Нефть и песок О стали Компрессор - подбор и ошибки Из истории стандартизации резьб Соперник ксерокса - гектограф Новые технологии производства стали Экспорт проволоки из России Прогрессивная технологическая оснастка Цитадель сварки с полувековой историей Упрочнение пружин Способы обогрева Назначение, структура, характеристики анализаторов Промышленные пылесосы Штампованные гайки из пружинной стали Консервация САУ Стандарты и качество Технология производства Водород Выбор материала для крепежных деталей Токарный резец в миниатюре Производство проволоки Адгезия резины к металлокорду Электролитическое фосфатирование проволоки Восстановление корпусных деталей двигателей Новая бескислотная технология производства проката Синие кристаллы Автоклав Нормирование шумов связи Газосварочный аппарат для тугоплавких припоев
Главная страница / Архитектура отрасли

ОБЕЗОПАСЬТЕ СЕБЯ

Обмен информацией, или как руководство компаний недооценивает важность информационной безопасности

Ежегодно проводимое компанией «Эрнст энд Янг» Всемирное исследование в области информационной безопасности показывает, что, хотя вопросам информационной безопасности и стали уделять больше внимания многие компании, используемые ими методы управления рисками непоследовательны и зачастую недостаточны. Вследствие такой политики многие предприятия могут слишком поздно обнаружить, что отдача от крупных инвестиций в технологии страдает из-за неадекватных бизнес-процессов, невнимания к вопросам информационной безопасности или обучения персонала, от действий третьих лиц и деловых партнеров, а также из-за отсутствия процедур тестирования систем.

Результаты опроса

Результаты исследования свидетельствуют, что обеспечение

информационной безопасности зачастую по-прежнему рассматривается как технический вопрос, за который должен отвечать исключительно отдел ИТ. Принятые в результате такого подхода технологические решения не учитывают происходящие в компании бизнес-процессы.

Отмечены тревожные пробелы в системе информационной безопасности; подход некоторых организаций к решению вопросов в этой сфере можно охарактеризовать как безответственный, хотя управление информационной безопасностью имеет принципиальное значение для существования компании и получения преимущества перед конкурентами.

Немногим более 50% респондентов опасаются раскрытия конфиденциальной информации. Хотя эта проблема актуальна не для всех организаций, тем не менее она остается одной из основных преград на пути к увеличению обмена информацией.

Только 13% опрошенных считают, что отсутствие поддержки со стороны руководителей отделов ИТ является препятствием к повышению качества информационной безопасности; с точки зрения значительного числа опрошенных (24%), такой помехой может стать отсутствие поддержки со стороны руководства компании.

По-прежнему сохраняется положение, при котором компании не имеют элементарной управленческой информации о случаях нарушения информационной безопасности. Это заставляет усомниться в том, что в процессе принятия решений о затратах и инвестициях в области ИТ учитываются потребности предприятия и реальная информация о происходящем.

Две трети опрошенных считают, что из-за развития обмена информацией риски будут возрастать; как и в прошлом году, главной проблемой считается обеспечение безопасности и конфиденциальности информации. Только 22% назвали препятствием низкое доверие к деловым партнерам или третьим лицам. В эффективной работе системы информационной безопасности решающую роль играют основные участники этого процесса, в том числе сотрудники, поставщики и деловые партнеры.

Анализ результатов исследования заставляет также задать вопрос: способны ли компании определить, к какому конкретно финансовому ущербу компании и ее репутации приведет перерыв в ее работе, а не просто признать, что так, что большинство респондентов не смогли дать определение операционным убыткам в коммерческих терминах (например, какие могут быть потери вследствие упущенных благоприятных возможностей или финансовые убытки в

результате того, что 10 тысяч сотрудников не имели доступа к системам в течение 4 часов).

Мероприятия по проверке систем обеспечения информационной безопасности проводят менее половины опрошенных компаний. Но как они при этом могут быть уверены в том, что им известны действительные источники опасностей и что их политика и процедуры в области обеспечения безопасности организованы эффективно?

Пути решения проблем

Уменьшение масштабов общения с деловыми партнерами не является выходом из положения. Обмен информацией увеличивается, одновременно растут и риски. Постоянное принятие мер по обеспечению и проверке оговоренного уровня безопасности должно стать одной из приоритетных задач для руководителей подразделений ИТ и компании в целом.

Безопасность является одной из главных причин инвестиций в область ИТ во многих отраслях экономики, и недавние события это только подтвердили. Те компании, которые не анализируют, каким образом новые технологии могут помочь им в работе, рискуют упустить шанс укрепить свою информационную безопасность.

Современная экономическая ситуация требует, чтобы руководители компаний рассматривали безопасность и доступность информации как приоритеты для всей компании, управляли этими процессами и предвидели грядущие изменения. Те компании, которые относятся к информационной безопасности безответственно, будут наказаны рынком и потенциальными деловыми партнерами. Нельзя ограничивать стратегию информационной безопасности техническими решениями. Ее составляющей должен стать глубокий анализ деловой культуры и тех рисков, с которыми сталкивается компания. Если мы хотим, чтобы эта стратегия приносила практическую пользу уже сегодня, она должна быть основана на информированности, быть объективной и служить основой для принятия тактических и оперативных решений. От того, как она будет выстроена, зависит успех вашего предприятия.

О роли правления компании

Управление и координация эффективной системы обеспечения безопасности – это задача, которую следует решать на уровне правления компании. Слабое знание проблемы не может быть поводом уклоняться от ее обсуждения.

Как добиться того, чтобы рассматриваемые на заседаниях правления вопросы обеспечения безопасности основывались на потребностях предприятия, а не являлись реакцией на громкие публикации в прессе?

Рекомендации

Для эффективного функционирования системы информационной безопасности необходима структура, учитывающая перспективы развития. С ее

помощью компании смогут сделать безопасность одним из компонентов общей стратегии и планирования деятельности, управлять инвестициями и повышать доверие клиентов и инвесторов.

Использование этой структуры гарантирует, что при разработке зненно важные составные части бизнеса.

Учитывая грозящие компаниям опасности, их уязвимые стороны, а также важность систем и информации, нам представляется безответственным такой подход, при котором компания реагирует на события постфактум, то есть после того как они происходят.

Если по какому-либо из приведенных ниже пунктов ответ будет отрицательным, то руководители предприятий, потенциальные партнеры компании, директора и специалисты в области безопасности должны принять соответствующие меры:

• последовательный, комплексный подход к обеспечению информационной безопасности во всей организации;

• сбалансированный подход, учитывающий возможности технологий, процессов и кадровых ресурсов;

• ясное представление о затратах и известная отдача от вложенных средств;

• регулярные и разумные меры по проверке эффективности систем и процедур;

• критерии качества и показатели, помогающие оценить эффективность;

• план периодической переоценки рисков и систем безопасности.

***

Наступило такое время, когда руководители компаний должны осознать важность информационной безопасности, научиться предвидеть будущие тенденции и управлять ими. Эффективная работа систем безопасности должна стать первоочередной задачей для всего предприятия в целом.

Главная страница / Архитектура отрасли