Большинство организаций плохо подготовлено к возможным кибератакам — несмотря на почти постоянные предупреждения об угрозах безопасности, большинство компаний оценивает свою киберустойчивость как низкую, хотя на это уходит значительная часть их ИТ-бюджета.

Что же надо предпринять CIO, чтобы руководство и персонал компании серьезно относились к вопросам безопасности?

1. Добейтесь осознания руководством реальных рисков

По мнению Тима Холмана, главы фирмы 2-sec и директора Information Systems Security Association, строгий подход к киберугрозам должен исходить от руководителей высшего звена: «Это значит, что за плохое состояние дел отвечает прежде всего руководство, и, вероятно, именно поэтому в сообщениях прессы о хакерской атаке на какую-либо компанию вы не увидите имен ИТ-менеджеров».

По мнению Холмана, первый необходимый шаг весьма прост — бизнес должен воспринять проблему кибербезопасности серьезно. «По крайней мере, совет директоров должен признать существование рисков хакерских атак или внедрения вредоносного ПО».

Такое признание на C-уровне может, в частности, выражаться в организации тренировок на знание вопросов безопасности или тестов на проникновение в сеть. Полезными могут оказаться даже простые с виду формы анализа, включая проверки осведомленности о состоянии дел в других компаниях вашего сектора рынка и упоминании их в последних новостях.

Второй шаг для CIO, говорит Холман, заключается в том, чтобы убедить членов руководства выделить, несмотря на занятость, несколько часов на проведение оценки связанных с безопасностью рисков: «Риски имеют денежное выражение, особенно если речь идет о бизнесе, доходы которого критически зависят от присутствия в олайне».

Инвестирование в продукты для обеспечения безопасности является третьим и, как правило, завершающим шагом, который должен предпринять CIO. «Но если вначале не решены первые две задачи, деньги могут быть потрачены впустую. Продукты не будут работать или будут выполнять не те функции из-за неправильного управления рисками на уровне руководства», — предупреждает Холман.

2. Формируйте политики работы с людьми и рассказывайте о них коллегам

Колин Лис, CIO компании BT Business, отмечает, что хотя раньше организации фокусировались на безопасности более крупных систем, векторы атак меняются и злоумышленники уже не ищут парадный вход, а стараются проникнуть через заднюю дверь.

«Они внедряются внутри вашего дома, а потом сидят и выжидают, — говорит он. — Вы привыкли благополучно существовать, выстроив массивный периметр и управляемый парадный вход. Теперь этим не обойдешься, и приходится менять подход к безопасности, обеспечивая максимальную непроницаемость всех ИТ-ресурсов».

За 2015 г., говорит Лис, все очень быстро изменилось. «Раньше мы отмечали одну-две попытки кибератак в месяц, а теперь их стало намного больше».

По словам Лиса, сложно найти простое объяснение увеличения числа кибератак, хотя есть подозрение, что точки, откуда исходят вторжения, размножились по земному шару. Сегодня хакеры могут бесплатно загружать мощные инструменты через Интернет. Возможности для создания угроз кибербезопасности как бы демократизировались.

Недавняя мощная атака на оператора TalkTalk сформировала еще один аспект усиления фокуса на безопасности. По словам Лиса, после инцидента с TalkTalk он и его коллеги первым делом бросились выяснять, можно ли как-то помочь конкурентам пострадавшей компании. «Это тот случай, когда то же самое может случиться с любым другим, — говорит он. — Ваша репутация полностью зависит от последствий последней атаки на вас. Вам надо старательно работать. В BT мы с огромным усердием занимаемся безопасностью. У нас очень опытные отдел кибербезопасности и лаборатория анализа угроз».

Колин Лис глубоко вжился в управление рисками безопасности BT Business, и его главная цель — обеспечить, чтобы все потенциальные точки входа были на замке. Также важны политики работы с людьми, и, по его словам, в терминах обучения и инструктажа BT имеет комплекс планов и процедур по ключевым направлениям, включая охрану здания, доступ к системам и поведение работников.

«Ключ к успеху заключается в управлении рисками при разумном уровне затрат, — говорит Лис. — Вы должны быть готовы к инвестициям. В разговорах с другими CIO из других секторов, я иногда чувствую, что у них в безопасность вкладывают меньше средств, чем вкладывает BT. При нынешней важности сетей это стало критически важным направлением наших ИТ-инвестиций».

Наряду с управлением рисками, считает Лис, для телекоммуникационной фирмы ключевую роль играет моделирование рисков. По его словам, в беседах с другими CIO он обсуждает примерно полтора десятка аспектов, которые необходимо учитывать большинству организаций для поддержания хорошего уровня информационной безопасности. «Из разговоров с нашими коллегами видно, что многие из них до сих пор все это упускают из виду», — говорит он.

3. Принимайте меры для защиты наиболее ценных ресурсов своей фирмы

Дэвид Рид, глава отдела ИТ и операций с данным Press Association, признает, что его организация не в состоянии нормально контролировать процессы, если журналисты используют свои личные устройства для копирования файлов, выбора иллюстраций и написания статей. «Ответственность лежит на них, но и нам ее не избежать», — говорит он.

По словам Рида, безопасность имеет первостепенное значение для PA и была главным фактором в решении фирмы ввести в действие корпоративно определяемую, но персонально реализуемую мобильную стратегию. PA выдала работникам разнообразные устройства, но Рид может управлять всем этим хозяйством, используя сочетание технологии управления мобильными данными компании EE и ПО безопасности Knox компании Samsung.

«Эти устройства подходят для работы и личного использования, — говорит он. — Все включенные в белый список приложения находятся в контейнере и защищены от любого вредоносного ПО, которое по незнанию может установить пользователь».