Распределение ответственности за управление информационными рисками

Что такое информационные риски


Использование новых технологий, вхождение в сферу облачных вычислений, проникновение мобильных устройств и социальных ресурсов в бизнес-процессы – все это несет в себе новые информационные риски.

На самом деле, любой способ передачи информации – это потенциальный канал утечки данных. Самые распространенные – электронная почта, Skype и другие интернет-мессенджеры, внешние устройства (USB/CD/DVD), документы, отправляемые на печать, ноутбуки, личные мобильные телефоны (последние сегодня являются одной из самых актуальных угроз) и др.


Например, сотрудник уходит в конкурирующую компанию и желает унести с собой наработки, идеи или уже готовый проект. Достаточно высокий риск утечки информации о планах компании, данных о поставщиках, клиентах, сотрудниках. Все это серьезные угрозы ИБ предприятия. Уязвимость компании с точки зрения защиты информации портит ее имидж как надежного бизнес-партнера. А «недовольные» посты сотрудника на профильном ресурсе в Интернете могут «отпугнуть» от предприятия потенциальных работников. Конечно, это далеко не все риски, связанные с информацией, тут многое зависит от профиля и специфики организации.


Где проходит граница

Угрозы видоизменяются ежедневно, именно поэтому нужно постоянно совершенствовать и методы защиты. Стоит понять, что инфобезопасность – дело не одного дня и не одного человека. Комплексный подход к защите организаций должен объединить людей, процессы и технологии. Мнением делится Александр Доронин, эксперт в области экономической безопасности, автор книги «Бизнес-разведка»: «Без взаимодействия различных структурных подразделений организации эффективная система защиты информации просто невозможна. Ведь ее компоненты разрабатываются и исполняются различными отделами.


Юридический отдел совместно со службой безопасности (далее – СБ) разрабатывает нормативные акты, регламентирующие работу с документами, которые являются коммерческой тайной, содержит персональные данные и т.д., в том числе и положение о СБ, ее правах и обязанностях, о формах и методах проведения СБ служебных расследований в рамках действующего законодательства. Далее отдел IT совместно с СБ создают технические регламенты исполнения данных документов при электронном документообороте и ведении различных баз данных. Отдел по работе с персоналом совместно с СБ организует обучение сотрудников по данной проблематике, а также знакомство новых сотрудников при трудоустройстве с нормативной базой по защите информации. Руководители структурных подразделений, опять же в сотрудничестве с СБ, организуют контроль исполнения нормативных документов и технических регламентов сотрудниками организации. И, наконец, СБ осуществляет регулярные проверки режима защиты информации и в случае необходимости проводит служебные расследования с подготовкой аналитических отчетов по данным мероприятиям.


В общем, при грамотной организации работа найдется всем». Хочется подробнее остановиться на роли HR-службы в обеспечении инфобезопасности. Помимо обучения и донесения политики до сотрудников, менеджер по персоналу еще на этапе найма работника способен вычислить «подозрительного». Подробнее об этом рассказала Ольга Молочко, специалист по подбору персонала, сотрудник хэдхантингового агентства: «Сегодня к психологическому тестированию компании прибегают достаточно часто. Фактически видов тестирования, используемых при приеме на работу, всего два: личностные тесты, а также интеллектуальные тесты и тесты способностей. Самих методик, конечно же, больше. Понять, насколько надежен будет сотрудник, имеющий дело с ценной информацией, скорее возможно с помощью личностных тестов (например, опросника Кеттела, MMPI и др.). Именно они содержат в себе шкалы, показывающие, насколько потенциальный работник открыт и честен (как минимум в ответах на вопросы методики).


Затем надо перенести результаты на поведение в будущем. Тем не менее o достоверности таких прогнозов можно спорить, поэтому лучше опираться на тесты как на дополнительное средство, позволяющее составить полную картину. Кроме того, особую популярность в рекрутменте завоевала проверка рекомендаций – получение отзыва о работнике от бывших коллег, руководителей, подчиненных». Однако в первую очередь именно руководство компании формирует и несет ответственность за политику информационной безопасности. Оно должно быть в курсе всех проводимых мер и их возможных последствий. Так, если директор компании несерьезно относится к этому вопросу, то такого же отношения стоит ожидать и от сотрудников компании.


Лояльность коллектива и отдельно взятого работника также зависит от менеджмента. Михаил Молоканов, президент профессиональной ассоциации «Клуб бизнес-тренеров», считает, что настроение сотрудников – забота не HR, а непосредственных руководителей этих конкретных сотрудников. «О расположении духа сотрудников нужно спрашивать у их начальников. А если те ничего об этом не знают, значит, не выполняют свои управленческие обязанности. И на самом деле, даже спрашивать не нужно, так как нормальный руководитель должен или сам корректировать настроение подчиненных, или по своей инициативе сообщать, если что-то с настроением не в порядке. Но для этого нужно периодически разговаривать с сотрудниками, быть с ними в диалоге, что многие руководители не хотят и/или не умеют делать», – рассказал эксперт. Как бы ни развивались технологии, человеческий фактор попрежнему решает если не все, то многое. И в политике инфобезопасности важно минимизировать его влияние, тем более что для этого есть специальные инструменты.


Не будем переходить на личности

С задачей инфобезопасности эффективно помогают справляться современные технологии. Более того, без них сегодня сложно развивать бизнес. В IT-cфере достаточно много игроков, специализирующихся на системах по защите информации. В этом направлении зарекомендовали себя DLP-системы, которые имеют множество настроек и возможностей в зависимости от требований заказчика. Например, отечественный разработчик DLP-продуктов компания SearchInform предлагает систему, которая способна полностью контролировать потоки информации, а также разграничивать к ней доступ. Подробнее о системе рассказал эксперт компании SearchInform Роман Идов: «Минимизировать участие человека в процессе хранения и работы с информацией дает возможность наша Система контроля и управления доступом (СКУД). Она позволяет закрыть доступ к информации от тех сотрудников, которым она в работе не нужна. Таким образом, меньше работников могут получить информацию, а значит, снижается вероятность утечки данных. Собственно, это основная задача системы – ограничивать доступ и показывать, кто, когда и что смотрел. Это позволяет оперативно вычислить того, кто виноват в утечке, без догадок и домыслов, без версий сослуживцев и «личных» расследований».


Итоги

Все сказанное выше показывает, что для обеспечения инфобезопасности компании необходимо как наличие современных средств защиты информации, так и эффективное взаимодействие структурных подразделений компании. Это должно стать общим правилом, но с четко прописанными зонами ответственности. Если грамотно беседовать с сотрудниками по этой теме, то у них будет ясное понимание того, кто и за что отвечает. Михаил Молоканов отмечает: «В своей практике в этом вопросе я особых сложностей не встречал. Обычно роль службы безопасности задается первым лицом и четко определена (формально или неформально). Даже если, например, СБ дает отвод кандидату на управленческую позицию, с таким трудом найденному HR, то HR обычно оставляет свои эмоции при себе, так как понимает, что это идет от первого лица». Кроме того, эксперт советует помнить о важности культуры диалога и обсуждения текущих дел и будущего с сотрудниками, а также постоянного «простукивания» бизнес-процессов на вероятность катастрофических рисков и своевременной их коррекции. Таким образом, информационная защищенность компании – дело всех ее сотрудников.


Следует так построить работу с персоналом, чтобы каждый понимал свою ответственность. Вместе с тем нужно прописать права и полномочия для отделов компании и для конкретных специалистов. Разграничить ответственность за информационные риски и минимизировать человеческий фактор поможет программное обеспечение (например, DLP-системы). «Законодатель моды» в этом вопросе – руководитель, именно он должен быть инициатором политики информационной безопасности.


Источник: Директор по безопасности


  • Twitter - Белый круг
  • White Facebook Icon