Через системность и волю к киберустойчивости организации
Тема информационной безопасности, как и кибербезопасности, становится все более популярной в нашей стране. Несмотря на это, некоторые руководители организаций пока еще воспринимают информационную безопасность, как что-то модное, но при этом не слишком важное. Во всяком случае, как нечто такое, с чем их предприятию (организации), возможно, никогда не придется столкнуться.
Те же руководители, которые задумываются о защите своего предприятия от последствий различных инцидентов информационной безопасности, ставят задачу начальникам ИТ-подразделений по обеспечению бесперебойной работы информационной системы (доступность сервисов – наше все!).
Информационная безопасность же, помимо доступности, еще и про конфиденциальность, целостность, сохранность, подлинность. Обеспечение информационной безопасности — задача, которая, хоть и находится рядом с обеспечением бесперебойного функционирования сети передачи данных и прикладных систем, но все же лежит в иной плоскости. Разобраться в ней, а также найти время на решение проблем, связанных с информационной безопасностью, ИТ-специалистам не просто.
И под давлением руководства предприятия («думай о защите информации!») ИТ-подразделение начинает защищаться. Услышал системный администратор о том, что можно настроить программный «open source»-межсетевой экран — и вот уже межсетевой экран как-то работает. И продолжая заниматься вопросами информационной безопасности спонтанно, по мере возникновения каких-то проблем с сетью передачи данных, ИТ-подразделение старается закрывать возникающие «дыры» «какими-то» средствами защиты.
Руководитель предприятия при этом думает, что задачи по защите информации решаются, а на самом деле предприятие в этом вопросе топчется на месте.
Информационная безопасность, как и любые бизнес-процессы, требует системного подхода.
Во-первых, предприятию необходимо привлечь специалистов в области защиты информации, которые бы профессионально и регулярно занимались информационной безопасностью.
Далее необходимо разработать проект системы защиты информации (СЗИ) (см. здесь) и план его реализации.
Наличие проекта и плана создания СЗИ позволит определиться с необходимыми ресурсами (людскими, финансовыми, материальными), поставить задачи, определить сроки их решения, ответственных и ожидаемые результаты.
Однако и этого мало. Проект и план останутся на бумаге, если руководитель предприятия не проявит твердую волю в достижении целей проекта.
Дело в том, чтобы перейти из состояния «беззащитности» в состояние «защищенности», пользователям информационной системы предприятия придется выйти из привычного состояния (если хотите, из зоны комфорта) и перейти в режим работы, когда надо соблюдать определенные правила, совершать непривычные, но ставшие обязательными, действия и отвечать за свои поступки.
И начнутся жалобы («что вы там придумали», «невозможно работать», «мы не успеваем», «вчера было удобно, а сегодня…», …). И чем важнее жалующийся пользователь для предприятия, тем сильнее будет давление на руководителя.
И, если руководитель предприятия окажется не готов к такому развитию событий, то никакие средства защиты не помогут.