Скрытая угроза для бизнеса
Крайне мало деловых людей вне ИТ-отделов обладают хоть какими-либо знаниями о современных угрозах информационной безопасности, в соответствии с сообщением основателя и исполнительного директора BH Consulting Брайана Хонана.
«На многих предприятиях мало не-ИТ специалистов слышали о больших угрозах информационной безопасности, таких как уязвимости Heartbleed или таких нападениях, как то, которое было совершено на Sony Pictures,» - заявил он изданию Computer Weekly.
Это недостаточное знакомство с постоянно меняющимися угрозами информационной безопасности является одной из самых больших проблем в повышении грамотности и осведомленности о кибер-безопасности нетехнических руководителей.
Для многих людей, разделяющих точку зрения бизнес-сообщества, кибербезопасность является тем, что осуществляется в фоновом режиме, или чем-то, на что они обращают внимание только по нормативным причинам. Несмотря на растущее значение информационной безопасности в бизнесе, со стороны бизнеса до сих пор наблюдается недостаточно хорошее понимание этих вопросов.
«Специалисты по информационной безопасности не могут заинтересовать руководителей бизнеса этой темой, потому что они, как правило, сосредоточены только на технических аспектах, используя термины и понятия, неизвестные за пределами ИТ», - сказал Хонан.
Это делает информационную безопасность таинственной частью организации, связанной с запретами совершать какие-то действия. Следовательно, информация от специалистов по безопасности, как правило, рассматривается бизнесом в негативном ключе, что представляет дополнительные проблемы для повышения информированности и понимания вопросов безопасности.
«Специалисты по информационной безопасности должны учиться коммуницировать с бизнесом на его языке, который не слишком технический или труднопонимаемый,» - сказал Хонан.
Один из подходов к этой давней проблеме состоит в том, чтобы перевести вопросы безопасности в бизнес-планы и метрики, чтобы нетехнические руководители могли увидеть ценность и пользу в безопасности. Например, вместо того чтобы говорить о количестве спам-сообщений на электронной почте, которые система фильтрации способна блокировать, мы должны выразить то же самое с точки зрения экономии времени и затрат.
Специалисты по информационной безопасности должны также говорить с бизнесом больше сточки зрения бизнес-рисков, поскольку это просто больше им знакомо и понятно.
«Например, когда речь идет о таких вещах, как использование личного компьютера в корпоративной сети, мы не должны говорить "нет, вы не можете сделать этого", мы должны говорить "да, вы можете сделать это, и бизнес-риски при этом существуют следующие… ",» - сказал Хонан. И в этом случае необходимо следить, чтобы специалисты по информационной безопасности могли сказать, что бизнесу нужно сделать, чтобы смягчить эти риски или как снизить их до приемлемого уровня.
Значимые метрики ИТ безопасности
Хонэн считает, что специалисты по информационной безопасности должны демонстрировать, что они постоянно обеспечивают значимые показатели для бизнеса, чтобы безопасность постоянно была в поле зрения руководителей.
«Эти показатели могут включать в себя такие вещи, как доля сотрудников, которые прошли обучение по вопросам безопасности, доля мобильных устройств, которые шифруются, количество инцидентов, среднее время решения инцидентов, и как эти показатели меняются с течением времени,» - заявил он.
Тем не менее, Хонэн предупредил, что изолированная демонстрация таких метрик не может обеспечить понимание того, что программа безопасности работает хорошо. «Вы должны связать их с другими метриками и вещами, которые могут влиять на бизнес, такие как планируемая сделка или запуск нового продукта,» - сказал он.
Одна отрасль не обязательно озабочена теми же видами риска, что и другая, это означает, что в разговоре с бизнесом, важно понять, о каких именно рисках он заботится больше всего. Лучшее понимание бизнеса позволяет легче общаться о влиянии конкретных угроз безопасности гораздо более актуальным и эффективным способом.
Также полезно поговорить с менеджерами, чтобы найти то, с чем они борются с точки зрения безопасности. Например, команда продаж может находить систему безопасности слишком громоздкой и неудобной для доступа к системе удаленно. Когда люди находят безопасность слишком сложной, они пытаются обойти ее путем копирования данных на USB или в частное облачное хранилище, что может иметь огромные последствия для бизнеса.
В одной организации, где Хонэн столкнулся с этой проблемой, он работал в тесном сотрудничестве с менеджером по продажам, чтобы предложить предприятию облачную систему управления взаимоотношениями с клиентами. «Подобное предложение облачной службы, было принято и масштабировано на весь бизнес, потому что это было не только безопаснее, но еще и проще и дешевле», - поделился Хонэн. «Этот пример проекта, который разрабатывался совместно, где подразделение безопасности рассматривается как способствующий фактор, а не ингибитор».
Все организации являются мишенями кибер-преступников
По Хонэну есть еще один полезный способ для профессионалов по информационной безопасности, чтобы убедить сотрудников и руководителей высшего уровня. Это продемонстрировать, как кибер-преступники атакуют организации любого размера и типа.
«Многие организации считают, что кибер злоумышленники заинтересованы только в банках или компаниях, которые занимаются финансовыми операциями, но они должны понимать, что все организации, в настоящее время являются мишенями», - сказал он.
Компаниям необходимо понимать, что преступники заинтересованы не только в финансовых данных, они также ищут личные данные сотрудников и клиентов, и пытаются получить доступ к ИТ инфраструктуре для ее преступного использования. Хонэн сказал, что большинство организаций не знают, что кибер-преступники могут использовать их ИТ-системы в рамках преступных ботнет инфраструктур для таких вещей, как DDOS атаки.
Департаменты также должны быть осведомлены, что из-за всех персональных данных, которыми владеет их компания, они несут личные юридические обязательства по обеспечению мер их защиты.
Специалисты по информационной безопасности могут помочь руководителям понять их обязанности с точки зрения законодательства и даже этической и моральной точки зрения.
Хонэн считает, что специалисты по информационной безопасности должны быть проактивны во взаимодействии с бизнесом и демонстрировать потенциальную ценность безопасности для достижения долгосрочных целей бизнеса.