевизоры, кондиционеры, ip-телефоны. Сейчас практически все сложные устройства имеют подключения к интернету, если не напрямую кабелем, то через Wi-Fi. При этом они годами могут работать без обновления и часто являются входной точкой, «люком» для проведения атак в киберпространстве. Именно поэтому важно иметь список всех одобренных устройств. Во-первых, таким образом можно будет определить «чужое» устройство и нейтрализовать его. Во-вторых, в случае проведения атак через одобренное устройство можно будет найти его владельца и администратора для проведения расследования.

    Совет 2. Составить перечень всего используемого программного обеспечения. Как и в случае с оборудование частично требуемые данные уже есть в бухгалтерии. Там они проходят как «нематериальные активы». Вообще же в этот перечень нужно включить все применяемые на предприятии операционные системы, прикладное ПО   пакеты офисных программ, графические редакторы, системы управления базами данных. В списке нужно отметить правовой/лицензионный статус ПО   приобретались ли неисключительные права или оформлялась подписка? В первом случае чаще всего купленным ПО можно пользоваться дальше неограниченно долго. В случае подписки такое право чётко ограничено по времени. Часть ПО может быть свободным или с открытой лицензией (GNU GPL, Creative Commons).
    Нужно понимать, что этот документ для внутреннего использования и составлять его нужно максимально правдиво. Т.е. прямо указать   часть используемых программ не имеют лицензий и формально используются нелегально. Понятно, что сложно самим себе признаться в нарушении авторских прав, поэтому на первых порах можно использовать эвфемизм «используется в демонстрационном режиме». Имея такой объективный список, руководитель предприятия сможет оценить масштаб проблемы и спланировать закупку лицензионного ПО. Многие руководители искренне полагают, что приобретая оборудование, всё требуемое ПО уже идёт в комплекте. Ведь покупая мобильный телефон или планшет, мы не платим за встроенное в него ПО. В случае с компьютерной техникой покупается и лицензируется отдельно операционная система, прикладные программы, базы данных.

    Случай из практики: Официальные пользователи Windows 7 были заблаговременно оповещены, что расширенная поддержка этой системы прекращается с 14 января 2020 года. Абстрактное ответственное предприятие провело инвентаризацию ПО и знало, что 30% парка компьютерной техники использует именно эту операционную систему. Поэтому заблаговременно была спланирована миграция на более новую систему Windows 10. Для нескольких случаев, когда обновление не возможно (устаревшее оборудование или требуется сохранить именно ту же самую систему) предусмотрено приобретение отдельной подписки на обновление снятой с поддержки системы до 2023 года.
А те предприятия, которые не занимаются инвентаризацией ПО по-прежнему используют снятую с поддержки операционную систему, но не получают обновлений и могут стать целью для кибератак. Именно так разразилась всемирно известная эпидемия WannaCry в 2017 году. К моменту начала эпидемии уже два месяца существовало официальное исправление (заплатка, патч, противоядие) от производителя ПО. Те предприятия, которые своевременно его установили оказались полностью защищены. Те, у кого процедура инвентаризации не была налажена в большинстве случаев потеряли все данные.

Для справки: в ходе аудита ИБ на предприятиях в Узбекистане часто обнаруживаются используемые в работе системы под управлением Windows XP, поддержка которой и вовсе прекращена в 2014 году. А руководство предприятия не знает об этом и связанных с этим рисках.

Статья начальника отдела ИБ ООО "IT-TEAM SERVICE" Антона Ракитского вышла в журнале «Управление предприятием» в журнале №10 за октябрь 2021 г.
Полную версию статьи можно прочитать на сайте издания, в электронной версии журнала. Она доступна на русском и узбекском языках. Ниже приводится авторская редакция статьи.

Закон «О персональных данных» был опубликован в июле и вступил в силу в октябре 2019 года. Сформировалась ли за два года практика его применения, с какими вопросами столкнулся бизнес, какие резонансные поправки были в него внесены?
Правоприменительная практика. Для юристов-практиков, да и для руководителя очень важным является правоприменительная практика для любого нового закона. Нужно понять, будет ли он «спящим» или будет активно применяться. По закону «О персональных данных» такая, хоть и не большая, практика есть:
1. СМИ сообщали, что в Узбекистане раскрыта преступная группа, которая занималась незаконной регистрацией IMEI-кодов мобильных устройств на паспорта третьих лиц. Эта группа занималась регистрацией контрабандных мобильных устройств на имена граждан, пересекающих государственную границу, незаконным сбором, хранением и использованием персональных данных физических лиц.
2. В Узбекистане было ограничено использование ряда социальных сетей в связи с нарушением требований законодательства при обработке персональных данных граждан Республики Узбекистан.

Как сейчас обстоят дела с имплементацией закона «О персональных данных» в Узбекистане?
Мы провели собственное исследование для организаций, которые точно обрабатывают значительные объемы персональных данных - коммерческие банки и платёжные организации. Оказалось, что зарегистрировали хотя одну базу персональных данных в государственном реестре только 31% из всех банков и 17% платежных организаций. Исследование проводилось во втором квартале 2021 года.
А ведь и те и другие находятся под строгим контролем регуляторов и обычно довольно внимательно относятся к выполнению базовых нормативных требований. Т.е. можно предположить, что в целом ситуация ещё хуже.
Примечание: Форма проверки регистрации баз данных на сайте государственного центра персонализации была модифицирована и повторить исследования для других предприятий по той же методике сейчас невозможно.

Всё чаще в текстах типовых договоров можно встретить отсылки и упоминания о законе «О персональных данных». Часто это сделано весьма своеобразно, скорее формально и с явным перекосом в сторону оператора (т.е. лица, обрабатывающего персональные данные), а не субъекта   потребителя услуг. Очень показателен пример одного из банков, который включил в текст типового вкладного договора буквально следующий текст: «В соответствии с требованиями законодательства о персональных данных вкладчик предоставляет банку бессрочное согласие на обработку и использование банком любых персональных данных вкладчика для ведения банком своей деятельности, выполнения банком условий настоящего договора и требований действующего законодательства, а также других целях, не противоречащих законодательству РУз.»

В чём на наш экспертный взгляд заключаются ошибки в такой формулировке?
1. В целом всё предложение сформулировано так, что именно исполнение законодательства о персональных данных требует вкладчика дать бессрочное согласие на обработку всех его данных как угодно. В то время как напротив   закон защищает интересы субъекта (в данном случае вкладчика) и даём ему право знать цели, сроки и способы обработки его персональных данных (ст.22).
2. Почему у вкладчика запрашивается бессрочное согласие? Ведь статья 10 закона прямо говорит «Срок хранения персональных данных определяется датой достижения целей их сбора и обработки.» То есть, исходя из этого требования закона срок согласия на обработку должен ограничиваться сроком вклада.
3. Для чего берётся согласие на обработку любых (т.е. всех) персональных данных? Согласие на обработку любых персональных данных заведомо избыточно и противоречит п.5 ст.19. закона, который определяет, что «объем и характер обрабатываемых персональных данных должны соответствовать целям и способам их обработки». В понятие «любые персональные данные» входят биометрические, генетические и специальные персональные данные (сведения о здоровье, вероисповедании, частной жизни). Они явно не нужны банку для оказания услуг. Кроме того, обработка таких данных или запрещена (п.2 ст.25) или осуществляется при особом согласии субъекта (п.3 ст.26).
4. Ссылка на «выполнение требований законодательства» и получение на этом основании согласия на обработку   несостоятельна. Если законодательство требует обрабатывать ПДн, то получать согласие субъекта на это не требуется (ст.18). В той же статье закона дан исчерпывающий перечень условий, при которых вообще возможна обработка персональных данных. Во-первых   согласие субъекта. Во-вторых   необходимость обработки для выполнения условий договора, стороной которого является субъект. В-третьих   для исполнения обязательств, определённых законодательством. Есть и другие условия, но подавляющее количеств случаев описаны этими тремя пунктами.
5. Каковы точные цели обработки персональных данных вкладчика? Под строчку «другие цели, не противоречащие законодательству» подпадает и передача персональных данных каким-нибудь рекламным агентствам для рассылок, и другие цели, непонятные вкладчику.
6. Приведённой выше формулировки в договоре явно не достаточно. Напротив, юристы, предложившие такой текст, ещё и подводят мину замедленного действия. У бизнеса создаётся впечатление, что они «соответствуют» закону и можно успокоиться, а ведь честнее будет составить отдельный документ и предлагать его подписывать клиенту - «согласие на обработку персональных данных» и там всё подробно расписать - объем данных, цели, сроки обработки, права и обязанности. А сейчас всё выглядит так, что работы банка по имплементации нового закона начались и закончились введением одного пункта в договор с клиентом.

Изменения в законе «О персональных данных». Локализация или «приземление» персональных данных.

• В середине апреля 2021 года вступила в силу Статья 27.1 «Особые условия обработки персональных данных граждан Республики Узбекистан». Она требует чтобы обработка ПДн граждан Узбекистана обеспечивалась на технических средствах, физически размещенных на территории Республики Узбекистан.
• В начале мая состоялось контрольно-аналитическое мероприятие в Олий Мажлисе, на котором депутаты отметили «отсутствие видимых результатов соответствующих государственных органов в этой сфере». А уже в начале июля от государственной инспекции «Узкомназорат» стало известно о начале ограничения доступа к ряду социальных сетей, нарушающих требование этой новой статьи.
• О задачах, решаемых новой статьёй закона говорил ранее пресс-секретарь МинИКТ Шерзод Ахматов : «В случае хранения персональных данных граждан Узбекистана на территории иностранного государства, государство не сможет контролировать исполнение иностранной компанией требований закона «О персональных данных» в отношении своих граждан.» Проще говоря, при обработке ПДн за рубежом возникает проблема с подсудностью по административному и уголовному кодексам Узбекистана. Их действие в общем случае не распространяется на правонарушения, совершенные вне пределов страны.
• Дисклеймер: следующее суждение составлено на основании опыта эксперта. Комментариев официальных органов по тексту ст.27.1 к моменту публикации - нет. Подобные же нормы о локализации ПДн есть в аналогичных законах России и Казахстана. Там, как и в нашем законе, нет запрета на обработку персональных данных граждан Узбекистана за рубежом. В пользу этого утверждения говорит и тот факт, что трансграничная передача данных прямо допускается и регламентируется статьёй 15 закона. Таким образом, в настоящее время, при обработке ПДн граждан Узбекистана, главное чтобы первичная/основная база данных находилась на территории страны и была зарегистрирована в государственном реестре в Государственном центре персонализации.
• Легко можно представить себе небольшой старт-ап, обрабатывающий персональные данные граждан Узбекистана, но расположенный на зарубежных хостинг-площадках   это распространенная практика. По новому закону такая деятельность может оказываться незаконной и будет ограничена (как это произошло со Skype, TikTok и др.) - т.е. бизнес окажется парализованным.

Выводы и рекомендации по итогам наблюдения за реализацией закона «О персональных данных» на практике:

1. Для руководителя современного предприятия, тем более тесно связанного с ИТ, жизненно важно отслеживать изменения в таком резонансном законе и своевременно получать у регулирующих органов комментарии к новеллам. А уж обсуждение закона и критические отзывы о его исполнении со стороны органов государственной власти тем более должны стать «тревожным звоночком». Показателен описанный выше пример с оперативной блокировкой (ограничением доступа) соцсетей.
2. Крупные предприятия обрабатывают большие объемы персональных данных своих сотрудников, клиентов   действующих, бывших и потенциальных. При этом только в очень редких случаях есть сотрудник или служба, отслеживающая исполнение законодательства о персональных данных. Чаще ни руководство предприятия, ни юридическая служба не имеют представления о том какие персональные и как обрабатываются, существуют ли базы данных, подлежащие регистрации в государственном реестре. А ведь создание специального органа или ответственного сотрудника это прямое требование ст.31 профильного закона. Крупные мировые компании уже давно имеют в штате DPO (англ. Data protection officer), т.е. специального сотрудника, ответственно за защиту персональных данных. Он находится в ряду таких специалистов-управленцев как СEO, CIO, CISO. Для Узбекистана более рациональной видится практика создания совещательного органа/комиссии по персональным данным с включением в неё юристов, ИТ-специалистов, представителей производства, операционного/линейного руководства.
3. Риски нарушения правил обработки персональных данных скрываются в самых неожиданных местах. Например, в кадровой службе. Следует проявлять осторожность при обработке данных граждан до трудоустройства. Нарушением закона «О персональных данных» может быть составление базы кандидатов для замещения вакантных должностей и обработка таких данных без получения согласия субъекта. Они собираются и обрабатываются вне рамок трудового законодательства. Между предприятием и соискателем не установлены договорные отношения, законные условия для обработки персональных данных отсутствуют. Поэтому лучше подстраховаться и взять с соискателя согласие на обработку его персональных данных.
4. На предприятии необходимо тщательно проанализировать все процессы, связанные с обработкой персональных данных. Например, коммерческие банки широко применяют системы скоринга   определения рисков при выдаче кредитов. В рамках скоринга обрабатываются большие объёмы персональных данных, в том числе весьма специфические   сведения о доходах, семейном положении, имуществе. Обработка таких данных требует особых технических и организационно-юридических процедур. Анализ выполнения норм законодательства для таких нетривиальных случаев может проводиться или внутренним органом (комиссией по персональным данным) или с привлечением внешних экспертных организаций.

Статья начальника отдела ИБ ООО "IT-TEAM SERVICE" Антона Ракитского вышла в журнале «Управление предприятием» в журнале №7 за июль 2021 г.
Полную версию статьи можно прочитать на сайте издания, в электронной версии журнала. Она доступна на русском и узбекском языках. Ниже приводится авторская редакция статьи.

Говоря о кибербезопасности, многим сразу же представляются таинственные злоумышленники, которые совершают атаки через интернет из-за рубежа. Однако, значительная часть проблем носит более прозаичный характер - поломки и кражи оборудования, отсутствие энергоснабжения, аварии коммунальных служб. С цифровизацией, угрозы физической безопасности никуда не исчезли. Наоборот, многие предприятия стали более уязвимыми, так как возросла их зависимость от информационных технологий.
Охрана склада, надёжные сейфы, системы видеонаблюдения - давно известные меры защиты собственности. Но для современных предприятий, чей бизнес всё больше зависит от ИТ, появляются и новые угрозы в поле физической безопасности - внос/вынос оборудования, безопасность коммуникаций, утилизация носителей. Без учёта этих, неочевидных на первый взгляд, вещей организацию ждут большие проблемы, даже при идеально защищенном периметре и высоком заборе с колючей проволокой. Новые риски должно понимать высшее руководство предприятия.
В первую же очередь нужно определить, что́ же именно является объектом защиты, что́ нужно защищать и что́ имеет для предприятия наибольшую ценность. Убедится, что проблема с физической безопасностью существует, руководитель любого мало-мальски крупного предприятия может, задав два вопроса начальнику службы охраны/безопасности: «Какие есть требования по защите центра обработки данных, как они обеспечиваются у нас?». И подобный же вопрос задать руководителю отдела ИТ. Скорее всего оба специалиста скажут, что это не их зона ответственности и переадресуют вопрос друг другу.

Несколько важных шагов для снижения рисков физической безопасности:
1. Определение периметра безопасности. У предприятия и профильных служб должно быть чёткое представление об охраняемом периметре. Это только с квартирой или частным домом хорошо понятно, где частная территория, а где «улица». Для предприятия вопрос границ далеко нетривиальный. Если помещение находится в собственности, то таким документом является кадастровый план, схема расположения помещений с привязкой к местности. А вот для арендуемых помещений указанием на место чаще всего является адрес, этаж и общая площадь помещения. Особенно если арендуется часть здания. Поэтому совсем нелишним будет сделать план арендуемых площадей и чётко определить границы. Свериться со схемой очень полезно даже тем предприятиям, которые являются единственными собственниками и здания и участка под ним. В нашей практике встречались случаи, когда различные службы (благоустройство, хозотдел, автоотдел) «захватывали» тротуары, проезды, зоны отчуждения над кабелями или линиями электропередач, размещали там гаражи, склады, подсобные помещения. А потом всё это приходилось ломать, нести убытки. Ведь такой неумышленный захват может происходить из-за того что сотрудники искренне полагали, что территория принадлежит им. Лучше сначала всё проверить по схеме, а не тратится сначала на строительство, а потом ещё и на демонтаж незаконно возведённых строений.

2. Защита центра обработка данных. На любом сколько-нибудь крупном предприятии сам собой формируется центр обработки данных. Это может быть и один-два компьютера, на которых накапливается важная для предприятия информация, базы данных, система документооборота, система электронной почты. Со временем таких систем становится много, оборудование выносится в отдельную комнату. Защите его нужно уделять особое внимание, ведь именно такой центр обработки данных во многом становится «сердцем» предприятия. Подробно технические аспекты освещены в государственном стандарте Oʻz DSt 2875:2014 «Информационная технология. Требования к датацентрам. Инфраструктура и обеспечение информационной безопасности». Со стороны руководства предприятия важно понимание того, что безопасность центра обработки данных должна быть как минимум не менее тщательной, чем у кабинетов самого руководства, бухгалтерии, канцелярии. Надёжные двери, контроль и поддержание климатических параметров, бесперебойное энергоснабжение - базовые требования. К сожалению, в нашей практике встречается и другое отношение - сервера размещают в подсобных помещениях, чуть ли не в кладовых, в полуподвальных или наоборот - чердачных помещениях. А значит, возрастают риски затопления оборудования, проникновение пыли, что особенно губительно для техники, которая работает круглосуточно в течение многих лет.
Особый контроль должен быть за любыми работами в серверных помещениях, ведь практически всегда ремонт техники, пуско-наладку кондиционеров, систем сигнализации выполняют сотрудники подрядных организаций. Даже уборка помещений всё чаще отдаётся на аутсорсинг. А так как такая работа может длиться часами, то посторонние надолго остаются предоставлены сами себе, совершенно без контроля. Злоумышленнику или недобросовестным конкурентам не нужно взламывать двери и проникать под покровом ночи. Проще устроить своего человека в обслуживающую компанию, имеющую полный доступ в центры обработки данных вашей организации. Поэтому специалистов подрядных организаций необходимо включать в систему проверки персонала (см. статью «Как обеспечить информационную безопасность при работе с кадрами» в №9 (165) за сентябрь 2020 г. журнала «Справочник по кадровым вопросам»).

3. Безопасность кабелей и коммуникаций. Целый пласт проблем представляет собой и защита линий связи, кабелей. Распространённая практика - подключение к интернету производится на скорую руку, по временной схеме. Кабели пробрасываются прямо по полу помещений, на них наступают, задевают мебелью. И в самый неподходящий момент происходит обрыв, который ещё и сложно оперативно обнаружить. А включение в холодное время года обогревательных приборов, принесённых из дома, может спровоцировать отключение электроснабжения. Кто на предприятии должен курировать такие вопросы? В отсутствии на предприятии профильных служб всё это должен контролировать руководитель.

4. Техническая поддержка оборудования. Приобрести компьютерное оборудование - только часть заботы руководства об ИТ. Нужно его ещё и поддерживать на всех этапах его жизненного цикла. Для качественного оборудования от известных производителей предусмотрен гарантийный период, обычно от одного года до трёх. Но ведь оборудование работает и по пять, и по десять лет. Значит, после окончания гарантийного периода нужно приобретать пакеты расширенной поддержки. Иначе, в случае выхода из строя, найти замену «железке», выпущенной много лет назад будет невозможно, работа предприятия будет парализована. Нужно обслуживание и для обычных офисных компьютеров. Без элементарного продувания от пыли, срок службы компьютера может сильно сократиться - элементарно начнёт сбоить от перегрева. В целом эта проблема известна и описывается термином «совокупная стоимость владения» (TCO, англ. Total Cost of Ownership) и хорошо знакома автомобилистам. Мало купить автомобиль (в нашем случае компьютер или сервер), тут же появляются расходы на ГСМ, страховку, мойку, техобслуживание. Те же траты есть и в ИТ, просто для многих они неочевидны.

5. Защита терминального оборудования. В связи со всемирной пандемией обострились и специфические угрозы. Например, многие сотрудники начали принимать пищу прямо на рабочем месте. А вместе с этим повысился риск повреждения компьютерного оборудования. Другая проблема «удалёнки» - размытие периметра предприятия. Раньше все сотрудники находились в офисе и контролировать внос/вынос оборудования и носителей информации можно было хотя бы на проходной. С удалённой работой контролировать утечку данных по-старому уже невозможно - рабочее место теперь там, где находится сотрудник и его компьютер. Поэтому для таких случаев нужен более тщательный контроль за действиями работников. Ещё эффективнее превентивно ограничивать доступ пользователей только теми данным, которые им нужны для работы.
Чуть ли не самым распространённым каналом утечки данных по-прежнему остаётся банальная кража или утеря ноутбуков. По разным подсчётам до 86% компаний сталкивались с кражей/утерей мобильных устройств и в более чем половине случаев это приводило к утечкам важных данных. Самый простым и эффективным способ защиты от такого сценария это шифрование дисков. Даже если устройство украдут (в выключенном состоянии), то хотя бы не смогут получить к данным.

6. Организация работы по обслуживанию посетителей. Никуда не исчезла и проблема непреднамеренной утечки данных путём прямого подсматривания. Сейчас всё больше организаций, чаще всего банки, практикуют «открытый офис», свободную планировку, отказ от перегородок и ширм. Чрезмерно увлекаться этим не стоит - посетителю, клиенту не стоит без необходимости демонстрировать интерфейсы внутренних информационных систем. Чтобы не обижать клиентов недоверием и не прятать экран операциониста, существуют даже специальные защитные плёнки. Механизм её работы таков, что изображение на мониторе видит только сам сотрудник, а чуть сбоку виден только чёрный экран. Ещё чаще в нашей практике встречается нарушение принципа «чистого рабочего стола», т.е. приходя в банк или кассу можно видеть на столе операциониста документы от предыдущего посетителя - суммы, детали платежа, имена и фамилии. Такие проблемы решаются несложными административными мерами и обучением линейного персонала.

Выводы: с развитием технологий, ростом рисков в киберпространстве прежние проблемы физической безопасности никуда не исчезли. Только если в XIX веке грабители выносили драгоценности, в XX - купюры, то в XXI - ценную информацию. Для купирования таких угроз нужно периодически проводить критический анализ обеспечения безопасности, внутренний аудит и пользоваться услугами экспертов, часто именно их «незамыленный» взгляд видит многие проблемы.

Статья Кристины Осенковой, психолога-практика из России и начальника отдела ИБ ООО "IT-TEAM SERVICE" Антона Ракитского вышла в журнале «Управление предприятием» №6 за июнь 2021 г. под названием «Пять не технических методов, чтобы защитить коммерческую информацию»
Полную версию статьи можно прочитать на сайте издания, в электронной версии журнала. Она доступна на русском и узбекском языках. Ниже приводится авторская редакция статьи.

Требования к здоровому микроклимату в коллективе уже давно не просто абстрактное пожелание сотрудников. А требование самого популярного и известного в мире стандарта по управлению качеством ISO 9001:2015. Сертификацию по этому стандарту прошли в Узбекистане более 400 предприятий. В основном это крупные предприятия, особенно работающие на экспорт. Вот фрагмент конкретного требования стандарта в пункте 7.1.4:
Организация должна определить, обеспечить и поддерживать в рабочем состоянии среду, необходимую для функционирования ее процессов для достижения соответствия продукции и услуг.
Примечание. Пригодная среда может быть комбинацией человеческих и физических факторов, таких, как:
a) социальные (например, отсутствие дискриминации, спокойная атмосфера, бесконфликтность);
b) психологические (например, снижение стрессовых ситуаций, предотвращение морального истощения, защита от проявления эмоций);
...
Выполнение этого пункта стандарта при сертификационном аудите обязательно проверяется. Особые рекомендации по такой чувствительной материи как настроение и мотивация сотрудников есть и в профильном стандарте по информационной безопасности ISO/IEC 27002:2013 в пункте 7.2.1:
...Мотивированный персонал, вероятно, будет более надежен, в результате чего количество инцидентов информационной безопасности, происходящих по вине персонала, значительно снижается. Нетребовательность руководства может вызвать у персонала чувство недооцененности, отрицательно влияющее на информационную безопасность организации.
...

Часто проблемные ситуации развиваются постепенно и действительно большой аварии можно избежать если рядовые сотрудники проявят инициативу, обратят внимание на подозрительную ситуацию, даже если это не входит напрямую в их должностные обязанности Так как для обеспечения рабочей деятельности коллектив должен быть сплочен не только рабочими обязанностями, но и общими ценностями и целями. Это можно обеспечить, если привить сотрудникам чувство ответственности и важности в коллективе при вступлении в должность. Пожар значительно проще потушить если своевременно обнаружить и локализовать очаг возгорания. Рассмотрим реальный пример. Сотрудник предприятия получил по электронной почте подозрительное письмо и перешёл по ссылке из него. Там ему предложили установить на свой компьютер какое-то программное обеспечение, назначение которого он не понял. Или предложили ввести логин и пароль к своей электронной почте. Или ввести данные пластиковой карты. Эта тактика, называемая фишинг или кликджекинг - распространённый сценарий проникновения злоумышленников в сеть предприятия, кражи данных. Многие пользователи уже знают о такой угрозе, но часто понимают, что стали жертвой киберпреступников только пост-фактум, спустя какое-то время. Вот тут и проявляется то самое доверительное отношение в коллективе, о котором говорят стандарты. Доверительное отношение не сформируется, если сотрудник чувствует себя постоянно лишним или малозначимым, а этому способствуют: критика, давление, отсутствие поощрения или похвалы со стороны руководителя или коллег. Если пользователь, опасаясь наказания от службы безопасности за свои ошибочные действия, утаит произошедший факт, то почти наверняка злоумышленники «закрепятся» в сети предприятия и нанесут значительно больший ущерб, чем если бы пользователь сразу просигнализировал своей службе безопасности. Как, с одной стороны требовать от пользователя исполнения правил, инструкций, политики информационной безопасности, а с другой стороны не допустить описанного выше сценария? Что заставит пользователя всё-таки сообщить о своих подозрениях? В первую очередь нужно помнить, что сотрудник не должен чувствовать, что за его ошибочные действия к нему применят строгое наказание в виде штрафных санкций или увольнения.  Ведь уровень тревоги в этом случае возрастёт, и сотрудник может бездействовать или совершить ещё больше ошибок. Здесь важно учитывать человеческий фактор, чтоб принять сбалансированное решение. Например, если пользователь сам и сразу (а не после того как это обнаружит службу безопасности) сообщает о своих ошибочных действиях, то не применять к нему штрафных санкций.

К сожалению, люди несовершенны, нельзя исключать безответственность, а то и злой умысел. Поэтому сотрудник должен быть заранее проинформирован о том, какую ответственность он понесёт за нарушение различных правил информационной безопасности. Т.е. сотрудники должны понимать, что основная цель всех служб безопасности (и информационной, и пожарной, и экономической) это профилактика и предупреждение нарушений. А наказание нарушителей - вынужденная мера.
Все описанные меры можно кратко описать так - нужно сформировать доверительные отношения сотрудников со службой безопасности и повысить прозрачность деятельности таких служб. К сожалению, почти всегда, подобным службам свойственно создавать вокруг своей работы ореол таинственности, загадочности, подчёркивать свои практически неограниченные возможности. Т.е. задача состоит в том, чтобы сконвертировать страх в уважение.
Как это сделать? Например, часть внутренних тренингов могут проводить штатные сотрудники служб безопасности, рассказывать о своей работе, о том, с какими вызовами сталкивается предприятие в киберпространстве. Задача обеспечения безопасности общая для всех, и добиться результата можно только если все-все станут соратниками в этом деле.
Обычно, всеми взаимоотношениями с сотрудниками занимается кадровая служба. Сейчас на неё возложено ведение учёта, формирование кадрового резерва. Для качественной работы HR нужен диалог с сотрудниками, так как обратная связь помогает разобраться в проблемах, препятствующих выполнению должностных обязанностей, а так же в том, что нарушает эмоциональный комфорт сотрудников. Если сотрудник не обладает способностью работать в команде и не стремится достичь поставленных целей (такие люди, как правило, пессимистично настроены), то лучше как можно раньше подобрать ему замену, и чтоб не совершить прежних ошибок в подборе персонала, проверять не только профессиональные способности нового сотрудника, но и психологические особенности.
Если не удаётся удержать сотрудника, то желательно как можно раньше узнать о его планах покинуть коллектив, подобрать замену и изо всех сил постараться сохранить с ним хорошие отношения. Ведь ушедший специалист во многом уже не связан обязательствами (за исключением временных ограничений по неразглашению), но формирует мнение о предприятии. В нынешнее время социальных сетей и мгновенного распространения информации даже один негативный отзыв сотрудника который «плохо ушел» может сильно подорвать репутацию предприятия.

Очень полезным будет создать канал обратной связи с сотрудниками и поощрять его использование. Это могут быть даже анонимные обращения, многим так проще решиться сообщить о том, что их беспокоит или то, что можно было бы улучшить. Да, доверия к безымянным обращениям значительно меньше, но если мнения о проблемах не собирать, она от этого не исчезнет. Наоборот - «рванёт» в самый неожиданный момент. Упомянутый выше стандарт по информационной безопасности ISO/IEC 27002:2013 рекомендует чтобы сотрудники «имели возможность по анонимному телефону доверия сообщать о нарушениях политик или процедур информационной безопасности». Сейчас это может быть не только телефон, но и специальный ящик электронной почты или бот в телеграме. Нужно критически и скептически относится ко всем сообщениям, которые поступают по этому каналу связи, так как он может быть использован для попыток дезинформации, сведения счётов внутри коллектива, навета, поклёпа и клеветы. Но лучше иметь такой несовершенный инструмент измерения «температуры в коллективе», чем не иметь никакого. Этот принцип хорошо известен в семейных отношениях - стараться сразу, что называется, проговаривать все неприятные моменты, говорить о своих пожеланиях в конструктивной форме для предотвращения нежелательных последствий. Молчание и недосказанность не улучшают положение и уровень напряжения между людьми растет. Просто в условиях иерархического коллектива такую постоянную обратную связь реализовать сложнее.
В вопросе формирования доверия часто определяющей является роль конкретной личности, которую уважают, к которой прислушиваются. Поэтому в службе безопасности (в HR и других отделах) можно выявить сотрудника, который будет её олицетворением, «говорящей головой», фронт-меном, пресс-секратарём отдела. Совсем необязательно это должен быть именно руководитель, но фигура должна быть авторитетом и в профессиональном сообществе и для остальных сотрудников предприятия. Эту роль также можно сравнить с «добрым полицейским», с которым люди охотнее идут на контакт. Для этой роли может подойти и специально обученный человек, который будет разбираться в причинах конфликтах, недопонимании, возникновении тревоги и страхов.
Значительно проще будет поделиться своими сомнениями и тревогами с человеком, которому знаешь, чем с незнакомцем, от которого не знаешь чего ожидать. Таким образом, создаётся ещё один канал обратной связи с коллективом. Для многих именно наличие лично знакомого лица в службе безопасности является дополнительным плюсом, раз в этой службе работает надёжный человек, значит можно доверять и всей службе. И наоборот - уход такого уважаемого человека с работы будет означать какие-то серьезные подвижки. Этот эффект ещё называется «эффектом канарейки». Раньше шахтёры брали с собой в шахту клетку с канарейкой. В случае если начинались выбросы опасных газов, канарейка первая их чувствовала и переставала петь, это было грозным сигналом об опасности для шахтёров. Стоит учитывать, что руководитель должен избегать напрямую заниматься психологическими проблемами внутри коллектива и разрешать противоречия, так как причины возникновения проблемы не всегда касаются рабочих процессов, и порой это связано с личной неприязнью и личностными особенностями сотрудника, в том числе это может быть и неприязнь к самому начальнику. Т.е. руководитель не должен быть одновременно и стороной конфликта и третейским судьей.

Какие существуют тревожные звонки для руководителя?
1. Существуют длительная открытая конфронтация между подразделениями. Очень часто это случается между отделами информационных технологий и информационной безопасности. Первые считают себя инновационным передовым отделом, а службу безопасности воспринимают как тормоз любого развития, как ретроградов и реакционеров. Часто ИТ и ИБ объединяются вместе простив финансовой службы, которая «зажимает» средства на развитие и модернизацию.
2. Постоянная текучка на некоторых ключевых должностях. Например, сотрудники меняются чаще раза в год. Если размер заработной платы по этой позиции вполне достойный, значит это вдвойне тревожный сигнал, раз даже адекватная зарплата не является компенсацией затрат. Очевидно, существует какие-то более веские причины ухода специалиста. Например, они опасаются, что их сделают крайними в случае серьезной аварии.
3. Долгое наличие незаполненной вакансии. Очевидных причины две. Первая - невыгодные условия труда. По некоторым специальностям действительно трудно найти готового специалиста. Но в там случае нужно рассматривать вариант с его дообучением за счёт предприятия. Вторая   вакантное место придерживается для «своего» человек или оправдания низких показателей работы подразделения.
4. Руководство не встречается с сотрудниками. Круг общения ограничен только ближайшими подчинёнными или прямым начальником. Эта проблема чаще бывает на крупных предприятиях. Если так происходит, то вокруг руководителя формируется «информационный пузырь» и он знает только то, что ему сообщают прямые подчинённые. Отсутствует возможность выслушать альтернативное мнение, а подчинённые со временем перестают сообщать плохие новости.

Попытаться улучшить микроклимат в коллективе можно относительно несложными и недорогими мерами. Например, созданием на кухне постоянно пополняемого запаса чая, кофе, печенья. Очень благотворным может быть оборудование некоторого пространства, куда сотрудник может выйти чтобы отвлечься ненадолго от работы. Можно установить там турник, шведскую стенку, разместить аквариум, клетку с птичками. Это не дорого, но создают ту самую желаемую «человеческую атмосферу». Так же не стоит забывать про оборудование рабочего места, сотруднику должно быть достаточно света и пространства.

Другая хорошая практика ‑ доступность высшего руководства. В некоторых небольших коллективах, например, дверь в кабинет начальства не закрывается. В случае больших предприятий руководители могут периодически проходить по отделам, общаться. Важно, чтобы это не превратилось в показуху или инспекционный обход со свитой. Сама теоретическая возможность в случае необходимости попасть напрямую к высшему руководству ценна для многих сотрудников. Но стоит помнить и о личных границах, руководитель не имеет права повышать голос, оскорблять, унижать сотрудника, и сотрудник в свою очередь не имеет права переходить черту и допускать бестактность и вседозволенность из за хорошего к нему отношения.

Тим-билдинги уже давно известный приём, но важно не забывать, что далеко не всем интересны, например, игры в футбол, теннис. Нужно разнообразить виды досуга коллектива включив в них проведение мастер-классов сторонних специалистов, интеллектуальные игры. Чтобы в неформальное общение были вовлечены по возможности все сотрудники.

Стоит учесть, что если сотрудники не обладают совместимостью, то их неформальное общение не приведет к сплочённости, а наоборот усилит неприязнь друг другу, что ещё больше затруднит рабочие процессы. Но такая форма общения помогает выявить в естественных условиях какие сотрудники ладят между собой лучше всего, и кто держится на расстоянии от коллектива С таким сотрудником стоит провести индивидуальную беседу для выявления причин такого поведения.

На крупных предприятиях всем этим часто занимается профсоюз, но он во многом стеснён бюрократией и отчётностью по затратам. А на небольших предприятиях профсоюза может и не быть. Поэтому в любом случае такие вопросы должны иметь своего «хозяина».
Руководство должно демонстрировать приверженность миссии предприятия, вовлечённость в дела, поддерживать административно и финансово улучшения. И это опять-таки требование стандарта ISO 9001:2015, в котором целый раздел 5.1 называется «Лидерство и приверженность». Сможет ли отдельно взятый специалист объяснить свою роль в создаваемой продукции или услуги? Обратите внимание - все известные компании имеют явно заявляемую миссию или видение. Например, миссия Coca-cola это «создавать напитки и менять мир к лучшему» , видение Samsung - «Вдохновляй мир, твори будущее» . Так и любой сотрудник в идеале должен понимать свой вклад в работу компании. Человек, который ходит на работу не только для зарабатывания денег, но и чувствует свою сопричастность к какому-то значительному, важному и полезному делу работает продуктивнее чем просто отбывающий «от звонка до звонка». Увлечённость и ощущение важности своей роли может быть даже более мотивирующим фактором чем заработная плата. Яркий пример - Википедия, где миллионы людей, высококлассных специалистов работают бесплатно, тратят на это многие часы своего времени, не получая взамен ничего кроме удовлетворения от исполнения важной миссии - создания и улучшения энциклопедических статей.

Именно непонимание своей роли в работе компании, отсутствие мотивации развиваться, ощущение ненужности и является первопричинами такого распространённого явления как профессиональное выгорание. И ему в первую очередь подвержены специалисты, занимающиеся сложным интеллектуальным трудом. Интеллектуальный труд требует большей эмоциональной включенности от человека, поэтому наличие напряжения или ощущение постоянного дискомфорта от ощущения незначимости приведет к равнодушию не только к работе, но и к людям в целом. Что нарушит и атмосферу в команде, а это отразится и на выполнении рабочих задач.
Если ребёнок получил хорошую оценку в школе или убрал игрушки, то похвала от родителей вполне уместна. А сотрудник, хорошо выполняющий свою работу, очень редко слышит благодарность за свои усилия. Считается, что он за это получает зарплату. Но зарплата является не единственным источником поощрения сотрудника, чем больше понимания и поддержки он получает от коллектива и руководителя, тем больше он держится за свое «рабочее место». Найти место с достойной оплатой возможно, а чтобы сотруника там ещё ценили в уважали - сложнее.
Важность в получении высокой оценки труда, признании заслуг, взрослому человеку важны не меньше чем ребёнку. Очень показательный пример это актёры в театре. Известно, что очень сложно играть перед пустым или незаинтересованным залом. И наоборот, тёплый приём и овации крайне важны даже опытному артисту. Такого же признания заслуживают и сотрудники на предприятии. Это может быть и обращение руководителя предприятия на корпоративе, и небольшое письмо (телеграмма) в адрес какого-то отдела или конкретного специалиста. Такие знаки внимания очень ценятся коллективом. Главное, чтобы такое обращение было действительно искренним.
Возвращаясь к формированию производственной культуры, вопросам безопасности и дисциплины нужно отметить, что и тут принцип прост. Как говорится: «Обо всём нужно договариваться на берегу». И нет универсального подхода ко всем сферам производства. Понятно, что для бортпроводника пунктуальность и своевременность прихода на работу критически важна. Вряд ли самолёт будет ждать одного опоздавшего. А вот для программиста могут быть вполне простительны опоздания при выходе на работу. Для труда таких специалистов применяется другие методы - дедлайны (крайний срок сдачи работ) и качество продукта, наличие в нём ошибок. Но это должно быть предварительно обсуждено и, ещё лучше, закреплено письменно на уровне договора или иного документа.

Применительно к информационной безопасности сотрудника нужно проинструктировать какое поведение является допустимым, а что будет однозначным нарушением и каковы его последствия. Уже неоднократно отмечалось, что самая распространённая причина утечек конфиденциальных данных это неумышленные ошибки персонала. Для контроля действий сотрудников могут применяться средства перехвата передаваемой информации (перлюстрация) и фиксация пользовательской активности. Делать это гласно или тайно для сотрудников - большая психологическая дилемма для службы информационной безопасности. Но часто сотрудники всё равно догадываются или подозревают о том что их контролируют. Поэтому может быть проще проинформировать сотрудников о том, что их активность может фиксироваться, но делается это для обнаружения ошибок в работе, а не для сбора компромата (доказательной базы для расследования). По сути это одно и то же, но психологически первое воспринимается проще. Да и в случае, если придётся всё-таки задействовать административную процедуру и применять меры воздействия на нарушителя, сам факт того что пользователь был предупрежден о наблюдении добавит значимости. О том, как правильно юридически оформить контроль за работой сотрудников и не нарушить их права было рассказано в нашей статье «Утечка данных / тайна переписки и переговоров. Как найти баланс».

Разъяснение требований к сотруднику, их логичность, справедливость и последовательность - ключ к успеху. Просто ознакомить сотрудника с требованиями по безопасности и дисциплине недостаточно. Если ребёнку говорить: «мой руки, чисти зубы» - он будет это делать только чтобы его не ругали родители. А если он поймёт истинную пользу этих действий, то будет соблюдать правила гигиены и без контроля взрослых. Так и в коллективе. Сотрудники должны всегда знать, что их самонадеянность или наоборот наличие многочисленных сомнений в доверии приведет к определенным негативным последствиям для фирмы. По этой причине следует проводить тестирование или опрос каждого сотрудника для выявления его скрытых мотивов и желаний.
Пример. Стандарт требует ограничивать возможность самостоятельной установки программ на свой компьютер (A.12.6.2 O‘z DSt ISO/IEC 27001:2016). Пользователь может подумать, что это мера нужна для того чтобы он не отвлекался от основной работы, что ему не доверяют. Более уверенный в своих силах пользователь проигнорирует это требование, т.к. он может сам установить нужную ему программу и она прекрасно работает на его личном домашнем компьютере. Он самовольно устанавливает программу, нарушает правила безопасности, руководствуясь исключительно благими побуждениями. А ведь истинная причина этого требования состоит в том, что именно самовольная установка постороннего ПО на компьютер является очень частой причиной попадания на компьютер вирусов. Или, что ещё хуже, это постороннее ПО может быть использовано злоумышленниками для проникновения в сеть предприятия. Чтобы исключить такие последствия, все устанавливаемые программы должны быть одобрены службой безопасности, пройти проверку на отсутствие комьютерных вирусов и наличия недокументированных возможностей (бэкдоров - лючков, через которые в систему попадает злоумышленник).

Ещё пример. В Узбекистане на многих крупных предприятиях до сих пор есть практика запрета проноса мобильных телефонов на территорию. На проходной устанавливаются ящики, где сотрудник/посетитель оставляет свой телефон в закрывающейся ячейке. Люди настолько привыкли к мобильному телефону, он стал полноценным спутником жизни, что без него чувствуют себя как без рук. Какова цель такого запрета? Считается, что с использованием смартфона можно сфотографировать какие-то важные секретные документы или особенности производственного процесса. Но замотивированный злоумышленник найдёт способ вынести информацию несмотря на запрет. Часто для высшего руководства делают исключение - им проносить смартфоны можно. А ведь именно от руководителей с привилегированным доступом чаще всего и происходят утечки. Со временем это требование начинают обходить и обычные сотрудники ‑ приносят два аппарата, один для вида оставляют в ящике на проходной, а основной смартфон проносят с собой. В итоге получается правило, которое фактически не работает, но всех раздражает. Особенно страдают законопослушные пользователи, которые выполняют все предписания. Это приводит к формированию такого опасного явления как правовой нигилизм ‑ люди перестают верить в необходимость исполнения законов и правил.

Поэтому, если нет уверенности в эффективности мер безопасности и возможности следить за их исполнением, то лучше их не вводить. А если уж ввели, то последовательно требовать исполнения их всеми и объяснять их назначение.

В целом, совет для руководителя при введении любых ограничений и запретов ‑ попробовать поставить себя на место подчиненного и оценить, как бы вы отреагировали на них, какие эмоции они вызовут. Не забывать проводить разъяснительную работу, быть открытыми для запросов «снизу». Сотрудники должны понимать, что именно они ‑ главный и самый ценный актив организации.

Статья начальника отдела ИБ ООО "IT-TEAM SERVICE" Антона Ракитского вышла в журнале «Управление предприятием», издаваемом Международным центром финансово-экономического развития - Узбекистан. Статья вышла в журнале №4 за апрель 2021 г.
Полную версию статьи можно прочитать на сайте издания, в электронной версии журнала. Она доступна на русском и узбекском языках. Ниже приводится авторская редакция статьи.

Цифровизация ‑ сложное, почти философское понятие. Упрощенно его можно описать как внедрение современных технологий в работу предприятия. Под «современными» чаще всего понимаются информационные технологии. Но цифровизация подразумевает не только внедрение какой-то одной технологии, а пересмотр всей парадигмы управления таким образом, чтобы применяемые новшества создавали новый уровень качества сервиса, услуг. Но, независимо от уровня иерархии, решение о применении технологий практичнее принимать не волюнтаристки, а с учётом всех «за» и «против».

Преимущества информационных технологий в Узбекистане взяли на вооружение даже такие, казалось бы, никак не связанные с ИТ сферы как народные промыслы. Многие мастера-ремесленники используют интернет как средство для рекламы товаров. Но если для них это скорее ещё один из каналов продаж, то для сложных производств внедрение новых технологий вопрос далеко нетривиальный. Примером именно цифровизации (а не просто использования ИТ) является онлайн-банкинг ‑ теперь клиент может годами не появляться в банке, все операции совершаются онлайн. За счёт экономии средств на содержание офисов и клерков банк может предложить более выгодные условия обслуживания, кэшбек и др. Ещё один пример, пока отсутствующий в Узбекистане это каршеринг - краткосрочная аренда автомобилей. Именно применение современных технологий позволило создать совершенно новый продукт, хотя как таковая аренда автомобилей существовала давным-давно.

Приступая к рассмотрению вопроса о цифровизации предприятия важно понять конечную цель. Как говорится: «для корабля, не имеющего курса, никакой ветер не будет попутным». Так и если заявить целью «цифровую трансформацию», результат будет таким же абстрактным. Следует избегать принятия решений под воздействиям страха опоздать и только потому, что цифровизацией занялись конкуренты. Технологии должны быть помощником, средством преобразования, а не самоцелью. Вполне может оказаться, что какие-то процессы можно оптимизировать вообще без новых технологий, а правильным административным решением.

Цель цифровизации должна быть чётко сформулирована изначально. Для этого удобно пользоваться подходом SMART, т.е. руководитель может попытаться ответить на пять вопросов, по первым буквам английских слов:

Specific (конкретный) ‑ какова конечная цель?
Measurable (измеримый) ‑ как количественно выглядит цель или достижение какого результата будет считаться успехом?
Assignable (назначаемый) ‑ кто конкретно будет исполнителем?
Realistic (реалистичный) ‑ какие конкретно результаты могут быть действительно достигнуты? Действительно ли цель достижима? Насколько достигнутое соотносится с общей целью, т.е. релевантно?
Time related (связанный со временем) ‑ в какие сроки будет достигнута цель?

Имея сформулированную цель, следующий шаг ‑ объективная оценка ресурсов. И важнейшая их составляющая ‑ люди (HR). Люди не любят изменения, влияющие на привычную им жизнь. Многие очень неохотно учатся. Кто-то может саботировать и пытаться дискредитировать новые технологии. Трезво оцените потенциал своего персонала и начните подготовку именно с него. Потому что никакие деньги не помогут, если на уровне исполнителей будет недоверие, недопонимание и отрицание новинок. Сотрудники могут искренне заблуждаться, просто потому что не имеют опыта и знаний.

Далее идёт оценка финансовых затрат. Любая трансформация сначала долгое время будет требовать расходов, прежде чем начёт приносить плоды, да и то, только при правильном расчёте. Сколько-нибудь сложный проект по цифровизации обычно имеет горизонт планирования один-два года. Рассмотрим условную схему предприятия, в котором планируется цифровизация.

• Любое предприятие помещено во внешний контекст. Это условия, в которых работает любое предприятие - законодательство, требование регуляторов, лицензирующих органов, культурные особенности и традиции. Здесь же находятся и потребители товаров и услуг, производимых предприятием. Примером внешнего контекста может быть целиком страна, или даже регион (например, Евросоюз), или какой-то отдельный регион.
• Далее, само предприятие, которое на высшем уровне определяет собственно сферу деятельности. Банк, клиника, конструкторское бюро, пекарня, продуктовый магазин и др. На уровне предприятия находится высшее руководство, которое принимает политические и стратегические решения.
• Внутри предприятия существует множество бизнес-процессов. Это может быть и процесс собственно производства товаров и услуг, и вспомогательные процессы - управление кадрами, бухгалтерия, логистика.
• Бизнес-процессы могут быть частично или полностью автоматизированы, тогда их называют «автоматизированными процессами». Примеры - электронная система бухгалтерии, начисления зарплаты, интернет-магазин, система контроля и учёта доступа, система электронной почты, поддержки клиентов, автоматизированная банковская система.
• Автоматизированные процессы опираются в свою очередь на программное обеспечение. На этом уровне представлены уже известные пользователям операционные системы Microsoft Windows, Unix, Linux, всё прикладные программы, базы данных.
• Программы работают на аппаратном обеспечении. Это может быть или традиционный персональный компьютер, или большой сервер, обрабатывающий тысячи запросов в секунду. В последнее время всё большую популярность набирают виртуальные машины и облачные сервисы.
• И практически со всем «слоями» работают пользователи. Они могут быть как сотрудниками, так и клиентами компании. Например, покупатели интернет-магазина, подписчики онлайн-издания.

Чем на более высоком уровне предприятия предполагается цифровизация, тем сложнее и рискованнее процесс. Если замену сервера или операционной системы можно провести так, что пользователи этого и не заметят, то внедрение бизнес-процесса может растянутся на месяцы. Например, коммерческие банки, решившие внедрять онлайн-банкинг, сталкиваются с полным пересмотром множества бизнес-процессов, наработанных годами. Иногда цифровая трансформация настолько сложна, что предприятиям проще создать отдельное дочернее юридическое лицо и вывести высокотехнологичные процессы туда.

Критически важными условиями успешной цифровизации является поддержка процесса высшим руководством предприятия. Хорошая практика включение в состав правления руководителя ИТ-службы. Только в этом случае процессы цифровизации получат необходимую административную поддержку. К сожалению, часто ИТ (и особенно информационная безопасность) воспринимается финансовым руководством предприятия как потребители средств, «бездонная бочка», ИТ-службе приходится буквально «выбивать» себе бюджеты.

Другая проблема, особо актуальная для нашего региона ‑ катастрофическая нехватка ИТ-кадров, особенно с опытом внедрения сложных систем. Поэтому руководителю важно, понимая это, выбирать - делать ставку на собственный штат, или привлекать компанию-интегратора решений. Свои плюсы и минусы есть в каждом из вариантов.

И самая неочевидная проблема цифровизации ‑ юридическая. Приняв решение автоматизировать бизнес-процесс предприятие попадает в новое правовое поле, которое, к тому же, постоянно меняется. Самый яркий пример ‑ законодательство о персональных данных, которое теперь требует получения согласия граждан на обработку персональных данных, а с середины апреля 2021 вступает в силу требование по локализации хранения баз персональных данных граждан Узбекистана. Часть деятельности в сфере ИТ требует лицензирования (криптографическая защита данных). Без учёта правового фактора цифровизация приведёт к большим финансовым и репутационным потерям.

Сформулировав конечную цель цифровизации на предприятии и имея её в виду, проставьте отметки по чек-листу ниже:

Анализ результатов чек-листа. Сразу отметим, что данный чек-лист очень приблизительный и призван обратить внимание руководителя на уязвимые места предприятия. Он позволяет грубо оценить оправданность цифровизации бизнеса при существующем уровне зрелости менеджмента. Сложите все отметки в поле ответов. Если в результате суммирования получилось положительное число, то логично задумываться о цифровизации. Если отрицательное - то риски цифровизации слишком высоки. Необходимо доработать слабые позиции и после этого вернуться к оценке.

Резюме. Цифровизация всех сфер бизнеса процесс неотвратимый. Но действительно польза от применения новых технологий будет только если процесс этот продуман и учтены все аспекты. Все мы являемся свидетелями того, как болезненно проходит цифровизация коммунального хозяйства в Узбекистане ‑ данные об оплате и показания приборов учёта разнятся в базах данных, существует большое недопонимание со стороны потребителей. А ведь цель всех преобразований благая ‑ повышение прозрачности и снижение потерь энергоносителей. Решив начать цифровую трансформацию на предприятии тщательно продумывайте «запасные вариант» и учитесь на ошибках других. Их в любом случае не избежать, но смягчить - вполне реально.