Информационная безопасность
Факторы риска
В компании должно быть сформировано четкое представление о необходимости действенных мер по обеспечению информационной безопасности, на основе чего надлежащим образом утверждается и документируется политика. Эффективная реализация этой политики требует проведения периодического обучения и распространения образовательной информации, роль которых сложно переоценить. Необходимо всегда помнить, что люди – это одно из самых слабых звеньев в системе, что подтверждают результаты международного опроса по информационной безопасности, проводившегося компанией Ernst&Young в 2003 году.
Так, в перечне основных угроз информационной безопасности, не связанных с техникой, второе место занимают нарушения со стороны сотрудников, а уровень воздействия таких нарушений на функционирование системы безопасности по пятибалльной шкале получил оценку 2,8 как у респондентов из дальнего зарубежья, так и у опрашиваемых из стран постсоветского пространства.
В качестве причин, которые привели к нарушению безопасности и значительным (более двух часов) простоям информационных систем, допускаемые сотрудниками ошибки упоминаются для СНГ в 9%случаев, а для дальнего зарубежья – в 4%, а операционные ошибки персонала (как, например, некорректное использование программного обеспечения) – в 14% и 15% соответственно.
Риски безопасности со стороны работающего персонала заметно увеличились из-за частого обновления сотрудников и совмещения функций и ролей работающих специалистов. С целью повышения квалификации персонала периодически проводятся тренинги и учебные семинары. Согласно тому же опросу, менее 40%респондентов из СНГ сообщили о регулярном проведении тренингов. Еще меньше (20%)постоянно проводят семинары и инструктажи по информационной безопасности.
В целях безопасности информации очень важно поддерживать доброе соседство с другими организациями, которые выступают партнерами и контрагентами. Как уже отмечалось, организация не может функционировать изолированно от других. Так или иначе, к определенным информационным ресурсам осуществляется доступ извне.
А это – риск для безопасности организации, , минимизировать который можно благодаря контрактам о взаимном неразглашении конфиденциальной информации (кстати, подобные соглашения заключаются и при приеме на работу).
Специалисты Ernst&Young указывают на то, что во многих компаниях непропорционально высокий объем вложений осуществляется в технические средства, в то время как особого внимания заслуживают сами процессы обеспечения безопасности и человеческий фактор, который, как уже подчеркивалось, является одной из наиболее важных составляющих в этих процессах. Для уменьшения риска в результате ошибки сотрудника, недостаточной информированности персонала по вопросам безопасности или в случае преднамеренной атаки, в организации должны учитываться некоторые моменты. Это в первую очередь наличие официальных процедур проведения таких операций, как установка новых программных приложений и планирование системной нагрузки. В результате сводится к минимуму влияние операционных ошибок и перегрузки систем.
В свою очередь, проведение регулярных семинаров по вопросам безопасности и наличие программы обучения снижают риск того, что сотрудники сыгнорируют преимущества технических средств (например, из-за небрежного обращения с паролями или открытия зараженного файла). А жесткие процедуры и правила по использованию паролей и получению прав доступа уменьшают угрозу внутренней атаки (например, со стороны недовольного сотрудника) или со стороны деловых партнеров, имеющих санкционированный доступ.
И еще одна проблема заслуживает пристального внимания. На протяжении десяти лет наблюдается тенденция расхождения, причем увеличивающегося расхождения, объемов финансирования безопасности и сферы IT в целом. В той же Великобритании, по данным Конфедерации британской промышленности (CBI), только 27% организаций инвестируют в безопасность предприятия более 1%своего IT бюджета, а 30% проводят оценку возврата инвестиций (ROI)для данной сферы.
В целом, стратегия информационной безопасности и практика ее финансирования должны быть продиктованы требованиями бизнеса, ведь зачастую принимаемые меры являются откликом на случившийся инцидент.Причем для решения проблемы выбираются временные и фрагментарные решения. Специалисты Ernst&Young подчеркивают необходимость осуществления взвешенного, продуманного и комплексного подхода к обеспечению информационной безопасности в масштабах всей организации, что в конечном итоге гарантирует сохранность немалых средств.
