Читаем CIO новый лидер. Постановка задач и достижение целей полностью

Вашим первым шагом в обеспечении управления рисками информационной безопасности должна стать разработка формальной политики безопасности. Политика безопасности – это набор правил ведения бизнеса, который определяет отношение компании к риску и меры безопасности, которые повышают эту безопасность. Политика определяет то, как надо себя вести в сложных ситуациях и при переменах. Она определяет процессы контроля, отчетности и намечает стратегию будущих действий (таких, как доступ к внутренним ресурсам или внешним Интернет-сайтам). Политики должны базироваться на индустриальных стандартах, таких как COBIT (Control Objectives for IT) или ISO 17799, поскольку они закладывают критерии программы безопасности и основу для оценки и управления безопасностью.

Стартовой точкой для политики безопасности должно стать отношение вашей компании к риску. Например, определить момент внедрения новых технологий – это часть обсуждения управления риском. Что больше беспокоит вашу компанию – инновации или потенциальная уязвимость информационной безопасности (которую новые технологии неизбежно несут с собой)? Вы можете ответить на этот вопрос только в том случае, если вы знакомы со всеми подробностями управления рисками в вашей компании.

При помощи четкого и адекватного руководства безопасностью вы должны понять, кто отвечает за принятие ключевых решений и кто отчитывается за все проблемы, относящиеся к информационной безопасности. Точно так же, как вы установили набор решений для ИТ-руководства (максимы, архитектура, инвестиции, приоритеты и прочее), вашей компании необходимы системы руководства для обеспечения безопасности. Они должны включать как минимум стратегию риска, политику безопасности, архитектуру безопасности и бизнес-приложения для безопасности (таблица 9.1).

Используя решения о стратегии риска, определите, какое поведение приемлемо в данном конкретном случае и отразите ваши решения в вашей корпоративной политике безопасности. Политика, конечно, не многого будет стоить, если вы не определите ответственность ваших сотрудников за внедрение этой политики и не убедитесь, что они следуют вашим предписаниям. Наконец, вы должны выбрать, какие технологии и процессы, основанные на решениях вашей политики, будут использоваться для обеспечения корпоративной безопасности, и управлять этими технологиями постоянно.

Управляйте процессами безопасности постоянно

Управление безопасностью должно основываться на фактах. Как говорит народная мудрость: «Что можно измерить, должно управляться». Убедитесь в том, что вы можете измерить свою безопасность, исходя из своей политики. Первым шагом должна стать централизация безопасности ИТ с полной отчетностью CIO (что может быть специальной работой). Многие компании не ведут статистику атак на них, откликов на эти атаки и эффективности этих откликов. Почти половина руководителей, ответственных за безопасность (CSO – chief security officer), отвечая на вопросы CSO Magazine, сказали, что не отслеживали все атаки и не сообщали о кибер-криминале в полицию [50] . Без четких оценок корпоративная информационная безопасность становится слепой и беззубой. В эти оценки должны входить типы атак (как успешных, так и безуспешных), характеристики атакующих (если они известны), мишени атак, эффективность, стоимость защиты от каждой конкретной атаки, а также потери, связанные с атаками. (См. главу 10, чтобы узнать больше о создании эффективных табло, которые позволят контролировать ваш прогресс.)

Давайте сформулируем некоторые вопросы, которые позволят провести оценку процессов вашей безопасности:

• анализируете ли вы архитектуру безопасности новых приложений, чтобы убедиться в том уязвимости не строятся извне?

• постоянно ли вы следите за доступом пользователей и конфигурацией ПО, чтобы предотвратить уязвимость, которая может стать брешью в защите?

• успеваете ли вы отвечать на вторжение в реальном времени?

• каков статус вашей системы архивирования, восстановления и постоянного бизнес-планирования?

Таблица 9.1. Матрица организации руководства безопасностью