Журнал "Information Security/ Информационная безопасность" #3, 2021

Создание атмосферы прозрачности – еще одна задача топ-менеджмента при выработке стратегии безопасности. ИБ не работает без помощи изнутри организации При обсуждении ролей в ИБ роль CISO (Chief Information Security Officer), директора по информационной безопасности, сознательно выведем за скобки, так как речь пойдет вовсе не о службе информационной безопасности. Деятельность по выстраиванию процессов информационной безопасности эффективна лишь в том случае, если она орга- нично встроена в корпоратив- ную культуру компании. В слу- чае организационной и опера- ционной обособленности функ- ций информационной безопас- ности только в службе ИБ ком- пания не сможет эффективно реагировать на сложные, каче- ственно новые вызовы в совре- менных условиях ведения биз- неса. Чтобы обеспечение информационной безопасности стало общей заботой в органи- зации, ее требуется вывести на уровень бизнес-подразделений и топ-менеджмента. Перечислим, пропуская руко- водителя службы ИБ, еще при- мерно семь различных руково- дящих должностей в компаниях, отвечающих в качестве основ- ных исполнителей за опера- ционную отказоустойчивость, безопасную инфраструктуру, правильное распределение ресурсов, репутационные риски, реагирование на инциденты и другие аспекты информацион- ной безопасности: l топ-менеджмент; l кадровая служба; l ИТ-служба; l риск-менеджмент; l служба внутреннего аудита; l юридическая служба; l общая безопасность. Проанализируем возможные точки взаимодействия указан- ных подразделений, и прежде всего их руководителей, в раз- резе информационной безопас- ности компании. Топ-менеджмент CEO (Chief Executive Officer), генеральный директор – главное должностное лицо Руководство компании обес- печивает создание и поддер- жание внутренней среды, кото- рая позволяет сотрудникам в полной мере участвовать в достижении стратегических целей компании. ИБ начинается с генерального директора и спускается вниз, охватывая весь персонал. Именно топ- менеджмент в ответе за созда- ние строгой культуры безопас- ного поведения, и он лично дол- жен показывать пример пра- вильного отношения к требова- ниям информационной безопас- ности. Такой настрой руковод- ства повлечет за собой активи- зацию диалога между теми, кто определяет культуру компании и требует соблюдения опреде- ленных правил, и теми, кто отвечает за бизнес-деятель- ность. Сегодня бизнесу нужны внут- ренние лидеры, сочетающие хорошую осведомленность в передовых технологиях с широ- ким кругозором. Важно, чтобы в компании была создана открытая обстановка, в кото- рой поощряется не только информация об успехах, но и негативная информация о любых процессах. Создание атмосферы прозрачности – еще одна задача топ-менедж- мента при выработке стратегии безопасности. Кадровая служба CHRO (Chief Human Resources Officer), директор по персоналу Информационная безопас- ность в значительной степени зависит от организационной структуры и корпоративной культуры компании, а роль директора по персоналу – одна из ключевых в обеспечении информационной безопасности. В чем это выражается? Прежде всего в том, что такой руководитель должен принять на себя часть ответственности за нанимаемых компанией сотрудников. Причиной любого ИБ-инцидента может быть злой умысел или некомпетентность 48 • УПРАВЛЕНИЕ Роли в информационной безопасности ценивая корпоративное управление современных компаний, нельзя не обратить внимание на очевидные проблемы с информационной безопасностью. Для решения этих проблем от топ-менеджмента требуется проведение инициатив, которые, с одной стороны, являются сложными, многосторонними и неочевидными, а с другой – предполагают вовлечение всех сотрудников компании, и прежде всего руководителей ряда ключевых подразделений. Об этом и пойдет речь в данной статье. О Валерий Естехин, эксперт по вопросам информационной безопасности, автор блога estekhin.blogspot.ru