бизнес
  земля
  инвестиции
  инновации
  ипотека
  консалтинг
  маркетинг
  лизинг
  менеджмент
  недвижимость
  персонал
  политика
  разное
  рекрутинг
  технологии
  финансы
  экономика
ИННОВАЦИИ
Откуда исходит угроза

Руководители компаний должны осознать важность информационной безопасности, научиться прогнозировать тенденции в этой области и управлять ими.

Мишель Мур (Старший менеджер управления рисками в информационных технологиях, Ernst & Young), Алексей Юшкин (Директор по стратегическому консалтингу, группа компаний TopS Business Integrator)

Информационные риски - это угроза внешних и внутренних компьютерных атак на информационную систему предприятия, в результате которых происходит кража, искажение или подмена функционирующей в системе информации, в том числе конфиденциальной. Американский Институт компьютерной безопасности (Computer Security Institute, CSI) и отдел компьютерных преступлений Федерального бюро расследований (FBI), издающие ежегодный "Обзор компьютерных преступлений и защиты CSI/FBI", выделяют 13 типов рисков, возникающих при внедрении информационных технологий; практически все они имеют ярко выраженную тенденцию к росту. Но наиболее активно развиваются такие типы преступлений, как саботаж данных или сети, проникновение в систему извне, злоупотребление сетевым доступом, вирусные атаки, неправомерный доступ, взлом сети и особенно прослушивание. Счет финансовых потерь американских компаний уже идет на сотни миллионов и даже миллиарды долларов. Есть случаи потерь и в России.


Исследование в области информационной безопасности предприятий нефтегазовой отрасли, проведенное консалтинговой компанией Ernst & Young в России и странах СНГ, показало, что российские компании, к сожалению, не меньше своих западных коллег подвержены подобным рискам. Более 65% компаний нефтегазовой промышленности в 2001 году столкнулись с нарушениями информационной безопасности. В 50% случаев нарушения информационной безопасности связаны с хакерскими атаками, в том числе с проникновением в информационную систему извне; с несанкционированным доступом изнутри компании; с атаками, имеющими целью вызвать отказ в обслуживании; с саботированием сетей; с финансовым мошенничеством и хищением коммерческой информации.

Создание на предприятии локальной вычислительной сети (ЛВС) уже значительно увеличивает риск подвергнуться тем или иным видам атак. Развитие Интернета и электронной коммерции многократно усиливает информационные риски, так как появляются дополнительные возможности для враждебных внешних вторжений в корпоративные сети: взломов, вирусов и проч.

В числе важнейших причин назовем увеличение числа внедрений сложных бизнес-приложений на российских предприятиях - ERP, CRM и т. п. Устойчивый рост спроса на такие решения мы наблюдаем в течение последних трех лет. Например, у ведущих компаний - системных интеграторов оборот, связанный с внедрением корпоративных информационных систем, в 2001 году вырос на 50% и более. Между тем не секрет, что число экстремальных ситуаций в корпоративной информационной системе, возникающих вследствие попыток проникнуть в систему извне, по статистике, лишь немногим больше, нежели число попыток несанкционированного доступа, предпринимаемых изнутри. Таким образом, существенное увеличение информационных рисков - уже реальность. По мнению экспертов CSI, "успешная защита от этих атак требует не только простого использования технологий информационной безопасности, но и создания комплексной, экономически обоснованной политики безопасности организации".

Сделать сегодня, чтобы не иметь проблем завтра


Всемирное исследование в области информационной безопасности, ежегодно проводимое компанией Ernst & Young, показывает, что, хотя вопросы информационной безопасности в последнее время и приобрели большое значение для многих компаний во всем мире, применяемые ими методы управления рисками непоследовательны, а зачастую и явно недостаточны. Как следствие, предприятия могут слишком поздно обнаружить, что отдача от крупных инвестиций в информационные технологии страдает из-за их неадекватности бизнес-процессам, от невнимания к вопросам информационной безопасности или обучению персонала, от действий третьих лиц и деловых партнеров, оказавшихся нечистоплотными. Из последнего проведенного компанией исследования вытекает, что обеспечение информационной безопасности все еще нередко рассматривается предприятиями как сугубо технический вопрос, за который должен отвечать исключительно отдел ИТ. Принятые в результате такого подхода технологические решения мало связаны с бизнес-процессами компаний. Но если бы только это было проблемой... Исследование наглядно показывает, что подход некоторых организаций (из числа опрошенных) к вопросам информационной безопасности можно охарактеризовать как вполне безответственный. При этом мало кто ставит под сомнение утверждение, что управление вопросами информационной безопасности имеет принципиальное значение для существования компании и получения преимущества перед конкурентами.

Что еще показал опрос? Так, практически каждый второй респондент указывает на страх раскрытия конфиденциальной информации. Озабоченность безопасностью данных и сохранением их конфиденциальности остается одним из основных препятствий на пути к увеличению обмена информацией. Две трети опрошенных считают, что из-за развития обмена информацией риски будут возрастать. Но понятно, что уменьшение масштабов общения с деловыми партнерами не является выходом из положения.

По-прежнему сохраняется много указаний на то, что компании не имеют самой простой управленческой информации о случаях нарушения информационной безопасности. И это заставляет нас усомниться в том, что в процессе принятия решений о затратах и инвестициях в информационные технологии полностью учитываются потребности предприятия, а также реальная информация о происходящем.

Общемировая тенденция сегодня такова, что безопасность является одним из главных мотивов решения руководства компаний из многих отраслей экономики инвестировать в ИТ. А компании, которые не задумываются над тем, каким образом новые технологии могут помочь им в работе, рискуют упустить шанс повысить свою эффективность, в том числе за счет укрепления информационной безопасности. "Современная экономическая ситуация требует, чтобы руководители компаний рассматривали безопасность и в то же время доступность информации как приоритеты для всей компании, управляли этими процессами и предвидели грядущие изменения. Те компании, которые относятся к информационной безопасности безответственно, будут наказаны рынком и потенциальными деловыми партнерами, - говорит Ян Бабиэк, управляющий партнер группы по информационной безопасности британского отделения Ernst & Young. - Нельзя ограничивать стратегию информационной безопасности техническими решениями. Ее составной частью должен стать анализ корпоративной культуры и тех рисков, с которыми компания сталкивается сегодня и может встретиться завтра. От того, как будет выстроена эта стратегия сегодня, зависит завтрашний успех или неудача вашего предприятия".

Больше вопросов

Анализ результатов проведенного Ernst & Young исследования заставляет нас задаться вопросом: а готовы ли управляющие не просто признать, что перерыв в работе компании, вызванный проблемами безопасности, грозит ей финансовыми потерями и угрожает репутации, но и определить возможные масштабы потерь? Как выясняется, нет. Большинство респондентов не смогли дать определение таким операционным убыткам в коммерческих терминах: например, не смогли посчитать, какими могут быть потери вследствие упущенных благоприятных возможностей или в результате того, что тысяча сотрудников не имела доступа к информационным системам в течение четырех часов.

Мероприятия по проверке систем обеспечения информационной безопасности проводят менее половины опрошенных компаний. Но как при таком подходе можно быть уверенным в том, что действительные источники опасности известны, а политика и процедуры в области обеспечения информационной безопасности организованы эффективно?

Учитывая важность информационных систем в общей системе управления предприятием и ценность информации как одного из наиболее важных ресурсов и активов компании, учитывая возможные риски и уязвимость компаний, особенно больших, перед различными видами атак, нам представляется безответственным такой подход, когда компания реагирует на события после того, как они происходят. Здесь важны упреждающие действия, и в первую очередь понимание того, что управление и координация системы обеспечения информационной безопасности - это задача, которую следует решать на уровне высшего руководства компании. Это главное условие в системе обеспечения информационной безопасности, и слабое знание всех тонкостей вопроса информационной безопасности - не повод для топ-менеджмента компании, чтобы уклониться от его обсуждения. Включение вопросов обеспечения информационной безопасности в список регулярных тем, выносимых на обсуждение управляющего органа предприятия, должно основываться на реальных потребностях, а не являться разовым мероприятием, реакцией на громкие статьи в прессе.

Что надо сделать для этого? Для первого шага не много: задать себе правильные вопросы.

Есть ли понимание необходимости разработки стратегии обеспечения информационной безопасности предприятия, а также ее согласования со стратегией развития предприятия?

Существует ли понимание того, что задачу обеспечения информационной безопасности следует решать на самом высшем уровне и что ее нельзя передавать исключительно под ответственность подразделения ИТ?

Определяются ли критические участки деятельности предприятия и угрожающие ему риски? С какой периодичностью эти данные пересматриваются?

Известно ли, сколько средств затрачивает компания на информационную безопасность, на что именно они расходуются? Возможно ли оценить отдачу от этих вложений?

Оценивается ли каким-либо образом, какие последствия для предприятия будет иметь серьезное нарушение безопасности (репутация, доходы, юридические последствия, результаты операционной деятельности, доверие инвесторов)?

Считает ли ваша компания, что система информационной безопасности может быть инструментом, стимулирующим новые виды деятельности (например, если будет внедрена эффективная система информационной безопасности, приведет ли это к увеличению объема операций в Интернете)?

Существует ли у вашей организации риск приобрести репутацию компании, небрежно относящейся к вопросам информационной безопасности?

Существует ли в вашей компании четкое распределение обязанностей по обеспечению информационной безопасности?

Какие меры принимаются для того, чтобы действующие из лучших побуждений (или наоборот) третьи лица не смогли нанести ущерб безопасности вашей организации?

Осуществляется ли независимая проверка того, что управление информационной безопасностью организовано в вашей компании должным образом, кто и как ее проводит?

Как вы оцениваете эффективность принимаемых мер по обеспечению информационной безопасности на вашем предприятии?

Положительные ответы на все приведенные выше вопросы будут означать, что руководство компании осознает значимость такого направления внутрикорпоративной деятельности, как информационная безопасность. Но это вовсе не значит, что в этом случае все проблемы решены, а риски устранены. Для эффективного функционирования системы информационной безопасности необходима организационная структура, которая нацелена в будущее. С ее помощью компания сможет сделать безопасность одним из компонентов общей стратегии и планирования деятельности, эффективно управлять инвестициями и повышать доверие клиентов и инвесторов.

Эксперт, Цифовой миp #7 (23) 2002

Rambler's Top100      
Hosted by uCoz