Роль руководителей и владельцев бизнеса в обеспечении информационной безопасности компании неоспорима. Они должны создать строгую культуру безопасного поведения, демонстрировать правильное отношение к требованиям информационной безопасности и стимулировать диалог между сотрудниками и руководством.

Важна четкая стратегия и открытость, когда есть легкий способ сообщить об инциденте (или ошибке) без риска получить выговор или другой негатив для сотрудника. Также об успехах команды безопасности, предотвращенных или расследованных инцидентах очень важно говорить с сотрудниками - это повышает доверие. Также доверие и понимание поднимает разговор о проблемах, с которыми ИБ сталкивается - переведите пользователей на свою сторону и попросите их о помощи.

Один из инструментов трансляции ценностей ИБ на компанию может быть обучение безопасной работы с информацией, лучшим практикам. Это можно реализовать через кадровую службу и дополнительную систему грейдов/KPI.

Борьба ИБ и ИТ до добра не доводит, а тем более "перетягивание" зон ответственности. В идеале это должно быть взаимовыгодное партнерство. ИТ-директор должен понимать значение информационной безопасности для стабильности и надежности ИТ-систем, а также помогать ИБ-шникам в поддержании устойчивости бизнес-процессов компании, за которые в первую очередь отвечают собственно ИТ (а не ИБ).

В этом треугольнике возникают еще риск-менеджеры, которые непрерывно работают с рисками, улучшают процессы выявления и оценки рисков, контролируют их устранение. Для небольшой компании может и не быть риск-комитета, тогда эту роль выполняет ИБ-шник вместе с гендиректором и/или ИТ.

Есть еще понятие внутренней безопасности, которая делится на физическую (это турникеты, карточки для прохода и идентификации, видеонаблюдение, оценка благонадежности) и служба аудита. Аудит очень важен - он дает объективный взгляд на проблемы информационной безопасности, позволяя со стороны подсветить ключевые направления, где безопасность проседает. Это может делаться через инструменты (само)оценки с применением технического инструментария.

Юридическая служба также играет в "обороне" - ведь они отвечают за риски, связанные с исполнением договоров, обмена информацией с государственными органами, участвует в судебных процессах, оценивает требования контролирующих органов.

Владелец бизнеса или назначенный генеральный директор несут ответственность за все в компании, в том числе за обеспечение информационной безопасности. Их активное участие является ключевым для успеха и устойчивого развития бизнеса - как минимум от них нужно две вещи:

1) осознанность в вопросе, что "нежелательные события", связанные с инцидентами безопасности, могут произойти;

2) готовность сотрудничать и принимать решение о выделении фокуса (ресурсов) на информационную безопасность, чтобы не потерять ключевые бизнес процессы или не получить финансовый ущерб в будущем.

#Glabit_Работаем

2 минуты

15 мая 2024