сделать домашней  добавить в избранное  карта сайта RSS
Имя 
Пароль  забыли?
Присоединяйтесь!

Новые материалы

   Названы самые высокооплачиваемые вакансии в Башкирии
   Не все профессии равны. Вчерашние школьники идут в телевизионщики и PR
   Новочебоксарские безработные граждане обучаются востребованным профессиям
   Где в Уфе заработать 100 тысяч рублей в месяц
   Сколько в среднем получают владимирские врачи?


 

Облако тегов
agile альфастрахование альфастрахования аналитика для hr apple ассессмент-центр автоматизация hr-бизнес процессов автоматизация бенчмаркинг бизнес-процессы бизнес симуляция бизнес тренинги для руководителей бизнес тренинги онлайн бизнес дистанционное обучение персонала дистанционное обучение e-learning e learning электронное обучение электронные курсы hr-аналитика hr-бренд hr-конференции hr-метрики hr-видео hr инновации исследования it josh bersin кадровый резерв карьера клиентоориентированность клиентский сервис для развития продаж клиентский сервис тренинг клиентский сервис компетенции корпоративная культура корпоративное обучение корпоративные бизнес тренинги коучинг kpi лидерство лидеры linkedin менеджмент модель компетенций мотивация персонала мотивация неформальное обучение обучение персонала обучение сотрудников предприятия обучение сотрудников обучение оценка эффективности обучения оценка персонала организационная культура персонал подбор персонала поиск работы продажи психология разработка речевых модулей для работы с претензиями рекрутеры рекрутинг рекрутмент roi рынок труда собеседование социальное обучение социальные сети стандарты клиентского сервиса стандарты обслуживания клиентов стив джобс таланты текучесть персонала тестирование тренинги по клиентскому сервису тренинги по сервису тренинги тренинг угловое преобразование фишера управление качеством обслуживая клиентов управление персоналом управление талантами управление текучестью персонала управление знаниями управление вебинары вовлеченность персонала websoft знания

все теги


События

полный список

Последние обсуждения

  09.08.2019 16:18:31
Только оригинальные СИЗ обеспечивают гарантированную защиту
  07.08.2019 12:14:48
Компания 3М опубликовала финансовые результаты II квартала 2019 года
  08.07.2019 10:12:52
Известный сайт для общения специалистов по управлению персоналом
  04.07.2019 17:29:07
3М цифровизирует программу лояльности и переводит взаимодействие с клиентами на блокчейн
  13.06.2019 14:28:30
Открытие стоматологической площадки 3M Espertise Center


Опросы
  Актуальные направления работы HR вашей организации 2017
Все опросы

HR-Блоги
Идов Роман Валерьевич 23.09.2015 3:14:00

Информационная безопасность и бизнес: как найти общий язык и соблюсти баланс интересов?

Почему информационная безопасность, несмотря на то, что она постоянно в центре внимания последние десять лет, так в итоге и не смогла стать приоритетом для бизнеса? Почему большие ИТ-инфраструктуры могут оставаться компрометированными несколько лет подряд? Почему защищенность с течением времени падает, а не растет? Попробуем найти ответы на эти вопросы, волнующие как бизнес-сообщество, так и ИБ-специалистов.

На самом деле, не все так плохо, как кажется на первый взгляд. Просто надо принять за аксиому, что абсолютно безопасных систем не существует, никогда и нигде. Все потому, что любая безопасность, и ИБ в том числе, – это только лишь страховка, ее бизнес волен «покупать» исключительно на «добровольных началах». Бизнесу информационная безопасность не приносит никакой прибыли, она лишь обеспечивает ему страховку от убытков. Тогда как многие другие ИТ-решения обычно относятся к категории «время- деньги». К примеру, внедрение ERP-системы увеличивает рентабельность бизнеса сразу же на десятки процентов, это не доступно даже банальному антивирусу, который устанавливается на корпоративном сервере.

Любой бизнес обычно функционирует только лишь ради единственной цели – увеличения прибыли. Соответственно, все остальное, что не позволяет увеличивать прибыль, является вторичным. Однако некоторые «снижатели» прибыли сегодня уже являются нормой, ведь бизнес уже понял, что они могут оказывать ему пользу, даже если эта польза оказывается не прямо, а косвенно. К примеру, это комфортабельный офис вместо подвала, разнообразные PR-активности, для некоторых отраслей это также забота об экологичности и о натуральности товара…

Благодаря росту уровня угроз бизнес начинает понимать, что защищаться уже необходимо. Чем старше компания, чем она крупнее, тем, соответственно, у нее больше будет шансов пасть жертвой своего пренебрежения вопросами безопасности данных. С ростом количества компаний, для которых данная угроза уже реализовалась, будет становиться лучше и ситуация с информационной безопасностью. Это старое правило – обжегшись на молоке, дуют и на воду.

Если же говорить о падающей защищенности, то во многом она является следствием проникновения технологий в те сферы, где с ними постоянно сталкиваются пользователи, не обладающие соответствующей квалификацией. Злоумышленнику будет намного проще обвести вокруг пальца такого пользователя, нежели «гика». В качестве аналогии можно привести увеличение количества мелких ДТП с выездом «подснежников». Соответственно, по мере роста технической грамотности населения данная проблема также будет решаться.

Тогда возникает закономерный вопрос: почему ИБ-отрасль не играет на опережение? Ведь если столько инцидентов происходит, то это говорит о недостаточной эффективности систем защиты от них.

Чтобы понять, почему кажется, что защита отстает, вспомним сказанное выше про абсолютную безопасность. И сопоставим с тем фактом, что в любом программном продукте существуют так называемые «уязвимости нулевого дня». На другой чаше весов находится знаменитый человеческий фактор. Архитектура технологий  на сегодняшний день все же играет против ИБ, также нужно учитывать и желание заказчиков получить в виде ИБ-решений некие «сказочные машины», обладающие простой и единственной клавишей «Сделать безопасно». Соответственно, клиенты не готовы внедрять вместо привычных методов работы методы безопасные. Так что говорить сегодня стоит не об отставании компаний по обеспечению информационной безопасности, а скорее об инертности клиентов. Причем инертность эта довольно большая не только в России, но и во всем мире.

Если же говорить именно о российской ИБ-отрасли, то здесь ситуация по многим параметрам гораздо лучше, нежели в других ИТ-отраслях. Тут дают себя знать знаменитые  русские традиции «не пущать и запрещать». Большое количество российских (равно как и вообще постсоветских) ИБ-компаний сегодня являются мировыми лидерами в собственных узких технологических нишах. Отставание  от хакеров у таких компаний в разы меньше, нежели у их западных коллег. Например, первый компьютерный «червь», который Израиль использовал в кибервойне против Ирана, был найден белорусским специалистом, сейчас это специалист уже работает в России.

О конкретных значениях отставания говорить смысла нет, ведь в каждой нише это отставание свое. В антивирусах оно может составлять часы, а в области борьбе с утечками информации оно полностью зависит от заказчика, тогда как в некоторых глобальных вещах, таких как комплексная защита бизнеса, данное отставание может составлять годы.

Самое главное для бизнеса – это запомнить, что неуязвимых систем нет вообще. Задача информационной безопасности заключается в том, чтобы сделать взлом делом очень дорогим и длинным. Настолько длинным и дорогим, чтобы им никто не заинтересовался. Потому везде главной проблемой остается человеческий фактор. Можно вспомнить относительно недавнее крушение самолета в Альпах: если пилот решил разбить лайнер, то и никакого террориста не потребуется. Соответственно, и самыми безопасными на сегодня системами являются те, где присутствие человека требуется меньше всего. Беспилотные автомобили, к примеру, которые уже вовсю ездят по дорогам США,  пока не задавили ни одного человека. Иное дело – автомобили, управляемые водителями-людьми, тем более пьяными.

Потому в наше время в ИБ очень важное значение приобретают те системы, которые позволяют контролировать работу сотрудников на их рабочих местах, потому что как раз на этих людей, а нисколько не на вирусы или на хакерские атаки, и приходится основная доля ущерба от инцидентов, происходящих в сфере ИБ. Само собой, от таких инцидентов сильнее всего страдают организации.

К сожалению, сам бизнес неохотно выделяет деньги на страховки, такие как ИБ- решения, потому такие законы, как закон «О персональных данных» нужны сегодня, чтобы обеспечить цивилизованный оборот этих данных. Как, например, в случае с экологическими законами, думать тут нужно, в первую очередь, не о комфорте для компаний, а о возможных последствиях в будущем.

Однако, до тех пор, пока законодательные акты принимают без консультаций со специалистами, когда законодатели стараются «на всякий случай запретить побольше», то и самые полезные инициативы в данной сфере вызывают огромное количество критики со стороны бизнеса, и в итоге и вовсе игнорируются им. Это, само собой, не дает поводов для оптимизма. Так что госполитика в сфере ИБ – это правильно, в целом, но требуется более ответственное и продуманное отношение к ней в первую очередь от тех, кто её составляет.

Защита в наше время является необходимостью, однако априорная защита оправдывает себя далеко не везде и не всегда. Если мы говорим не о тех данных, которые являются критически важными, то она может стать скорее неподъемной обузой и своеобразным тормозом для бизнес-процессов в организации, а это вызывает желание обойти такую защиту, либо же совсем ее выключить.

Серьезное наказание за утечки данных нужно в том случае, если речь идет об утечках персональной информации. В большинстве остальных случаев утечек рынок и сам может наказать нерадивого игрока. Примером может служить случай с тайваньской компанией HTC, менеджеры которой занимались продажей китайцам новых разработок устройств компании. Некогда фирма являлась лидером в своей отрасли, сегодня она уже довольно сильно отстает от тех же Samsung и LG в области Android-устройств. В России подобные примеры тоже есть. Можно рассказать об одной интернет-компании, работник которой решил зарегистрировать на себя домены нескольких интересных ему проектов. После этого сотрудник уволился и начал требовать за данные домены миллионы рублей. Печально, что в такой ситуации рычагов воздействия на сотрудника у компании совсем мало. Если бы в фирме была хорошо работающая служба информационной безопасности и хорошо организованная система для защиты данных от утечек, то ничего подобного никогда бы не случилось.

К сожалению, основным препятствием становится только лишь отсутствие у руководства компании воли к обеспечению безопасности данных. Но для того, чтобы сделать свой бизнес безопасным, не нужно проявлять чудес ловкости. ИБ – довольно рутинная сфера, тут не потребуется особенных исследований или оригинальных подходов. Даже более того, лучшими практиками можно назвать самые проверенные. Потому начинать потребуется с организации отдела по информационной безопасности, пусть даже он и будет на первых порах включать только одного сотрудника. Дальше потребуется понять, какие именно угрозы сегодня являются актуальными для организации, и создать план мер, обеспечивающий их нейтрализацию. И затем потребуется реализовать данный план поэтапно. А под лежачий камень, как известно, и вода не течет…



Комментарии
Федосов Сергей Юрьевич 25.09.2015 16:11:57
Почему

Почему я перестал покупать КАСКО на свою аудюху? Потому что сумма выплаченных страховых премий превысила не только оплату страховых случаев, но и стоимость самой машины. Если бы не КАСКО, я менял бы машины гораздо чаще.

Более того, даже если бы у меня украли любую из машин, за последние 15 лет, то я потерял бы меньше денег, чем за отданные каски.

зачем мне такая страховка?

По поводу систем:

которые позволяют контролировать работу сотрудников на их рабочих местах

недавно писал в линкедине. как-то мало позитивного услышал по их поводу.

Федосов Сергей Юрьевич 25.09.2015 16:18:43
Почему

Почему я перестал покупать КАСКО на свою аудюху? Потому что сумма выплаченных страховых премий превысила не только оплату страховых случаев, но и стоимость самой машины. Если бы не КАСКО, я менял бы машины гораздо чаще.

Более того, даже если бы у меня украли любую из машин, за последние 15 лет, то я потерял бы меньше денег, чем за отданные каски.

зачем мне такая страховка?

По поводу систем:

которые позволяют контролировать работу сотрудников на их рабочих местах

недавно писал в линкедине. как-то мало позитивного услышал по их поводу.

Идов Роман Валерьевич 25.09.2015 16:33:28

Может, все дело в самих системах, и в том, какую информацию планировалось защищать?..

Федосов Сергей Юрьевич 25.09.2015 17:08:12

Когда появляются вопросы "Какая система и какая информация", то это говорит о необходимом исследовании, консалитинге и кастомизации под конкретную ситуацию.

быть может, все-таки ИБ это не совсем рутинная сфера?

Федосов Сергей Юрьевич 25.09.2015 17:31:10

На самом деле, в статье меня очень интересует ответ на вопрос заголовка. К сожалению, ответа в статье я не нашел. Точнее, ответ может быть (а может и не быть) найден после реализации мероприятий последнего абзаца статьи: понять угрозы, составить план. все это затраты времени и денег, будет ли экономический эффект - неизвестно, поэтому руководители и не заморачиваются в тех секторах, которые законодательно не подлежат специальной зашите. 

Идов Роман Валерьевич 26.09.2015 0:14:29

Это все пока гром не грянет. Вот тогда они очень даже заморачиваются - только уже поздно. У меня тоже товарищ зубы ленился лечить - выложил уже две хороших машины на импланты...

Для того, чтобы размещать статьи в Блоге, Вам необходимо авторизоваться или зарегистрироваться или

Share |

 


О проекте      Реклама       Подписка       Контакты       Rambler's Top100 Яндекс цитирования ©2000-2011, HRM