НовостиСобытияКонференцииФорумыIT@Work
Безопасность:

Блог

Топы по-прежнему угроза для ИБ

Валерий Васильев
03.02.2014 19:26:10

Исследования PWC, проведенные в 2013 году, опять возвращают нас к справедливости вывода – бизнес-менеджеры высшего звена являются препятствием для повышения ИБ в компаниях.

Так полагают 23% респондентов, участвовавших в исследовании. К этим процентам следует добавить 18%, приходящихся на директоров по ИБ и начальников ИБ-служб, плюс 16% на ИТ-директоров. Такова международная оценка лояльности наемных топов к компаниям, в которых они служат. Статистика неутешительная. В России ситуация усугубляется практически нулевой публичностью случаев нарушений ИБ в целом и особенно связанных с участием высшего руководства. Подвижки есть, но незначительные.

Нужны ли законы, требующие обязательного информирования специальных государственных институций, а в итоге общественности, о таких инцидентах? Если государство выступают за прозрачность Интернета - а такая тенденция явно прослеживается - то логично ожидать появления соответствующих законов, обязывающих публиковать сведения об инцидентах ИБ, затрагивающих интересы третьих сторон (а таковыми являются практически все инциденты – дела-то ведутся не в вакууме!).

Года два назад в моем поле зрения появились первые промышленные ИТ-продукты, предназначенные для контроля деятельности руководителей компаний. Предполагаю, что спрос на них будет расти. А если появятся соответствующие законы, то и подавно. Не во всех же самых чувствительных инцидентах винить сисадминов.

Комментариев: 4

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

14.02.2014 17:05:16

Очевидно, что носителями наиболее чувствительной информации являются
топ-менеждеры, в силу своих обязанностей имеющие доступ к конфиденциальным
данным. Поэтому инциденты информационной безопасности с участием
топ-менеджеров наиболее опасны, с точки зрения размера нанесенного ущерба.
Однако контролировать их действия техническими мерами проблематично,
поскольку любое ложное срабатывание такой системы, запрещающее руководителю
передачу информации или доступ к ней, может нанести не меньший ущерб, чем
утечка информации. Поэтому, по моему мнению, решение задачи контроля
деятельности руководителей компании лежит в рамках сочетания традиционных
продуктов информационной безопасности, таких как: шифрование, контроль
доступа, средства защиты от утечек информации и т.п., и организационных
мер, включающих принцип неотвратимости наказания, программы мотивации,
повышающие лояльность нанятых топ-менеджеров и других.

17.02.2014 12:26:54

Рустэм,
а как по Вашему опыту, действует ли сейчас неотвратимость наказания для привилегированных пользователей - топов и админов?

По поводу мотивации топов.
В Минэконмразвития требуют в разы урезать "парашюты" для топов до несколько годовых окладов.
Это только предполагается ввести. А сколько же годовых окладов "парашюты" составляют сейчас? Куда еще больше мотивировать?

21.02.2014 10:44:06

Для людей, чья работа напрямую зависит от репутации, неотвратимость
наказания действует очень четко: человек, уволенный за разглашение
конфиденциальной информации, к которой имел привилегированный доступ, вряд
ли когда-нибудь еще получит работу, связанную с доступом к чувствительной
информации. Такая мера работает и "задним числом", то есть, даже если
утечка всплывет не сразу после увольнения. Достаточно будет оповестить
текущего работодателя, что на прошлой работе сотрудника обвиняют в
злоупотреблении доверенным доступом, чтобы серьезно осложнить его
дальнейшую карьеру.

20.02.2014 13:56:58

Это как раз тот самый случай, когда можно получить максимально негативный отклик руководителей ИТ-компаний. Трудно придумать такой внешний орган, который мог бы мониторить деятельность топов на предмет инцидентов ИБ.
Не стоит забывать, что в нормальных компаниях любые топы находятся под контролем главного лица - генерального директора (ЛПР). По закону субординации они обязаны ставить ЛПР в известность по поводу инцидентов ИБ. И контроль со стороны ЛПР здесь стократно выше, чем с любой третьей стороны. Потому как сокрытие информации от ЛПР может нанести компании непоправимый имиджевый и материальный урон. Это граничит с должностным преступлением.
Тогда следует контролировать ЛПРов? Что они могут сказать об инцидентах ИБ? Ведь именно об этом речь? Как вычленить из общего потока "секретов" ЛПР только информацию об утечках, авариях и пр.?
По-простому, это означает полный контроль за руководителем, с выделением интересующей третью сторону информации и принятием решения по каждому конкретному случаю. А прочая информация в потоке: финансовая, личная и т.д. ? Она не будет интересовать третью сторону? А где гарантия, что третья сторона не «спулит» ее "на сторону"? Тогда нужен контроль за контролем, наблюдение за наблюдателем... И так до бесконечности! Мы это уже проходили, столько «бабушек залохматили». Пора уже остановиться, поискать драйверы рынка в другом месте.

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии