Как продать ИБ руководству? — Итоги конференции в Краснодаре

18 апреля в Galich Hall г. Краснодар прошла конференция по кибербезопасности для руководителей и специалистов ИБ и ИТ — «Код информационной безопасности». В этом году серия мероприятий проводится в 24 городах России, Азербайджана, Беларуси, Казахстана, Армении и Узбекистана и собирает федеральных и региональных экспертов для обсуждения самых горячих тем обеспечения информационной безопасности.

В этом году ключевой темой для вводной дискуссии стала проблема инвестирования организаций в защиту информации. Как перестать запугивать ключевых лиц компании и перейти на язык цифр в Краснодаре обсудили эксперты компаний «Крипто-Про», «Лаборатория Касперского», «Eset», «СКБ Контур», «Searchinform» и ГК ИСА. Общий вектор обсуждения был направлен на то, что необходимо переводить абстрактный страх к реальным цифрам убытков от реализации угроз информационной безопасности. И в этом разрезе основной компетенцией эксперта по кибербезопасности становится умение разговаривать на одном языке с представителями бизнеса. Среди рекомендаций, высказанных экспертами, прозвучал совет находить поддержку из числа сотрудников компании, испытывающих трудности в работе, которые можно решить средствами информационной безопасности. И тогда специалист по безопасности станет другом, готовым прийти на помощь.

Дмитрий Самойленко – представитель компании «Eset» – также предлагает разбивать все бизнес-процессы компании на более мелкие и находить в них наиболее уязвимые места.

«Далее следует процесс обсуждения с руководством изменений, которые вы хотите внедрить, а конкретно: что даст бизнесу в качественном или количественном измерении ваше предложение», — Дмитрий Самойленко.

Павел Зимарев из компании «СКБ Контур» отметил важность ведения статистики уроз и атак, которые были отражены отделом ИБ в компании. Эти реальные цифры помогут убедить руководство в необходимости постоянной модернизации системы защиты информации.

Эксперт компании ГК ИСА Денис Прынков также отметил, что риски могут быть разного рода: уголовные, финансовые, репутационные, административные, политические и прочее. Современное государство и бизнес диктуют правила, согласно которым ключевую роль играет управление активами: отношениями, персоналом, финансами — и это приводит нас к логичному выводу, что рисками информационной безопасности тоже необходимо управлять. И именно этот тезис необходимо доносить до руководства. К тому же, если выявить те риски, которые больше всего «цепляют» конкретного руководителя, диалог о затратах на их предотвращение будет складываться продуктивнее. В процессе обоснования бюджета обозначенные риски следует подкреплять примерами и кейсами конкретных компаний.

Тимур Бигулов – эксперт «Лаборатории Касперского» — уверен, что вложения в информационную безопасность – это инвестиции, которые увеличивают стоимость бизнеса, повышая его устойчивость.

После окончания вводной дискуссии начали работу тематические секции. В рамках секции «Технологии» Денис Прынков представил доклад на тему: «Эволюция кибербезопасности. Как противостоять современным угрозам».

 «Война — это путь обмана. Если что-то умеешь, делай вид, что не умеешь. Если владеешь чем-то, показывай, что не владеешь. Если ты далеко — пусть думают, что близко. Если же близко — пусть думают, что далеко», — Сунь-Цзы, китайский полководец.

Именно с цитаты великого полководца начал свою речь наш эксперт, обратив внимание аудитории на то, что вопросы защиты информации стали актуальны еще до появления первых компьютеров. С тех пор принципы защиты информации мало изменились – мы все также дезинформируем противника и защищаемся от утечек. Тем не менее, наступление цифровой эпохи диктует свои правила, и информационная безопасность не сводится к набору чисто технических мер. Недостаточно отследить и выявить потенциально опасное отклонение в работе информационных систем, необходимо оценить является ли оно реальной угрозой. И здесь компетенции и квалификация специалистов становятся ключом к созданию устойчивой системы безопасности информационных ресурсов. Именно это обусловило появление Центров мониторинга, эксперты которого в режиме реального времени отслеживают сигналы, генерируемые техническими средствами анализа инцидентов, и принимают необходимые меры. Но и этого недостаточно. Продолжая вопросы, уже поднятые во время вводной дискуссии, эксперт нашей компании обратил внимание слушателей на необходимость менеджмента ИБ. И специально для комплексного управления информационной безопасностью была создана система DocShell 4.0. Она позволяет управлять активами, документами, событиями, инцидентами, а также компетенциями сотрудников, в том числе не являющимися специалистами по кибербезопасности, путем автоматизации основных функций менеджмента: планирования, организации, контроля и отчетности.

«Только симбиоз технически совершенных аналитических средств, квалифицированной экспертизы Центра Мониторинга и систем автоматизации менеджмента информационной безопасности способен противостоять современным угрозам», — Денис Прынков.

В рамках мероприятия всем участникам было предложено принять участие в обсуждении самых «горячих» тем, одной из которых стал вопрос как правильно взаимодействовать с пользователями. Денис Прынков высказал утверждение, что, прежде всего, пользователей необходимо обучать и повышать их осведомленность в вопросах информационной безопасности. Наш эксперт предложил три подхода к обучению:

  • развлекательный – максимально приятный и комфортный для пользователя, в формате небольших тестов, игр, коротких текстовых блоков.
  • обязательный – жестко контролируемый руководством процесс обучения в формате коллективных семинаров и лекций с последующим тестированием. В рамках этого подхода также необходимо установить взаимосвязь между результатами тестирования и способностью выполнять должностные обязанности – не сдал тест, не получил доступ к необходимому оборудованию, программам, помещениям.
  • достиженческий – основой этого подхода является наличие взаимосвязи между уровнем знаний об ИБ сотрудника и его результатами в компании (зарплата, должность).

Он отметил, что разные типы организаций требуют разного подхода к обучению сотрудников. Так, небольшим фирмам стоит обратить внимание на развлекательный метод, для бюджетных учреждений подойдет обязательный подход, а для крупных коммерческих организаций оптимален достиженческий.

Игорь Протопопов – также эксперт компании ГК ИСА — стал модератором дискуссии на тему «Вы или вас? Как оценить риски ИБ?». В ходе обсуждения специалисты пришли к выводу, что оценка рисков должна складываться из нескольких элементов.

Начинать необходимо с оценки текущего состояния защиты информационных ресурсов компании. Для этого следует определить объекты защиты и техническое состояние системы их безопасности. В процессе оценки текущего состояния системы защиты информации руководители компаний часто сталкиваются с нехваткой собственных ресурсов для получения объективного взгляда на недостатки и достоинства существующей системы ИБ. В этом случае рекомендуется привлекать специалистов специализированных компаний для проведения внешнего аудита. Оценка информационных систем сторонним экспертом также исключает возможный конфликт интересов руководства компании и собственных ИТ-специалистов. Грамотный внешний аудит является самым главным и самым сложным этапом оценки рисков ИБ. Именно он позволяет понять объективную необходимость вложения денежных средств в те или иные технические средства защиты информации.

Далее для оценки рисков ИБ необходимо определить требуемый уровень защищенности активов. И компании могут столкнуться с еще одной проблемой – конфликт удобства бизнеса и требований по обеспечению информационной безопасности. С одной стороны, для эффективности процессов необходимо обеспечить быстрый доступ и обмен информацией, с другой – бесконтрольный доступ к информации обязательно приведет к ее утечкам, искажению и пр. Нужно находить баланс. И чтобы избежать трудностей в обосновании тех или иных мер для защиты информации, к проектированию оптимальной системы защиты следует также привлекать профессионалов. В конечном итоге, получив объективное понимание о текущем состоянии информационной безопасности, подготовив и реализовав сбалансированный проект модернизации системы защиты информации, на вопрос «Вы или Вас?», компании смогут ответить: «Мы!».

«Код Информационной безопасности» — ежегодное мероприятие, которого специалисты по кибербезопасности ждут с нетерпением. Наша компания благодарит организаторов конференции за предоставленную возможность обмена опыта и мнениями с топовыми экспертами в области информационной безопасности.






Заказать обратный звонок

Вы можете заказать обратный звонок или позвонить
по телефону 8-800-200-7932






Я даю свое согласие ГК ИСА (далее – isoit.ru) на обработку, с использованием средств автоматизации или без использования таких средств, моих персональных данных, представленных в настоящем обращении, включая сбор, запись, систематизацию, накопление, хранение, извлечение, использование, обезличивание, удаление и уничтожение персональных данных, в целях обработки настоящего электронного обращения, предоставления информации о результатах его рассмотрения и опросах сайта isoit.ru о качестве обслуживания.

Я согласен на предоставление мне информации посредством электронной почты, телефонных обращений, sms-сообщений, направления почтовой корреспонденции.

Согласие предоставляется с момента оформления настоящего обращения и действует в течение 5 (пяти) лет. Согласие может быть отозвано путем подачи в isoit.ru заявления об отзыве согласия.






Заказать обратный звонок

Вы можете заказать обратный звонок или позвонить
по телефону 8-800-200-7932