• Главная
  • Направления деятельности
    • Аудит (экспертиза) ИБ
    • Персональные данные
    • Кибергигиена
    • Подготовка специалистов ИБ
    • Кибербезопасность
    • Разработка политики ИБ
    • IT безопасность
  • Новости
  • Партнеры
    • Symantec
    • Digital Security
    • Qualys
    • Blue Coat
    • Check Point
    • Kerio
    • Forcepoint
    • Cisco
    • Entensys
  • Персонал
    • Компетенции
  • О компании
  • Проекты
  • Контакты

Как снизить информационные риски в "Управлении предприятием"

Created: 23 May 2019

Статья начальника отдела ИБ ООО "IT-TEAM SERVICE" Антона Ракитского вышла в журнале «Управление предприятием», издаваемом Международным центром финансово-экономического развития - Узбекистан. Статья вышла в журнале №5 (143) за 2019 г.
Полную версию статьи можно прочитать на сайте издания, в электронной версии журнала. Ниже приводится авторская редакция статьи. Предыдущая статья эксперта на эту тему выходила в СМИ в 2014 году.

Осознание проблемы и её масштабов - первый шаг в её решении. Так насколько же актуальна проблема обеспечения информационной безопасности для современного предприятия в Узбекистане?
Во-первых - на любом современном предприятии вопросами информационной безопасности занимаются в лучшем случае несколько человек, а чаще всё тот же один единственный штатный специалист по информационным технологиям. При этом число различных хакеров, злоумышленников и потенциальных недоброжелателей очень велико - десятки и сотни тысяч, а благодаря развитию ИКТ, им для атак на предприятие даже не требуется приезжать в Узбекистан. Сотрудники предприятия работают по 8 часов в день, 5 дней в неделю. А злоумышленники - круглосуточно.
Во-вторых - предприятию необходимо обеспечить защиту всех своих систем, а чем больше организация, тем различных систем больше и они сложнее. А злоумышленнику достаточно найти одну единственную уязвимость, брешь в защите, и воспользоваться ей.
В-третьих - штатные специалисты очень редко повышают свою квалификацию, а злоумышленники обучаются постоянно и осваивают новые методы взлома и хищений.
В-четвёртых - мотивация персонала. Какова мотивация штатных специалистов? Как они заинтересованы в улучшении защиты предприятия? В лучшем случае получают премию к празднику или подарки для детей к новому году. Да и эти выплаты никак не связаны с результатами их работы. У злоумышленников прибыль напрямую связана с результатами их работы, больше взломов - выше прибыль.
В-пятых - чем сложнее системы, тем сложнее их защищать от злоумышленников. А сложность всех систем только возрастает, от простейших бухгалтерских программ, до огромных автоматизированных банковских систем.

На государственном уровне на безопасность (в т.ч. информационную) тратятся колоссальные деньги, и всё равно результаты далеки от ожидаемых. В любом выпуске новостей мы слышим темы связанные с ИБ - от хищения средств со счетов, до вмешательства хакеров в выборы. Таким образом, перед любым собственником бизнеса или руководителем предприятия всё острее становится вопрос - как защитить в таких условиях свои системы и, в конечном счёте, сам бизнес. Очень действенный метод управления в таких случаях - риск-менеджмент.
Риск - влияние неопределённости на цели бизнеса. Когда мы говорим, что какой-то бизнес высоко рискованный, значит, понимаем, что можем понести убытки. Поэтому совсем упрощая можно считать, что риск это и есть потенциальные убытки. Чем выше риск - тем больше убытки. Задача руководителя - снижать риски.
Очень наглядно сущность риска в сфере информационной безопасности можно представить, если изобразить его как куб, который может изменять свой объём по трём измерениям. Управляя каждым из факторов можно изменять объём куба - увеличивая или уменьшая риск.
Первое измерение - уровень угрозы, внешние неблагоприятные воздействия. Если бы удалось сразу исключить действия хакеров, злоумышленников, ошибки сотрудников и стихийные бедствия, то риск был-бы практически исключён. Но практика показывает, что уровень угроз только возрастает с каждым годом - хакеров становится больше, появляются конкуренты, обиженные сотрудники. Управлять этим измерением невозможно.
Второе измерение - влияние на бизнес. Чем больше влияние технологии на бизнес - тем больше риски. Например, в любом современном банке все операции производятся в автоматизированных банковских системах (АБС), если банк снизит долю ИТ в своём бизнесе, то потеряет рынок. Наоборот, все современные предприятия запускают всё больше сервисов с использованием ИКТ. Более-менее независим от информационных угроз разве что пункт по выпечке лепёшек. Т.е. в целом влияние ИКТ на бизнес только возрастает, как и риски в целом.
Третье измерение - уровень уязвимостей. Иначе говоря, чем более наши системы беззащитны к внешним угрозам, тем более они уязвимы. Отсутствие антивирусной защиты, необученный и неквалифицированный персонал, слабая охрана, частые перебои с электроснабжением - всё это уязвимости информационных систем. Но это единственное измерение, на которое можно влиять силами самого предприятия. Если провести аудит, выявить свои уязвимости и устаранить их, обучить специалистов действиям в случае ЧП - то предприятие будет защищено от внешних угроз и существенно снизит риски.

Проактивные и реактивные меры информационной безопасности.
Все меры обеспечения информационной безопасности можно разделить на две категории.
Проактивные меры - предпринимаемые до инцидента и призванные его предотвратить или снизить негативные последствия.
Реактивные меры - предпринимаемы после инцидента и призванные снизить негативные последствия и ускорить восстановление работы.
Проще всего объяснить различие подходов на бытовых примерах.
1-й пример, из повседневной жизни. Перед человеком стоит задача снизить вероятность и тяжесть последствий от заболевания, например гриппом. Для этого можно сделать прививку и снизить вероятность заболевания. Или не делать прививку и в случае заболевания лечить симптомы. Первый подход - проактивный, второй - реактивный.
2-й пример   перед работником стоит задача пройти через стройку и обеспечить защиту работника от падающих сверху кирпичей. Если выбрать реактивный подход, то нужно закупить специальную систему с видеокамерами, которая будет отслеживать пространство над головой и в случае появления там падающего кирпича, будет предупреждать сотрудника звуковым сигналом или через SMS. Успеет ли сотрудник отреагировать? Это реактивный подход. Но ведь значительно проще применить проактивный подход - заранее надеть каску и существенно повысить защиту сотрудника. Этот пример ещё и показывает, что даже очень дорогие реактивные меры не могут обеспечить тот уровень защиты, который обеспечивают простые и недорогие проактивные меры.
В сфере информационной безопасности реактивные меры всегда дороже, чем реактивные. Если на предприятии случилась эпидемия компьютерного вируса, то восстановление данных будет стоить очень дорого, да и не всегда возможно восстановить данные в полном объеме. Значительно проще заранее проинструктировать всех сотрудников - не открывать ссылки из подозрительных писем, не запускать файлы с флешек без их предварительной проверки антивирусным ПО.
Применение риск-ориентированного подхода к управлению и внедрение проактивных мер позволит повысить эффективность инвестиций в информационные технологии и информационную безопасность.

Copyright © 2011 © IT-TEAM SERVICE 2024 All rights reserved. Custom Design by Youjoomla.com
Новости