КАК ОБОСНОВАТЬ РУКОВОДСТВУ ИНВЕСТИЦИИ В ИБ: 11 ПОДСКАЗОК О ТОМ, ЧТО МОЖНО И ЧТО НЕЛЬЗЯ

Продавать идею ИТ-безопасности вышестоящему начальству уже не так сложно, как раньше, но по-прежнему легкой прогулкой это не назовешь. Бюджеты сокращаются, а вас постоянно просят сделать больше при меньшем количестве ресурсов. Директора по безопасности вынуждены доказывать, что успех компании во многом зависит от надежной и гибкой инфраструктуры безопасности, охватывающей все аспекты бизнеса. Прямо скажем, задача не из легких.

 

Покажите, что информационная безопасность критична для повседневной деятельности вашей компании – это лучшая стратегия, особенно если вы сможете продемонстрировать отдачу от инвестиций в ИБ. Вот 11 подсказок о том, как говорить об информационной безопасности с топ-менеджерами и членами совета директоров

 

1. Своя рубашка ближе к телу.

 

Очень важно, чтобы топ-менеджеры и члены совета директоров понимали: случись что, их могут привлечь к уголовной ответственности – потому что на самом деле всегда что-то случается: каждый час как минимум тысячи хакеров атакуют вашу систему. Разница лишь в сумме убытков. В компании должны быть системы и инструменты проведения расследования, которые докажут, что каждый сделал всё возможное для защиты информации.

 

2. Говорите на одном языке.

 

Слушайте и запоминайте, как топ-менеджер говорит о своих приоритетах и требованиях, и тем же языком опишите ему свой запрос.

 

3. Сделайте глобальный обзор корпоративных уязвимостей.

 

Сегодня данные повсюду: на компьютерах сотрудников и их смартфонах, гаджетах, в сети, облаке, на мобильных устройствах, у внешних партнеров, удаленных работников, поставщиков услуг и др. Четко объясните, что ИБ-ресурсы не должны быть сосредоточены в одном месте, а наоборот должны быть соответствующим образом распределены и охватывать абсолютно все каналы. Если вы защищаете информацию только в одной области, хакеры найдут самое слабое звено, а через него доберутся и до всего остального. Рвется там, где тонко.

 

Скачайте запись вебинара о том, как понять, что именно защищать в компании и как это сделать наилучшим образом.

 

4. Не позиционируйте ИБ как бремя.

 

Подчеркните, что пусть безопасность по большей части скрыта от глаз, она также двигатель бизнеса. Продемонстрируйте, как ИТ-безопасность облегчает бизнес-процессы. Например, благодаря политикам внутри системы классификации каждый сотрудник бухгалтерии автоматически получает доступ к определенным файлам и папкам без необходимости создавать запросы на изменение.

 

5. Покажите, что категорирование данных влияет на расходы.

 

В зависимости от поиска и сортировки данных в компании определяется способ их хранения и необходимый уровень защиты. В конечном счете может оказаться, что ее наивысший уровень нужен лишь для 10% корпоративных данных. Поэтому в данном случае категоризация данных может снизить нагрузку на ИТ-сервисы, и снизит операционные и более долгосрочные капитальные расходы.

 

Скачайте whitepaper — Основные положения по категорированию и защите информации в РФ (по 149-ФЗ), перечень основных видов тайн с указанием ссылок на нормативные правовые акты

 

6. Недостаточно дать руководству лишь список уязвимостей.

 

Опишите последствия уязвимостей: судебные иски, ущерб репутации, штрафы и пр. Например, для этого вы можете сделать подборку инцидентов в РФ и мире из базы утечек InfoWatch

 

7. Не забывайте о деньгах.

 

Покажите, во сколько на самом деле обходятся компаниям нарушения безопасности. Поищите свежие примеры в Google. Вот один из них: Target Corp. должна заплатить $39 млн пострадавшим от нее финансовым организациям.

 

8. Напомните высшему руководству о юридических обязательствах компании и о том, как нарушения безопасности на них влияют.

 

Например, ваша компания, вероятно, неоднократно подписывала договоры о неразглашении перед тем, как ее бизнес-партнеры соглашались отправить вам свою служебную информацию. Если посторонний извлечет эту информацию из ваших внутренних систем, вы фактически аннулируете договор о неразглашении и рискуете получить иск.

 

9. Проанализируйте требования регуляторов.

 

Большинство компаний так или иначе обязаны соблюдать нормы законодательства, а в отдельных случаях еще и отраслевые стандарты безопасности – такие как, например, PCI-DSS. Помимо этого существуют требования других регулирующих органов. Соответствующий аудит – плановое мероприятие, и постоянно соблюдать требования регуляторов оказывается гораздо проще и дешевле, чем корректировать комплексные корпоративные системы после провального аудита и платить огромные штрафы. Вот вам еще один аргумент в пользу рентабельности инвестиций.

 

10. Ищите единомышленников внутри организации, чтобы представлять интересы группы людей. Обратите особое внимание на группу управления корпоративными рисками.

 

11. Объясните, почему безопасность данных – важная основа трудовых отношений.

 

У работодателей есть персональные данные работников (например, паспортные данные или информация о родственниках и пр.). Появление этой информации в общем доступе —существенное злоупотребление доверием и как следствие — серьезные риски. Работники могут подать против вас судебный иск: из-за ваших действий их ПДн (персональные данные) могут быть скомпрометированы.

 

На безопасность должна приходиться значительная часть ИТ-бюджета. Вы составили список требований и расставили приоритеты. Теперь вам нужно определить, на что лучше потратить деньги, и затем выстроить свои аргументы. Много ли денег выделят вашему департаменту зависит от того, насколько убедительно вы обоснуете, что бизнес не может функционировать без определенной инфраструктуры безопасности.

 

Источник: InfoWatch.ru 

 

Назад