+7 495 223 35 33 (Москва) | 8 800 550 52 23 (Бесплатно по РФ)

11.10.2021
Руководители по ИБ стремятся стать стражами своей компании, а может быть, галактики

ГлавнаяБлог — Руководители по ИБ стремятся стать стражами своей компании, а может быть, галактики

Руководители по ИБ стремятся стать стражами своей компании, а может быть, галактики

Сегодня ИТ-компании по всему миру занимают не последнее место в списках крупнейших международных корпораций. Стоимость отдельных ИТ-компаний может превышать ВНП некоторых стран.

Исследование роли руководителей по информационной безопасности: автомобиль

Многие из этих компаний собирают и обрабатывают огромные объемы данных. Эти данные могут использоваться для создания новых продуктов, призванных сделать нашу жизнь лучше. Однако некоторые скажут, что мы и сами уже стали продуктом, пожертвовав при этом своей конфиденциальностью и свободой.

Кто владеет информацией, тот владеет миром. И для многих компаний данные становятся критически важным инструментом достижения коммерческого успеха. Учитывая важность технологий и данных, а также беспрецедентную скорость и эффективность взаимодействия людей и компаний по всему миру — вспомнить хотя бы Интернет вещей, 5G и т.д., — ценность данных сегодня высока, как никогда раньше.

На самом деле именно люди стали новой нефтью. Мы обеспечиваем «ценность», а данные становятся инструментом, с помощью которых создается этот продукт. Люди предоставляют данные, которые обладают реальной ценностью, и эти данные превращаются в инструмент, который в принципе делает возможным создание продукта. Мы охотно предоставляем свои данные в обмен на недорогие продукты. Мы идем по жизни с фотокамерой в руках и датчиком в кармане, а в это время кто-то непрерывно собирает и обрабатывает данные о нас, чтобы мы могли получить бесплатные услуги.

Исследование роли руководителя по информационной безопасности: под прицелом

Кибератака способна вывести любую компанию из строя гораздо быстрее, чем любой другой инцидент

Компании стали настолько зависимыми от технологий, что превратились в мишень для кибератак, которые могут появиться в любой момент и откуда угодно. Кибератака способна вывести любую компанию из строя гораздо быстрее, чем любой другой инцидент. Согласно отчету Всемирного экономического форума, кибератаки входят в пятерку самых серьезных рисков, угрожающих мировой экономике и стабильности в глобальном масштабе. Они ненамного отстают от других видов рисков, связанных со стихийными бедствиями, отсутствием возможностей смягчить последствия климатических изменений, а также природными катаклизмами.

Современные киберугрозы — серьезная проблема для компаний, высшего руководства и руководителей по ИБ

Учитывая, что данные и люди критически важны для достижения коммерческого успеха, появление все большего числа кибератак, нацеленных на данные и людей, выглядит довольно логичным. Злоумышленники требуют у компаний выкуп, угрожают опубликовать конфиденциальные данные или мешают сотрудникам выполнять свою работу, влияя тем самым на эффективность работы компании. Действительно, люди в этом случае становятся жертвами, а данные — трофеем.

Некоторые компании, специализирующиеся на безопасности, хотят, чтобы мы боялись кибератак, нацеленных на государственные организации. Однако в основе большинства кибератак все-таки лежат финансовые мотивы. То есть у коммерческой компании гораздо больше шансов стать жертвой атаки вирусов-вымогателей, чем у государственной организации — подвергнуться таргетированной кибератаке. Впрочем, в некоторых отраслях вероятность такого развития событий выше, чем в других. Мотивы большинства кибератак, нацеленных на государственные организации:

— Сбор аналитических данных и шпионаж.

— Получение экономических преимуществ, например, кража интеллектуальной собственности.

— Война в киберпространстве как один из компонентов традиционной «реальной» войны.

— Ответные действия, обусловленные политическими мотивами.

Что касается предыдущих инцидентов безопасности, наибольшие убытки были обусловлены следующими причинами:

— Атаки вирусов-вымогателей.

— Потеря данных.

— Реагирование на инцидент.

— Штрафы за несоблюдение нормативных требований в соответствии с действующим законодательством.

— Многократное использование учетных данных и паролей по умолчанию.

В каждой компании есть свой «Вася», который радостно жмет на все ссылки в приходящих ему электронных сообщениях.

Вирусы-вымогатели только и ждут удобной возможности буквально в паре кликов мышкой от вашей сети. Совершенно невинное на вид сообщение с вредоносной ссылкой или вложением способно заблокировать ваши компьютеры и данные, буквально «взять в заложники» ваших сотрудников и весь бизнес, пока вы не отдадите киберпреступнику кровно заработанные биткойны. В обмен он выдаст вам ключ, с помощью которого вы сможете разблокировать данные и вернуться к работе.

Исследование роли руководителя по информационной безопасности: зашифрованный файл

После утечки данных ваша компания может понести серьезнейшие убытки в результате выплаты штрафов за несоблюдение нормативных требований в соответствии с действующим законодательством. Чтобы снизить этот риск, необходимо принять все меры для соблюдения нормативных требований, применимых в отрасли. Такие меры, скорее всего, подразумевают управление привилегированным доступом, а также:

— Многофакторную проверку подлинности.

— Шифрование данных.

— Устранение риска в отношении данных.

— Внедрение инструментов безопасности на этапе проектирования.

— Повышение информированности и обучение принципам безопасного поведения.

— Планирование непрерывности бизнес-процессов.

— Эффективный план реагирования на инциденты.

Многократное использование учетных данных и паролей по умолчанию — самое рискованное поведение, которое только может демонстрировать ваш сотрудник. Сотрудники зачастую безответственно относятся к паролям, используя одни и те же пароли для электронной почты, корпоративной учетной записи AD, социальных сетей и даже банковского счета. «Киберусталость» остается серьезнейшей проблемой. Таким образом, нам нужно найти способ упростить обеспечение кибербезопасности, развернуть такие решения кибербезопасности, которые будут одинаково удобны для пользователей и эффективны с точки зрения бизнеса. Иными словами, нам стоит продолжать разработку решений кибербезопасности, ориентированных на людей.

В чем заключается роль руководителя по ИБ и как она изменяется

В прошлом роль руководителя по информационной безопасности (если в компании вообще есть такая должность) в основном была связана с технологиями. Однако по мере цифровой трансформации сотрудники компаний все чаще становились основной мишенью кибератак, и теперь руководителям по информационной безопасности приходится уделять людям не меньше внимания, чем технологиям.

Сегодня перед руководителями по информационной безопасности, вне зависимости от сферы деятельности их компаний, стоят чрезвычайно сложные задачи, требующие серьезного подхода. Зачастую они работают «на заднем плане», вместе со специалистами по безопасности и операционному сопровождению обеспечивая защиту критически важных систем и конфиденциальных данных от злоумышленников. Они занимаются обновлением систем, исправлением уязвимостей, обучением пользователей принципам безопасного поведения в киберпространстве, контролем и защитой привилегированного доступа и т. д. И при всем этом им приходится еще и отслеживать постоянно меняющееся законодательство и нормативные требования.

Сегодня безопасность должна быть эффективной для бизнеса и удобной для пользователей, и это становится одним из приоритетов в работе руководителя по информационной безопасности.

Пришло время перестать рассуждать о кибербезопасности и всецело сосредоточиться на снижении рисков для бизнеса.

Сегодня руководителям по информационной безопасности необходимо прислушиваться к мнению высшего руководства и сотрудников коммерческих структур компании, чтобы понять, какие критерии успеха применимы с их точки зрения. Работа руководителя по информационной безопасности не сводится просто к внедрению технологий, обеспечивающих безопасность. Необходимо внедрять такие технологии, которые сделают работу бизнес-подразделений более удобной: технологии, которые помогут добиться коммерческого успеха и при этом минимизируют либо вовсе устранят риски для кибербезопасности.

Коммуникация в работе руководителя по информационной безопасности имеет первостепенное значение.

С кибербезопасностью связана серьезнейшая проблема, которая объясняется недостаточным пониманием и неэффективной коммуникацией на всех уровнях компании. Несмотря на то, что в последние годы число угроз значительно выросло, многие до сих пор воспринимают безопасность как что-то совершенно непонятное, просто загадочный набор слов на профессиональном техническом сленге. Учитывая, что в последнее время все говорят о рисках и угрозах, нетрудно понять, почему далекие от ИТ люди считают кибербезопасность чем-то враждебным, чуждым и предпочитают держаться подальше от этой темы.

Чтобы преодолеть неэффективность коммуникации, лучше всего начинать с самого «верха». Специалистам по безопасности будет невероятно сложно заручиться поддержкой большинства сотрудников, если высшее руководство не осознает, насколько важны вопросы безопасности. Большинство специалистов по безопасности считают, что высшее руководство прислушивается к их словам и ценит их вклад в работу, но при этом многие из них сталкиваются с проблемами, пытаясь убедить то самое руководство, что инвестиции в безопасность окупятся в коммерческом плане.

Возможно, руководитель по информационной безопасности с этой точки зрения будет самым полезным и важным специалистом, который восполнит этот пробел и сможет выстроить продуктивный диалог с руководителями высшего звена. Можно сказать, что он выступает в роли «Розеттского камня» и помогает перевести разговор о проблемах безопасности с технического жаргона на понятный для бизнеса язык. Помимо прочего, руководитель по информационной безопасности должен обладать мощными навыками коммуникации. Подход, ориентированный в первую очередь на бизнес, имеет критически важное значение. Сосредоточившись на задачах компании и поддерживая свои аргументы наглядными доказательствами, руководитель по информационной безопасности поможет руководителям высшего звена понять, как кибербезопасность влияет на показатели компании, на ее способность к освоению инноваций и дальнейшему развитию. В данном случае речь идет и о таких связанных с безопасностью вопросах, как соблюдение нормативных требований в сфере безопасности и обеспечение конфиденциальности данных. Подход, ориентированный в первую очередь на бизнес, поможет руководству перестать воспринимать инвестиции в безопасность как затраты, которые никогда не окупятся, и увидеть в этом новые возможности для роста.

Компания Thycotic провела опрос ИТ-директоров по всему миру, чтобы выяснить, как они измеряют успех, что мотивирует их сотрудников, как убедить руководство выделить достаточный бюджет на обеспечение безопасности и — самое важное — как избегать стрессов, ведущих к профессиональному выгоранию руководителей по информационной безопасности. В опросе приняли участие более 500 руководителей, которые стремятся понять, как найти верный баланс, определить, что эффективно, а что нет, и помочь друг другу добиться успеха.

Руководители по ИБ стремятся стать «стражами» для своих компаний

Наш опрос руководителей по информационной безопасности и ИТ-директоров показал, что руководители по информационной безопасности очень быстро становятся «директорами по защите прибыли». Руководители по информационной безопасности и подчиненные им специалисты по кибербезопасности должны задавать такие вопросы, как: «От чего зависит прибыль нашей компании?» и «Чего наши клиенты ждут от нас в плане кибербезопасности?» Это означает, что надо разговаривать с теми, кто непосредственно формирует прибыль компании, включая специалистов по продажам и маркетингу. Нужно спросить их: «Где хранятся конфиденциальные данные? Что случится, если эти данные будут скомпрометированы или окажутся недоступными? Как это повлияет на прибыль компании?»

Если руководитель по информационной безопасности применит подход, ориентированный на прибыль, он сможет объяснить руководителям и сотрудникам коммерческих структур, почему так важно обеспечить кибербезопасность, и при этом говорить таким языком, который будет понятен любому из них. Рассказ о влиянии кибербезопасности на прибыль и подтверждение своих слов реальными цифрами являются мощным стоимостным показателем.

Быть «стражем» компании — вот ради чего работают руководитель по ИБ и ИТ-директор

Мы спросили руководителей по информационной безопасности и директоров по безопасности ИТ, что мотивирует их. 29% ответили, что считают себя «стражами» компании, которые защищают ее от кибератак. 25% видят себя гарантами соблюдения этических принципов, которые обеспечивают защиту чувствительной информации и конфиденциальности тех, кто доверил им свои данные.

Что мотивирует руководителей по ИБ?

Отличная новость заключается в том, что руководители по информационной безопасности и ИТ-директора довольны своей работой. Несмотря на то, что им приходится работать в исключительно напряженной обстановке, 24% из них достаточно мотивированы и находят удовольствие в том, чем занимаются. Это весьма обнадеживающий результат, который позволяет надеяться, что в эту отрасль удастся привлечь еще больше квалифицированных специалистов. Специалистов на этой должности всегда не хватает, и нам кажется важным привлекать еще больше квалифицированных кадров в эту отрасль.

В большинстве случаев эффективность работы руководителя по информационной безопасности оценивается по его вкладу в коммерческий успех компании и достижение показателей, установленных высшим руководством. Необходимо, чтобы специалисты по безопасности реально поддерживали бизнес и содействовали его росту, а не просто обещали это сделать. И это значит, что сегодня цели и задачи обеспечения безопасности должны согласовываться с общими бизнес-целями и задачами компании.

Эффективная коммуникация в данном случае имеет первостепенное значение для определения верного баланса и выбора такого языка, который был бы понятен всем — и руководителю по информационной безопасности, и высшему руководству.

Попробуйте сами!
Полная версия Thycotic Secret Server
на 30 дней

На время тестирования предоставляется техническая поддержка по телефону и электронной почте на русском языке

Мы поможем вам установить и настроить Secret Server

Москва, Россия
8 495 223 35 33
8 800 550 52 23

London, UK
44 2036 084323

Washington D.C.
1 202 802 9399