Журнал "Information Security/ Информационная безопасность" #3, 2021

Эффективное корпора- тивное управление не может опираться на сотрудников, вынужденных действовать вопреки собственным инте- ресам. На протяжении жизнен- ного цикла компании часто происходит так, что ИБ- команда приходит и через непродолжительное время уходит, а ИТ-команда оста- ется на долгое время. В силах директора по информационным техноло- гиям развернуть ситуацию в сторону осознания его сотрудниками важности информационной безопас- ности для устойчивости ком- пании. работника. Понимание повсе- дневных интересов и мотивации нанимаемых сотрудников – важ- ная составляющая работы кад- ровой службы. Организации могут обращать- ся со своими сотрудниками по принципу "нанял-уволил". Но в этом случае не стоит рассчиты- вать на высокое качество пер- сонала и хорошую репутацию на рынке труда. Управление наймом и уходом сотрудников с учетом возникающих рисков, связанных, например, с утечкой информации, является одним из наиболее важных вкладов кадровой службы в безопас- ность компании. Еще одной значимой состав- ляющей в работе кадровой службы является применение передовых программ обучения информационной безопасности и распространение их по всей организации. Важна также роль кадровой службы в обеспечении этич- ности мер безопасности, при- меняемых компанией, согла- совании ее задач, целей, инте- ресов с задачами и целями работников. Эффективное корпоративное управление не может опираться на сотрудни- ков, вынужденных действовать вопреки собственным интере- сам. Мониторинг действий сотрудников часто вызывает вопросы о доверии к персона- лу. Кадровая служба понимает этическую подоплеку этих вопросов лучше всех и может дать совет топ-менеджменту и службе ИБ относительно того, сработают ли принимаемые политики безопасности и соот- ветствуют ли они корпоратив- ной культуре. ИТ-служба CIO (Chief Information Officer), директор по информационным технологиям Для ИТ-директора важно, что информационная безопасность повышает стабильность и надежность ИТ-систем и это сказывается на операционной отказоустойчивости бизнес-про- цессов. Что касается технических аспектов, то руководство ком- пании в первую очередь обес- покоено перебоями в работе ИТ-систем или неудовлетворен- ностью сотрудников их исполь- зованием, поскольку эти систе- мы поддерживают текущие биз- нес-процессы и в той или иной степени обеспечивают бизнес- деятельность. На протяжении жизненного цикла компании часто происхо- дит так, что ИБ-команда прихо- дит и через непродолжительное время уходит, а ИТ-команда остается на долгое время. Это является следствием стратеги- ческих приоритетов бизнеса, которые формировались с раз- витием и внедрением ИТ-техно- логий. Действительно, со служ- бой ИТ зрелый бизнес живет уже плюс-минус 40 лет и привык следовать и доверять всему, что она говорит (все в компании в курсе: как 20 лет назад запусти- ли ИТ-инфраструктуру, так до сих пор все худо-бедно работа- ет). В случае смены ИТ-команды нужно будет заново разбираться, как работает устаревшая ИТ- система, как нетривиально осу- ществляется процесс обновле- ния и т.д. С ИБ бизнес знаком в лучшем случае последние 10–15 лет. И именно служба ИБ сообщает наверх о всех косяках ИТ: неис- полнительности сотрудников (например, в вопросах смены паролей сетевых администра- торов), наличии технических учетных записей в Active Direc- tory, несвоевременном закры- тии уязвимостей и пр. В противостоянии ИБ-коман- ды с "косяками" ИТ последние формально на стороне инфор- мационной безопасности, но по факту в реальном мире между службами существует непони- мание, соперничество, явные или скрытые действия со сто- роны ИТ-инженеров ("гуру в ИТ"), привыкших самостоя- тельно устанавливать те или иные правила. В силах дирек- тора по информационным тех- нологиям развернуть ситуацию в сторону осознания его сотруд- никами важности информацион- ной безопасности для устойчи- вости компании. Риск-менеджмент CRMO (Chief Risk Management Officer), директор по управлению рисками, главный риск-менеджер Одной из обязательных и постоянных стратегических задач компании должно быть непрерывное совершенствова- ние. Идентификация рисков в контексте приоритетов биз- неса – одна из ключевых целей компании в сфере информа- ционной безопасности. Риск-менеджмент отслеживает все риски организации. Поэтому участие директора по управлению рисками в обеспечении инфор- мационной безопасности компа- нии можно считать прямо выте- кающим из его обязанностей. Определение приоритетности рисков – не техническая задача. Это задача управления компа- нией. Директор по управлению рисками должен играть важную роль в разработке программы мероприятий по обеспечению информационной безопасности, а также контролировать, как выявленные риски документи- руются, принимаются и устра- няются. Не следует также полагать, что все подходы к регулирова- нию рисков идеальны или про- сто разумны. Технологическому сектору необходимо избавиться от иллюзии, что только он сам способен понимать информа- ционные технологии и их тон- кости. Ему нужно больше делиться информацией об этих тонкостях с тем, чтобы топ- менеджмент и сотрудники служ- бы управления рисками лучше разбирались в них. Служба внутреннего аудита CAE (Chief Audit Executive), директор по внутреннему аудиту Деятельность службы внут- реннего аудита очень важна как для служб ИБ и ИТ, так и для руководства компании. Для служб ИБ и ИТ это сторон- ний взгляд на проблемы ИТ- безопасности, сфокусирован- ный на наиболее важных направлениях бизнес-деятель- ности компании. Для топ- менеджмента деятельность службы внутреннего аудита существенно экономит время и избавляет от рутинных проце- дур надзора. Выявленные нарушения в ходе внутреннего аудита немедленно эскалируются • 49 УПРАВЛЕНИЕ www.itsec.ru