Читаем IT-безопасность: стоит ли рисковать корпорацией? полностью

2. Акт Грэма-Лича-Блайли (GLB — Gram Leach Bliiey Act). GLB является федеральным законом, требующим от финансовых учреждений защищать индивидуальную финансовую информацию от утраты и кражи. GLB требует от федеральных органов, регулирующих деятельность финансовых учреждений (таких как Управление контролера денежного обращения, Совет управляющих федеральной резервной системы, Федеральная корпорация страхования депозитов и Управление по надзору за сберегательными ассоциациями)[69] создания правовых стандартов для защиты этой финансовой информации.

3. Акт о сохранении тайны и защите информации о состоянии здоровья (НIРРА — Health Information Privacy and Protection Act).[70] HIPPA определяет защиту персональной информации о состоянии здоровья. В нем установлены правила обеспечения безопасности информации о состоянии здоровья, которая передается или хранится в электронном виде. Хотя этот акт находится на стадии разработки, но, вероятно, что черновой вариант останется окончательным. Затем учреждения, на которые он распространяется, должны будут в течение двух или трех лет (в зависимости от своих размеров) его выполнить.

Компания Costa Corp имела хорошие намерения, но ее руководители, борясь с ограниченностью ресурсов и времени и осуществляя другие деловые инициативы, не смогли выяснить угрозы своей организации, научиться, как уменьшить риски, и принять меры по уменьшению этих рисков. Они делегировали вопросы безопасности, устранив должностных лиц, директоров и высшее руководство из процесса принятия решений. Как ранее заметил юрист Дэн Лэнджин, исходя из «принципа благоразумия», должностные лица и директоры не могут полностью делегировать свои обязанности по обеспечению информационной безопасности. Недостаточно просто заявить: «У меня есть отдел, который заботится об обеспечении безопасности».

Угрозы возрастают, и атаки становятся более изощренными. Действия против известных и неизвестных угроз требуют большего, чем благие намерения руководства, — они требуют решимости, финансирования, активности и людей, которые бы понимали, что такое безопасность, и принимали правильные решения.

Многие виды денежного вознаграждения руководителей связываются с выполнением ими деловых инициатив и достижением ими корпоративных целей. Добейтесь, чтобы в вашей компании обеспечение безопасности стало одной из корпоративных целей. Выясните, что могут сделать для повышения безопасности отраслевые стандарты и как они должны внедряться в вашу среду. Используйте рычаги деловых инициатив, включив в них с самого начала вопросы безопасности, и не делегируйте обязанности по обеспечению безопасности. Мы на войне — враг уже у ворот вашей сети. Не стойте на месте, иначе вам придется участвовать в каком-либо запутанном судебном процессе из-за того, что ваше руководство не приняло достаточных мер по защите вашей компании или не принимало их вообще.

Представьте себе, что вы в составе совета директоров замечательной компании, входящей в список Fortune 500. (Неплохая мечта, не так ли?) Утром в понедельник вы зашли в любимое кафе и приступили к просмотру утренних газет, наслаждаясь первой на этой неделе чашкой ароматного кофе. Но подождите. Читая приятную заметку, предлагающую провести отпуск на французской Ривьере, вы видите броский заголовок: «Фирма из Fortune 500 разорена хакером!» Увы, это не какая-то другая фирма из Fortune 500, а именно ваша!

Статья сообщает, что ваша компания была вынуждена отключить свою интранет от внешнего доступа в попытке прекратить вредительство хакера в отношении продуктов нового ряда. Еще пять минут назад вы неторопливо подсчитывали в уме, сколько вам нужно продать ваших акций, чтобы обеспечить себе веселый отпуск. Теперь вам приходится думать о том, на сколько ваши акции упадут в цене (не сомневаясь в этом!) после того, как лидеры рынка закончат просматривать заголовки газет. Более того, вы опасаетесь, не были ли украдены или уничтожены программы для продуктов нового ряда. Переживет ли это компания? А может быть, вам придется провести этот отпуск, обновляя свое резюме?