Клерк.Ру

Враг не пройдет

Российские менеджеры научились многим удобным словам и наукам, однако на практике сумели опробовать далеко не все инструменты. Взять хотя бы риск-менеджмент в сфере информационных технологий. Книжек и статей на эту тему хоть отбавляй. А реальных воплощений — до сих пор единицы.

Недавнее исследование «Лучше оценивая ИТ-риски», проведенное Economist Intelligence Unit, продемонстрировало: бизнес склонен к пересмотру роли ИТ. 75% опрошенных по всему миру руководителей ставят знак равенства между рисками, связанными с автоматизацией бизнеса, и бизнес-рисками как таковыми. И вот что удивительно. Согласно данным EIU, российских предпринимателей, пришедших к тому же выводу, еще больше — 80%.

Каждый мало-мальски значимый для современной компании бизнес-процесс ныне так или иначе автоматизирован. Некоторые же из них и вовсе немыслимы без идеальной работы соответствующих программно-аппаратных комплексов. А значит, знак равенства, поставленный между непрерывностью бизнеса и безотказной работой серверов, сетевого оборудования и рабочих станций, оказывается на своем законном месте.

Почему итоги исследования EIU вызывают некоторое удивление применительно к России? Отвечая на вопросы аналитиков, наши бизнесмены проявили невероятную сознательность. Однако эмпирические ощущения свидетельствуют об обратном: пока гром не грянет, ИТ-риски в российском бизнесе считаются второстепенными. Информационная безопасность перестает быть умозрительной категорией и переходит в практическую плоскость лишь после того, как что-то произойдет: зависнет почтовый сервер, вероломные хакеры похитят конфиденциальные данные или в результате очередного блэкаута выйдет из строя сразу все оборудование.

— Практика показывает, — подтверждает руководитель отдела систем и методов обеспечения информационной безопасности компании «Микротест» Константин Соколов, — что о рисках, связанных с нарушением режима информационной безопасности, а значит, и о разработке политики в этой сфере, позволяющей указанные риски минимизировать, во многих компаниях задумываются лишь постфактум, когда тот или иной инцидент, вызвавший серьезные последствия, уже произошел.

Что правда, то правда. Из личного опыта многие знают: осознание необходимости резервного копирования информации приходит лишь после того, как ценные файлы оказываются безвозвратно утраченными. Но если в повседневной жизни с этим еще можно мириться (погибшие фотографии, сделанные в отпуске, — это неприятно, но не смертельно), то в бизнесе подобный «бытовой» подход чреват крупными финансовыми и репутационными потерями. А это уже куда более серьезные вещи.

Ведущий консультант по информационной безопасности компании «АйТи» Сергей Петренко советует не откладывать в долгий ящик разработку правил и политики информационной безопасности. Потом будет труднее, а главное, дороже латать прорехи.

В России почему-то до сих пор распространено заблуждение, будто зависимость крупного бизнеса от качества работы информационных систем куда выше, чем в бизнесе малом или среднем. Однако специалисты единодушны: необходимость аудита ИТ-инфраструктуры определяется вовсе не масштабами предприятия. «Любая компания должна начинать беспокоиться о разработке политики информационной безопасности тогда, когда ее информация начинает обладать ценностью», — формулирует генеральный директор компании IBS DataFort Денис Калинин. И не важно, идет ли речь о транснациональной корпорации или о «гаражном» стартапе, главные победы которого еще впереди.

Классифицируй это!

«Политика информационной безопасности, — считает Сергей Петренко, — это своего рода свод правил для сотрудников компании и внешних контрагентов. И даже — правовая основа работы компании в целом: если никаких законов и правил не принято, наступают анархия и хаос». Может быть, такой «свод законов» можно скопировать у других компаний? Эксперты очень не советуют заниматься таким «импортом», поскольку набор рисков — как ДНК — уникален для каждой компании. А значит, и иммунитет следует вырабатывать «штучно», не слишком полагаясь на массовые вакцины.

Первый этап формирования корпоративной системы информационной безопасности — детальный анализ всей ИТ-инфраструктуры и угроз, сопряженных с ее функционированием. «Оценка рисков просто необходима, — подчеркивает Денис Калинин. — Основываясь на результатах, можно перейти к разработке превентивных защитных мер. Кроме того, в процессе разработки антикризисного плана всегда следует учитывать не только вероятность рисков, но и ущерб, который они могут причинить».

Проще говоря, компания может потратить приличные средства на приобретение и обновление антивирусного программного обеспечения, а прямые убытки наступят в результате выхода из строя отработавшего свое сервера. Можно вложиться в построение мощной антихакерской обороны, а потом выяснится, что ваша ахиллесова пята — собственные сотрудники. В Societe Generale тратили огромные деньги на защиту от внешних угроз. А удар нанес тихий и незаметный трейдер Жером Кервьель, хорошо знавший устройство системы информационной безопасности…

Заранее предсказать, какие именно «узкие места» будут выявлены после инвентаризации ИТ-рисков, почти невозможно. Многое зависит от специфики деятельности, а порой и (все-таки!) от размера компании. Зато современные подходы к управлению системами корпоративной информационной безопасности позволяют весьма точно идентифицировать участки, требующие первостепенной и безотлагательной защиты.

— В первую очередь, — говорит Сергей Петренко, — стоит обратить внимание на серверный парк и шлюзы, защищающие информационный периметр компании. Выход из строя этих элементов, как правило, очень чувствителен для бизнеса.

Нужно ли менеджменту и акционерам в точности понимать, что такое «шлюзы», как выглядит «периметр», и похоже ли все это на гидротехнические сооружения, украшающие Беломорканал? Вовсе нет. Куда важнее задавать правильные вопросы представителям ИТ-блока компании и внятно ставить задачи. Генеральный директор может не знать многих тонкостей налогового законодательства. Однако, нанимая главбуха, он требует вполне конкретных вещей. Например, добиться во всех смыслах идеального баланса, чтобы, с одной стороны, не переплатить лишнего, а с другой — не оказаться в числе жертв налоговой службы. То же самое касается и ИТ-рисков.

Что делать в первую очередь после того, как аудит угроз проведен? Разумеется, защищать самые болезненные участки. В «Северстали» поступили именно таким образом. В первую очередь ИТ-специалисты компании озаботились резервированием критически важных каналов связи и серверного оборудования. Правда, были и другие рубежи, которые, по словам советника генерального директора компании Александра Кириллова, по результатам ревизии были причислены к наиболее уязвимым. Так появилась система противодействия спаму, а также была усилена защита каналов доступа в Интернет и удаленного доступа в корпоративную сеть.

Кстати, именно связанные с удаленным доступом сервисы (а еще точнее — использующие их сотрудники) вызывают в последнее время все больше опасений у специалистов. Консультант-аналитик «Лаборатории Касперского» Роман Косичкин уверен, что мобильные сотрудники — одно из самых слабых мест современных корпоративных ИТ-инфраструктур: «Стоит только таким сотрудникам покинуть офис, где имеется возможность обеспечить надежную централизованную защиту электронной переписки, интернет-запросов и обмена документами, как они оказываются один на один с внешним миром, полным информационных угроз». А ведь информационная мобильность ныне в моде: редкий производитель карманных коммуникаторов не пообещает вам легкой и простой удаленной работы с корпоративными данными!

Ваши документы

После завершения детального анализа ИТ-инфраструктуры и классификации рисков приходит пора закрепить результаты этой работы в корпоративном документе, именуемом политикой информационной безопасности. Задача состоит в том, чтобы не только детально прописать возможные риски и способы их избежать, но и определить ответственных за реализацию этих положений. Можно ли обойтись без документирования? Вряд ли. Пока закон (пусть даже действующий на территории отдельно взятой компании) не издан по всем правилам, он не действует. Можно требовать от людей чего угодно. Но до тех пор, пока отдельным документом не будут определены их задачи и ответственность, об информационной безопасности бизнеса придется забыть. Уволенный сотрудник пользовался ноутбуком и каждый день копировал на домашний компьютер проходящие через него за день документы? Очень грустно, но бессмысленно наказывать за это системного администратора или директора информационной службы при отсутствии документа, запрещающего работникам уносить мобильные компьютеры с собой.

В холдинге «МИЭЛЬ» к разработке политики информационной безопасности подошли «по науке». «Это общекорпоративный документ, определяющий цели построения и использования системы информационной безопасности, — говорит директор департамента ИТ компании Сергей Захарцев. — В нем сформулированы все требования к системе информационной безопасности на всех этапах жизненного цикла корпоративной информационной системы. Мы проводим постоянный мониторинг возникших или потенциальных угроз, реализуем адекватные мероприятия по противодействию им. Кроме того, в рамках ИТ–подразделения сформирован отдел, в функции которого входит обеспечение информационной безопасности компании».

Знают ли высшие руководители холдинга о том, как на уровне железа и софта реализуются сформулированные требования? Скорее всего, нет. И не должны знать. Трансляция задач и потребностей бизнеса на уровень конкретных информационных систем и исполнителей — задача одного из топ-менеджеров — CIO, в данном случае Сергея Захарцева. Куда важнее другое. До тех пор пока корпоративная политика информационной безопасности не выработана и не утверждена по всей форме, ни директор департамента ИТ, ни его подчиненные не смогут обеспечить защиту.

Другой разговор, что формирование этого документа эксперты ни в коем случае не советуют отдавать на откуп самим «айтишникам». С тем же успехом можно предложить всем прочим сотрудникам самостоятельно подготовить для себя должностные инструкции. То есть инструкции-то появятся, однако будут напоминать скорее распорядок дня в доме отдыха. С другой стороны, ни один уважающий себя руководитель ИТ-департамента не возьмется за такую работу в одиночку. Ведь в таком случае он добровольно примет на себя всю ответственность не только за букву, но и, что называется, дух стратегии информационной безопасности.

— Я считаю необходимым вовлечение руководства компании в этот процесс, — признается Александр Кириллов («Северсталь»). — Это необходимо для того, чтобы все сотрудники понимали следующее. Во-первых, вся деятельность по обеспечению информационной безопасности инициирована руководством и обязательна. Во-вторых, руководители компании лично контролируют функционирование системы управления информационной безопасностью. И, наконец, в-третьих, само руководство выполняет те же правила по обеспечению информационной безопасности, что и все сотрудники компании.

Ответственность — ключевое слово в борьбе с ИТ-рисками. «Риски требуют постоянного контроля. Необходимо соответствующим образом обучать сотрудников и проводить тестирование созданного антикризисного плана, — говорит Денис Калинин (IBS DataFort). — Вот почему в любой ИТ-службе должен быть либо целый отдел информационной безопасности, либо ответственный сотрудник, подчиненный службе собственной безопасности или генеральному директору».

Как и при любых сбоях, в случае неработоспособности ИТ-подсистем возникает резонный вопрос: кто виноват? Точнее, с кого взыскивать — в том числе рублем, — если сервер «упал», почта «не ходит», счета не выписываются, а бухгалтерия вспоминает, как пользоваться старорежимными счётами? «Ответственность в большинстве случаев лежит на ИТ-директоре компании, а финансовая ответственность закрепляется в трудовых договорах между сотрудником и компанией», — категоричен Кирилл Котельников, генеральный директор компании «Рэйс Информационные технологии». Вот только Денис Калинин напоминает: в итоге вся финансовая ответственность ложится скорее на директора компании. Другой разговор, что часть этой ответственности можно делегировать подрядчикам, как в случае с аутсорсингом. «При использовании услуг аутсорсинга компания-провайдер обычно отвечает за сбои в работе в объеме, равном стоимости услуг», — поясняет Калинин.

Можно ли застраховать риски, связанные с функционированием ИТ-инфраструктуры компании? Все эксперты, опрошенные «Бизнес-журналом», уверенно дали отрицательный ответ. «Застраховать подобные случаи в России, в отличие от развитых стран, практически невозможно, — разводит руками Денис Калинин. — Страховые компании в России не практикуют подобные услуги из-за низкой формализации процессов на предприятиях и недостаточной управленческой зрелости».

Тридцать три процента

Как и любые другие мероприятия по обеспечению безопасности, полноценная защита компании от ИТ-угроз — дело довольно затратное. Вот только выводить «среднее арифметическое» — занятие бессмысленное.

— Точно оценить стоимость комплексного решения невозможно, поскольку ответ слишком зависит от целого ряда параметров. Например, от ценности данных предприятия, — говорит Денис Калинин. — Для начала нужно понять, с какой именно информацией работает конкретная компания. Салон красоты не слишком пострадает в случае потери данных. В конце концов, можно купить новый сервер и продолжить работу. При этом процесс обслуживания клиентов и вовсе не пострадает. Если же речь идет о подразделении налоговой службы, то ценность информации, которая хранится на серверах, возрастает в тысячи раз».

По мнению Константина Соколова («Микротест»), лишены смысла и попытки вывести усредненный показатель стоимости защиты, исходя лишь из номинального числа сотрудников. «Я считаю совершенно неверным ранжировать компании в этом смысле по количеству персонала, — подчеркивает Соколов. — Это важный момент, но критичность ИТ-инфраструктуры для бизнеса куда сильнее зависит от оборота, а в некоторых случаях — от оборачиваемости капитала. А значит, и оценка рисков должна быть многофакторной».

И все-таки хотя бы приблизительно оценить диапазон затрат на достижение минимально допустимого уровня информационной безопасности можно. Разве что, отмечает Сергей Петренко («АйТи»), выбор методик слишком обширен — их больше десятка. «Примерная стоимость простейших мероприятий по защите от информационных угроз составляет 30–50% от стоимости ИТ-активов, — полагает Петренко. — То есть для компании со штатом в сто человек и примерной стоимостью одного рабочего места на уровне тысячи долларов минимальная техническая защита составляет 30–50 тысяч долларов. К этой сумме необходимо добавить стоимость разработки пакета нормативных документов — от двух с половиной тысяч долларов (только за шаблоны документов) до 15 тысяч (за полноценное обследование внешним консультантом и подготовку пакета требуемых нормативных документов в сфере информационной безопасности)».

Петренко признает, что приведенные цифры — именно усредненные. Но, как показывает опыт конкретных компаний, порядок этих цифр заслуживает доверия. «Прямые затраты на информационную безопасность составляют примерно 14% от общего ИТ-бюджета нашей компании, — говорит Сергей Захарцев («МИЭЛЬ»). — Но такой расчет некорректен, поскольку вопросы информационной безопасности решаются при реализации всех ИТ-проектов. Например, проект по реинжинирингу мультисервисной сети не имеет прямой цели по обеспечению информационной безопасности компании, но доля затрат на информационную безопасность в его составе может приближаться к 25%. Так что если рассчитать долю затрат ИТ-бюджета на эти цели, учитывая прямые и косвенные расходы, ее можно определить на уровне 33%».

Как бы то ни было, главный источник ИТ-рисков в бизнесе — не «железо», софт и коммуникации, а — люди. Люди, ошибки (а то и умысел) которых способны нанести ощутимый урон компании. «Как показывает опыт, наиболее уязвимы не элементы ИТ-инфраструктуры, а именно сотрудники компании, — подчеркивает менеджер по информационной безопасности «БАТ Россия» Геннадий Голенев. — Людям свойственно ошибаться, поэтому наша работа в первую очередь направлена на информирование сотрудников о том, какие проблемы могут возникнуть в области ИТ-безопасности, и как их можно решить».

Что же, для любого топ-менеджера или предпринимателя такой вердикт — прямое руководство к действию. А главное, здесь можно обойтись без детального знания о том, что такое шлюз и какова его роль в защите информационного периметра компании. Оставьте это профессионалам.

Как избежать ошибок

В НР проблему безопасности рассматривают как комплексную задачу, решение которой позволяет обеспечить бесперебойную и эффективную работу всей ИТ-инфраструктуры. Особо следует отметить, что вопросами безопасности нужно начинать заниматься еще на этапе реализации проектов (или портфеля проектов в целом), чтобы по окончании комплексного тестирования без проблем перейти к эффективной эксплуатации всех созданных аппаратно-программных комплексов.

До сих пор в целом ряде компаний ИТ-проекты либо не доходят до стадии завершения, либо достигаемые результаты существенно отличаются от ожидаемых. В чем дело? Как правило, всему виной ошибки, допущенные еще на этапе планирования. В итоге внедряемые системы не способны адаптироваться к измененным внешним условиям, демонстрируя все «прелести» отсутствия комплексного, системного подхода к управлению портфелем проектов.

Характерная ситуация: определив с исполнителями общие контуры ИТ-проекта, заказчики постоянно изменяют свои требования. Параллельно могут запускаться новые проекты, что вызывает необходимость пересмотра бюджетов. Опять начинается цикл согласований, на что уходит немало времени и сил. В таких условиях высокого качества реализации ИТ-проектов добиться трудно. Как следствие, возрастают риски — в том числе связанные с обеспечением необходимого уровня информационной безопасности.

Уровень информационной безопасности ИТ-систем в значительной степени зависит и от качества проводимого тестирования. Нередко комплексный анализ угроз на этапе проектирования подменяется формальным, «точечным». Результат — возрастающие риски. А ведь цена ошибок, которые можно устранить в процессе проектирования информационной системы, на порядки ниже затрат, требующихся для устранения проблем на этапе промышленной эксплуатации. Заметим, часто такие ошибки связаны с человеческим фактором: при разработке системы заказчик и исполнитель «забывают» внести в проектную документацию одно небольшое, но весьма важное условие. А потом из-за этой «мелочи» приходится полностью переписывать все программное обеспечение, теряя деньги и время.

Как избежать подобных ошибок, способных поставить под угрозу информационную безопасность компании и бесперебойность работы ИТ-инфраструктуры? Лучшее решение — применение детально разработанной методологии и современных инструментов, позволяющих проводить комплексное тестирование различных компонентов ИТ-инфраструктуры еще до ввода их в эксплуатацию. Таким путем любое предприятие может значительно снизить издержки на устранение ошибок постфактум, а значит — сократить стоимость проектов и сроков их выполнения. Взаимодействуя со своими заказчиками, HP действует именно так. В ходе тестирования новых проектов или продуктов мы прежде всего должны убедиться, что они не противоречат принятым компанией-заказчиком требованиям и правилам. Лишь выполнив это обязательное условие, можно вводить новые подсистемы в эксплуатацию, обеспечив необходимое обслуживание и мониторинг.

Подписывайтесь на главное от «Клерка» на Яндекс.Дзен. Самый умиротворяющий бухгалтерский сервис.
Мнения
Люди которым это нравится