Вряд ли сейчас существует хоть один вид бизнеса, что может действенно функционировать без применения IT (ИТ). Но применение ИТ привносит с собой новый вид рисков, которые связаны с угрозами информационной безопасности (ИБ).
Утечка тайных данных, вирусы, хакеры, спам — всех этих неприятностей практически нереально избежать, поскольку их существование обусловлено самим применением ИТ в бизнесе. Однако этими рисками возможно руководить.
Уровень осознания угроз ИБ сейчас так высок, что соответствующие меры защиты закладываются в проект создания ИС сначала. В случае если средства ИТ уже развернуты на предприятии, то процесс минимизации рисков ИБ состоит во внедрении особых ответов и создании соответствующей политики ИБ.
Как бы то ни было, ИС компании в какой-то момент времени принимает вид, самый оптимальный для защиты от угроз ИБ.
К сожалению, затем многие специалисты в сфере ИБ умывают руки. Но корпоративная ИС представляет собой неизменно изменяющуюся структуру, четко реагирующую на трансформации бизнес-процессов. Эволюция самой организации тут же отражается на ИС, в которой расширяется спектр решаемых задач, сервисов и функций.
На протяжении этих трансформаций довольно часто теряется нить ИБ.
В это же время она обязана пронизывать проект не только сначала, но и сопровождать все подряд этапы модернизации ИТ-инфраструктуры. В другом случае в ИС появляются бреши, а соответствующие риски ИБ так возрастают, что перекрывают все пользы от применения ИТ по большому счету.
Нелишним будет добавить, что кое-какие угрозы ИБ способны поставить под вопрос само выживание компании, нанести прямые большие денежные убытки либо кардинальным образом нарушить непрерывность бизнес-процессов. Одной из таких угроз есть кража тайных данных, которая, к примеру, компании Chipotle обошлась в $5,6 млн, ChoicePoint — $11,4 млн, DSW Shoe Warehouse — $6,5 млн, а для CardSystems Solutions окончилась банкротством.
Так, многие компании уже пришли к осознанию необходимости создания выделенной работы ИБ.
Работы информационной безопасности
В соответствии с изучению компании InfoWatch и портала по ИБ SecurityLab.ru, опросивших в сентябре более 1000 опрощеных, функции контроля ИС российский бизнес практически в половине случаев возлагает на выделенные отделы ИБ (46%).
Но еще в изучении «Внутренние ИТ-угрозы в Российской Федерации 2004», на протяжении котор InfoWatch персонально опросила около 400 российских компании в начале 2005 года, данный показатель был мал (всего 16%), причем большинство организаций из этого числа (94%) объявили, что работа ИБ была создана в течение последних двух лет. До этого защитой данных занимались отделы ИТ, только малый часть которых (23%) имела выделенного сотрудника для решения проблем ИБ.
Столь бурный рост показателя конкретно показывает не просто на синхронизацию русском действительности с глобальной тенденцией, но и говорит о ее опережении. Так, в соответствии с изучению State of Information Security Survey 2005 компании PricewaterhouseCoopers, только 27% зарубежных опрощеных подтвердили существование выделенных отделов ИБ.
Вместе с тем Российская Федерация все еще отстает от всемирный практики места работы ИБ в иерархии организации. Важная роль информационной безопасности в ИС, а следовательно, и в помощи бизнес-процессов в целом диктует необходимость наделения данной работы громадными полномочиями, расширения сферы ее выведения и ответственности на как следует новый уровень подчиненности.
Но всего четверть опрощеных назвали первое лицо компании ярким куратором вопросов ИБ в организации. Самую значительную часть ответов собрала работа ИТ (30%), а работа неспециализированной безопасности — 18%. Еще 27% участников изучения объявили, что управление работой ИБ делегировано вторым подразделениям.
Совокупность управления рисками за 5 шагов
