25 июня 2018
Как внедрить культуру ИБ
Многие компании принимают и соблюдают принципы корпоративной этики, социальной ответственности, политики в области качества, формальные или неформальные правила поведения, но не знают, что такое культура информационной безопасности. Как же компаниям поднять культуру ИБ? И какая от этого польза?
Часто замечаю, что хоть информационная безопасность уже и развилась в полноценную деятельность, но массового понимания ее необходимости, а также важности все еще нет. Хочется поделиться своими мыслями на тему «окультуривания» компаний (да и людей) в этой области.
Итак, культура ИБ — это формирование, знание, понимание, уважение, соблюдение и совершенствование правил по защите информации, происходящее по собственной инициативе, как снизу вверх, так и сверху вниз. Определение не из учебников, сформулировала сама, для отражения всех тех мыслей, которые хочется донести.
Как же взять и внедрить культуру ИБ в своей компании?
Представим, что у Вас свой бизнес, есть штат людей, клиенты, сайт, CRM, может быть, даже производство какое-то. В определенный момент проблема информационной безопасности дает о себе знать: база данных клиентов стала достоянием общественности, конкуренты, узнав секрет производства и себестоимость продукции, воспользовались этими знаниями, кто-то перешел по ссылке и словил вирус-шифровальщик, сайт «задефейсили» и прочее.
Вы решили, что надо сделать так, чтобы такое больше не повторилось: наняли компанию, построили систему защиты, утвердили политики и правила, даже заставили сотрудников с ними ознакомиться под подпись в журнале. Как думаете, вы достигли результата? Сомневаюсь.
Политики не соблюдаются, сотрудники недовольны — жалуются на проблемы, клиентская база все так же утекает, а конкуренты произвели продукт, аналогичный вашему, только быстрее и вроде даже лучше.
Или, другой вариант, у вас компания покрупнее, проблемы по сути те же, но масштабы и ущерб больше. Вы помимо системы защиты и политик нанимаете еще специалиста по ИБ или целый отдел, заставляете всех сотрудников подписать документ о неразглашении конфиденциальной информации, возможно, даже ввели режим коммерческой тайны.
А если компания совсем крупная, то вы еще предъявляете требования к подрядчикам, особое внимание уделяя тем, кто разрабатывает программные продукты под вас, занимается поддержкой, модернизацией и обслуживанием ИТ-инфраструктуры.
Но все равно что-то не так: каждый раз подрядчики сдают систему, где в коде вшит пароль «123456», логов нет, разграничение доступа работает не так, как хотелось бы, пользователи продолжают рассылать макеты новых изделий по электронной почте кому попало и игнорировать предупреждения антивируса на своем ноутбуке.
Что же не так? Вроде бы все сделано правильно, а результата как не было, так и нет. Ранее мы разбирали типовые ошибки при построении системы защиты. Как раз такие ошибки допускают компании с несформированной культурой ИБ, где сотрудники и руководство не понимают ценности информации и задач информационной безопасности в целом.
Есть несколько базовых принципов и простых шагов, с которых можно начать развивать культуру ИБ в себе лично и в своей компании.
1. Осознать, прочувствовать ценность информации. Понять, какая польза будет вам, компании или обществу в целом от обладания этой информацией, а также какой вред она может нанести, если попадет не в те руки.
2. Обдумать, как вы лично, ваши сотрудники и коллеги работают с данной информацией. Продумать процессы, разобрать все неудобные и некомфортные места.
3. Донести свои мысли до коллектива, обсудить проблемы с ними и найти решение. Все сотрудники компании должны разделять общие ценности по отношению к информации, а еще лучше формировать эти ценности вместе.
Как правило, большинство людей понимают ценность информации, не всегда сразу об этом задумываются, но понимают, если найти правильные слова и привести примеры последствий.
Поэтому очень важно проводить обучение всех сотрудников основам информационной безопасности и корпоративным правилам. Только обучение должно быть не в виде инструктажа для галочки, теста или повышения квалификации по программе из 90х, а продуманное, интересное, живое и, желательно, адаптированное именно под вас.
4. Подобное обучение должно войти в необходимый минимум процедур при найме новых сотрудников, изменении процессов или используемых систем. Иногда было бы не лишним и подрядчиков обучать, особенно, если они тесно интегрированы с вашей компанией и им на аутсорсинг отдаются большие пласты вашей инфраструктуры.
5. При принятии решений об изменении бизнес-процессов, внедрении новых информационных систем всегда думайте об информационной безопасности еще на этапе написания ТЗ.
На нулевой стадии всегда проще придумать способ решения поставленных задач наиболее удобным для всех методом при минимальных затратах. При этом думайте о том, как нововведения отразятся на пользователях. Даже если все сотрудники разделяют ценности информационной безопасности и понимают ее значимость. Дискомфорт в работе не поспособствует укреплению «культурных устоев».
6. Совершенствуйте свою программу повышения осведомленности сотрудников.
Это должен быть непрерывный процесс, как и управление информационной безопасностью в целом.
1. Осознать, прочувствовать ценность информации. Понять, какая польза будет вам, компании или обществу в целом от обладания этой информацией, а также какой вред она может нанести, если попадет не в те руки.
2. Обдумать, как вы лично, ваши сотрудники и коллеги работают с данной информацией. Продумать процессы, разобрать все неудобные и некомфортные места.
3. Донести свои мысли до коллектива, обсудить проблемы с ними и найти решение. Все сотрудники компании должны разделять общие ценности по отношению к информации, а еще лучше формировать эти ценности вместе.
Как правило, большинство людей понимают ценность информации, не всегда сразу об этом задумываются, но понимают, если найти правильные слова и привести примеры последствий.
Поэтому очень важно проводить обучение всех сотрудников основам информационной безопасности и корпоративным правилам. Только обучение должно быть не в виде инструктажа для галочки, теста или повышения квалификации по программе из 90х, а продуманное, интересное, живое и, желательно, адаптированное именно под вас.
4. Подобное обучение должно войти в необходимый минимум процедур при найме новых сотрудников, изменении процессов или используемых систем. Иногда было бы не лишним и подрядчиков обучать, особенно, если они тесно интегрированы с вашей компанией и им на аутсорсинг отдаются большие пласты вашей инфраструктуры.
5. При принятии решений об изменении бизнес-процессов, внедрении новых информационных систем всегда думайте об информационной безопасности еще на этапе написания ТЗ.
На нулевой стадии всегда проще придумать способ решения поставленных задач наиболее удобным для всех методом при минимальных затратах. При этом думайте о том, как нововведения отразятся на пользователях. Даже если все сотрудники разделяют ценности информационной безопасности и понимают ее значимость. Дискомфорт в работе не поспособствует укреплению «культурных устоев».
6. Совершенствуйте свою программу повышения осведомленности сотрудников.
Это должен быть непрерывный процесс, как и управление информационной безопасностью в целом.
Вместо вывода:
Культура ИБ, так же как культура в целом, может быть «из коробки», а можно ее развивать и прививать. Участие первых лиц компании играет самую важную роль в создании культуры ИБ. Руководство инициирует, поддерживает стратегии и политики информационной безопасности, обеспечивает финансирование, а самое главное, подает личный пример. Вместе с этим сотрудники принимают, корректируют политики, инициированные руководством, помогая выстраивать правильный вектор деятельности по ИБ для «бесшовной» интеграции защитных механизмов в бизнес-процессы компании. Все сотрудники, независимо от должности, стажа и прочего подчиняются общим правилам по ИБ, несут равную ответственность и выполняют равные обязанности по отношению к информации. Вместе с личным осознанием своей причастности к общему делу по защите информации и пониманием ее ценности. Это и создает культуру ИБ.
Анна Шестакова
Руководитель проектов, Акрибия
Руководитель проектов, Акрибия
Другие публикации по теме