понедельник, 30 декабря 2013 г.

Собака лает, караван идет

Добрый вечер, дорогие читатели! Позволю себе немного пофилософствовать на тему повышения эффективности работ по защите информации. Пусть наихудшим вариантом - абсолютным нулем будет безразличное отношение бизнеса к рекомендациям, запретам и советам ИБ, а абсолютным максимумом будет безукоризненное выполнение всех требований безопасности. Второго достичь дано увы немногим :) 
Но все же не хотелось бы быть той самой собакой безуспешно лающей на караван. Для этого нужно получить свое право слова, а это не так-то просто. Все мы понимаем, что главенствующую роль всегда будут играть интересы производства, безопасность обычно лишь замедляет бизнес-процессы. Остается один выход - убедить руководство в опасности существующих угроз ИБ. Реальность угрозы для руководителя может измеряться не только деньгами, но и суровостью наказания за нарушения установленных требований. Самые продвинутые руководители опасаются также репутационных рисков. 
Самое простое обоснование, которое может подготовить начинающий безопасник - это подборка статей УК, КоАП и т.д, где будет четко указано, кто, за что и на сколько может "сесть", заплатить штраф, лишиться должности. Однако есть такое понятие, как нерабочая статья. Поэтому подготовить подборку карательных мер мало, нужно еще собрать судебную практику и лучше, если она будет относиться к конкретному региону (зачастую суровость наказаний в различных частях нашей огромной страны варьируется). Самое эффективное на мой взгляд - найти похожую по виду деятельности организацию, которая пострадала от угроз хакеров/инсайдеров/стихийных бедствий/проверок регуляторов. В случаях с проверками можно добиться и обратного эффекта - "раз из нашей отрасли организацию уже проверяли, то нас не тронут". Здесь нужен творческий подход и знание особенностей руководителя: чего он боится, какие ваши тревоги разделяет (нашествие вирусов, потеря данных на серверах, инсайдеры, которые выносят документы и передают их конкурентам). Объяснять доходчиво можно на примерах из частной жизни: потерять базу клиентов на сервере, это все равно, что лишиться архива семейных фотографий на жестком диске домашнего компьютера. 

Продолжение следует...