Эффективная безопасность

Но даже и в лучшие времена любой команде, занимающейся вопросами безопасности, нужно постоянно думать о финансовой дисциплине. Внедрение инноваций в бизнесе требует экономического обоснования затрат на безопасность, грамотного использования ресурсов и эффективности, которая позволила бы направить высвободившиеся средства на реализацию стратегических планов. Приведенные рекомендации основываются на отчете, опубликованном по результатам очередного заседания группы ведущих специалистов в области безопасности Security for Business Innovation Council. Финансирование этой группы осуществляется компанией RSA — подразделением информационной безопасности корпорации EMC.

Взвесьте риски и ожидаемую выгоду

Спрос на программы обеспечения безопасности не ослабевает. В условиях, когда сокращение бюджетов и персонала сопровождается ужесточением требований регулирующих органов и ростом угроз, умение правильно расставлять приоритеты играет ключевую роль. Сосредоточившись на потенциальных рисках и ожидаемых преимуществах, подразделения безопасности должны привести ресурсы в соответствие с потребностями бизнеса. Решения, принимаемые с учетом рисков и возможных преимуществ, облегчат понимание задач, стоящих перед бизнесом, и обеспечат условия для представления рисков и выгод в количественном выражении. «При наличии грамотно описанных рисков и знания того, какие бизнес-процессы, роли, наборы данных и системы играют в вашей организации критически важную роль, вам не составит труда выделить десять приоритетных бизнес-процессов и составить перечень поддерживающих их ИТ-систем, — полагает Андреас Вухнер, глава подразделения по управлению рисками, обеспечению ИТ-безопасности и соблюдению нормативных требований компании Novartis. — Представляя себе полную картину в условиях бюджетного прессинга, вы сможете расставить приоритеты в списке проектов, сократив тем самым риски для бизнеса».

Поручайте решение актуальных задач людям, которые справятся с этим наилучшим образом

«Основная задача директора по информационной безопасности (Chief Information Security Officer, CISO) заключается в функциональном управлении безопасностью, и в первую очередь, правильно подобрать кандидатов на ключевые должности, — отметил д-р Пол Дорей, бывший вице-президент, а ныне директор компании Digital Security по вопросам безопасности и конфиденциальности, выполнявший в свое время обязанности директора по информационной безопасности в корпорации BP. — Зрелая программа предполагает установление необходимого баланса между самооценкой и самостоятельным поиском выходов из сложившейся ситуации, поддержку как штатных специалистов по безопасности, так и сотрудников, работающих по контракту, а также привлечение независимых консультантов. При этом директору по информационной безопасности нужно учитывать рабочую нагрузку и сочетать фиксированные требования к затратам с плавающими. На мой взгляд, привлечение специалистов по безопасности должно помочь осуществить нужные назначения, выявить наиболее существенные риски и отыскать самые важные инновации». В компании, где, помимо штатных сотрудников, трудятся специалисты, работающие по контракту, или консультанты, не стоит привлекать последних к реализации крупных новых проектов. Лучше возложить эту работу на внутреннюю команду. Ее члены знают о бизнесе достаточно для принятия обоснованных решений. Вероятность того, что они допустят серьезную ошибку, или их действия приведут к замедлению работ, относительно невелика. Помните также, что консультанты, работающие над новым проектом, уходя, уносят с собой ценные знания о проекте или бизнесе, а это грозит вашей команде большими потерями. Эффективным способом поиска ресурсов для построения системы безопасности может стать распределение и децентрализация функций безопасности. Убедитесь в том, что ключевые сотрудники (администраторы сетей, разработчики приложений и системные архитекторы) обладают достаточными знаниями в области безопасности. Затем постарайтесь найти в организации тех штатных специалистов, кто, хотя и не имеет непосредственного отношения к безопасности, тем не менее проявляет интерес и склонность к решению соответствующих задач. Возможно, вам удастся привлечь на свою сторону сотрудников кадровой службы, посулив им моральное или материальное вознаграждение. Управление некоторыми функциями можно поручить даже специалистам основных подразделений, если они прошли необходимое обучение, используют нужные средства и придерживаются утвержденных стандартов.

Обеспечьте повторяемость

Направляя основные усилия на рационализацию процедур и набора инструментов, команда, занимающаяся вопросами безопасности, способна помочь предприятию повысить производительность труда. Есть области (например, управление идентификацией и доступом), которые не требуют особых усилий. Добиться повышения эффективности здесь можно без труда. Подумайте, нужен ли каждому подразделению свой уникальный механизм проверки идентификатора администратора или своя собственная система управления доступом к привилегиям? Другая ключевая стратегия подразумевает расширение функционала уже имеющихся на предприятии ресурсов, например, системы управления информацией о безопасности и событиями или системы управления изменениями. Зачастую инструменты подобного рода приобретаются в качестве узкоспециализированного решения, но затем сфера их применения расширяется и выходит далеко за пределы первоначального круга. «Информационную безопасность следует рассматривать с точки зрения производительности, а не чистого управления, — указал Ролан Клутье, вице-президент и директор компании EMC по вопросам безопасности. — Сэкономленные средства необходимо инвестировать дальше, чтобы обеспечить еще более высокую эффективность в других областях. Однако не стоит изобретать колесо. Перед компанией открываются неисчерпаемые возможности использования имеющихся в каждой из групп резервов, которые позволяют добиться сокращения затрат и усиления защиты информации. Это может относиться к ИТ-подразделению, группе аудита или финансовой группе. Выделите время на то, чтобы понять, что уже сделано, вместо того чтобы проделывать все заново. Затем можно установить доверительные отношения и использовать информацию вместе со своими внутренними партнерами».

Разработайте оптимальную стратегию совместных затрат

Затраты на безопасность зачастую распределяются между центром обеспечения корпоративной безопасности и бизнес-подразделениями и отделами, нуждающимися в защите своих информационных активов. Формула распределения затрат варьируется на разных предприятиях, но конечная цель всякий раз заключается в том, чтобы добиться отчетности, прозрачности и соответствия проводимых инвестиций целям и нуждам предприятия. Важно выработать стандартные методы определения рисков и расчета затрат на создание требуемых управляющих элементов — все это работает в рамках вашей структуры подсчета затрат и ведения бухгалтерского учета и соответствует выбранной модели взаимодействия. «В основе всего должно лежать совместное решение людьми какой-то общей задачи, а также получение каждой группой определенных преимуществ благодаря внедрению общего решения, — заметила Клаудиа Натансон, директор компании Diageo по вопросам информационной безопасности. — Зачастую добиться этого достаточно сложно, но потратить время стоит. Прежде чем приступать к решению, проведите всестороннее обсуждение и постарайтесь заручиться поддержкой своих союзников в данном вопросе, с тем чтобы добиться общего понимания и согласия в части увеличения масштабов экономии. Это укрепит ваши позиции после перехода к спорам о ценах и требуемых ресурсах». Вопросы безопасности затрагивают практически все, начиная от функционирования цепочек поставок и заканчивая эффективным совместным использованием рабочего пространства за счет грамотного управления информационными рисками. Поэтому даже в условиях экономического спада подразделениям обеспечения безопасности необходимо идти вперед и не снижать набранных темпов, превращая системы безопасности в ключевой компонент инновационного бизнеса. Важнейший залог успешного продвижения к этой цели — правильное определение приоритетов и обоснованность инвестиций. В противном случае финансироваться будут второстепенные проекты, а критически важные для бизнеса задачи так и останутся неохваченными. Ведущие специалисты в области безопасности рекомендуют с максимальной точностью определять соотношение между рисками и получаемыми преимуществами, выбирая из всех возможных вариантов наиболее выгодные с точки зрения как эффективности, так и стоимости.

Кристин Кейн