Заказать счет на подписку у менеджера
Реклама. ООО Модус. ИНН7726691417. erid:2VtzqvHWq2U

"Должна ли распределяться ответственность за управление информационными рисками в организации"

С полными текстами всех статей вы можете ознакомиться на страницах журнала

АННА ФИЛИППОВА


Что такое информационные риски

Использование новых технологий, вхождение в сферу облачных вычислений, проникновение мобильных устройств и социальных ресурсов в бизнес-процессы – все это несет в себе новые информационные риски. На самом деле, любой способ передачи информации – это потенциальный канал утечки данных. Самые распространенные – электронная почта, Skype и другие интернет-мессенджеры, внешние устройства (USB/CD/DVD), документы, отправляемые на печать, ноутбуки, личные мобильные телефоны (последние сегодня являются одной из самых актуальных угроз) и др.

Например, сотрудник уходит в конкурирующую компанию и желает унести с собой наработки, идеи или уже готовый проект. Достаточно высокий риск утечки информации о планах компании, данных о поставщиках, клиентах, сотрудниках. Все это серьезные угрозы ИБ предприятия. Уязвимость компании с точки зрения защиты информации портит ее имидж как надежного бизнес-партнера. А «недовольные» посты сотрудника на профильном ресурсе в Интернете могут «отпугнуть» от предприятия потенциальных работников. Конечно, это далеко не все риски, связанные с информацией, тут многое зависит от профиля и специфики организации.

Где проходит граница
Угрозы видоизменяются ежедневно, именно поэтому нужно постоянно совершенствовать и методы защиты. Стоит понять, что инфобезопасность – дело не одного дня и не одного человека. Комплексный подход к защите организаций должен объединить людей, процессы и технологии. Мнением делится Александр Доронин, эксперт в области экономической безопасности, автор книги «Бизнес-разведка»: «Без взаимодействия различных структурных подразделений организации эффективная система защиты информации просто невозможна. Ведь ее компоненты разрабатываются и исполняются различными отделами.

Юридический отдел совместно со службой безопасности (далее – СБ) разрабатывает нормативные акты, регламентирующие работу с документами, которые являются коммерческой тайной, содержит персональные данные и т.д., в том числе и положение о СБ, ее правах и обязанностях, о формах и методах проведения СБ служебных расследований в рамках действующего законодательства. Далее отдел IT совместно с СБ создают технические регламенты исполнения данных документов при электронном документообороте и ведении различных баз данных. Отдел по работе с персоналом совместно с СБ организует обучение сотрудников по данной проблематике, а также знакомство новых сотрудников при трудоустройстве с нормативной базой по защите информации. Руководители структурных подразделений, опять же в сотрудничестве с СБ, организуют контроль исполнения нормативных документов и технических регламентов сотрудниками организации. И, наконец, СБ осуществляет регулярные проверки режима защиты информации и в случае необходимости проводит служебные расследования с подготовкой аналитических отчетов по данным мероприятиям. В общем, при грамотной организации работа найдется всем». Хочется подробнее остановиться на роли HR-службы в обеспечении инфобезопасности. Помимо обучения и донесения политики до сотрудников, менеджер по персоналу еще на этапе найма работника способен вычислить «подозрительного». Подробнее об этом рассказала Ольга Молочко, специалист по подбору персонала, сотрудник хэдхантингового агентства: «Сегодня к психологическому тестированию компании прибегают достаточно часто. Фактически видов тестирования, используемых при приеме на работу, всего два: личностные тесты, а также интеллектуальные тесты и тесты способностей. Самих методик, конечно же, больше. Понять, насколько надежен будет сотрудник, имеющий дело с ценной информацией, скорее возможно с помощью личностных тестов (например, опросника Кеттела, MMPI и др.). Именно они содержат в себе шкалы, показывающие, насколько потенциальный работник открыт и честен (как минимум в ответах на вопросы методики).

Затем надо перенести результаты на поведение в будущем. Тем не менее o достоверности таких прогнозов можно спорить, поэтому лучше опираться на тесты как на дополнительное средство, позволяющее составить полную картину. Кроме того, особую популярность в рекрутменте завоевала проверка рекомендаций – получение отзыва о работнике от бывших коллег, руководителей, подчиненных». Однако в первую очередь именно руководство компании формирует и несет ответственность за политику информационной безопасности. Оно должно быть в курсе всех проводимых мер и их возможных последствий. Так, если директор компании несерьезно относится к этому вопросу, то такого же отношения стоит ожидать и от сотрудников компании.

Лояльность коллектива и отдельно взятого работника также зависит от менеджмента. Михаил Молоканов, президент профессиональной ассоциации «Клуб бизнес-тренеров», считает, что настроение сотрудников – забота не HR, а непосредственных руководителей этих конкретных сотрудников. «О расположении духа сотрудников нужно спрашивать у их начальников. А если те ничего об этом не знают, значит, не выполняют свои управленческие обязанности. И на самом деле, даже спрашивать не нужно, так как нормальный руководитель должен или сам корректировать настроение подчиненных, или по своей инициативе сообщать, если что-то с настроением не в порядке. Но для этого нужно периодически разговаривать с сотрудниками, быть с ними в диалоге, что многие руководители не хотят и/или не умеют делать», – рассказал эксперт. Как бы ни развивались технологии, человеческий фактор попрежнему решает если не все, то многое. И в политике инфобезопасности важно минимизировать его влияние, тем более что для этого есть специальные инструменты.

Не будем переходить на личности
С задачей инфобезопасности эффективно помогают справляться современные технологии. Более того, без них сегодня сложно развивать бизнес. В IT-cфере достаточно много игроков, специализирующихся на системах по защите информации. В этом направлении зарекомендовали себя DLP-системы, которые имеют множество настроек и возможностей в зависимости от требований заказчика. Например, отечественный разработчик DLP-продуктов компания SearchInform предлагает систему, которая способна полностью контролировать потоки информации, а также разграничивать к ней доступ. Подробнее о системе рассказал эксперт компании SearchInform Роман Идов: «Минимизировать участие человека в процессе хранения и работы с информацией дает возможность наша Система контроля и управления доступом (СКУД). Она позволяет закрыть доступ к информации от тех сотрудников, которым она в работе не нужна. Таким образом, меньше работников могут получить информацию, а значит, снижается вероятность утечки данных. Собственно, это основная задача системы – ограничивать доступ и показывать, кто, когда и что смотрел. Это позволяет оперативно вычислить того, кто виноват в утечке, без догадок и домыслов, без версий сослуживцев и «личных» расследований».

Итоги
Все сказанное выше показывает, что для обеспечения инфобезопасности компании необходимо как наличие современных средств защиты информации, так и эффективное взаимодействие структурных подразделений компании. Это должно стать общим правилом, но с четко прописанными зонами ответственности. Если грамотно беседовать с сотрудниками по этой теме, то у них будет ясное понимание того, кто и за что отвечает. Михаил Молоканов отмечает: «В своей практике в этом вопросе я особых сложностей не встречал. Обычно роль службы безопасности задается первым лицом и четко определена (формально или неформально). Даже если, например, СБ дает отвод кандидату на управленческую позицию, с таким трудом найденному HR, то HR обычно оставляет свои эмоции при себе, так как понимает, что это идет от первого лица». Кроме того, эксперт советует помнить о важности культуры диалога и обсуждения текущих дел и будущего с сотрудниками, а также постоянного «простукивания» бизнес-процессов на вероятность катастрофических рисков и своевременной их коррекции. Таким образом, информационная защищенность компании – дело всех ее сотрудников.

Следует так построить работу с персоналом, чтобы каждый понимал свою ответственность. Вместе с тем нужно прописать права и полномочия для отделов компании и для конкретных специалистов. Разграничить ответственность за информационные риски и минимизировать человеческий фактор поможет программное обеспечение (например, DLP-системы). «Законодатель моды» в этом вопросе – руководитель, именно он должен быть инициатором политики информационной безопасности. 






Все статьи

Журнал

В следующем номере

  • Большая политика и лидерство в компании
  • Мошенничество при инвестициях
  • Риски при выборе поставщиков логистических услуг
  • Читать полностью

Контакты

Прямая линия рекламной службы:
+7 (499) 267-40-10, доб. 206
e-mail: reklama@s-director.ru

Отдел подписки:
+7 (499) 267-40-10
e-mail: podpiska@s-director.ru

Редакция: +7 (499) 267-40-10
e-mail: info@s-director.ru

Недостаточно средств

Пополнить счет

Если Вы является подписчиком годовой электронной копии журнала, то Вам не нужно покупать статьи в журналах подписного периода.
Доступ к ним осуществляется в Личном кабинете в разделе «Электронные копии статей».
Логин или E-mail
Пароль (Забыли пароль?)
Запомнить
Если Вы ещё не зарегистрированы в системе, Вам необходимо зарегистрироваться
Введите e-Mail:
Выкладка журнала "Директор по безопасности"
Sun, 08 Dec 2024 14:39:44