Создание отдела информационной безопасности
Практический опыт показывает, что для результативного и эффективного решения проблем информационной безопасности необходимо создавать соответствующее самостоятельное подразделение.
с тем стоит помнить, что не бизнес существует ради безопасности, а безопасность существует ради бизнеса.
В наше время трудно кого-либо удивить происшествиями в области информационной безопасности. Все чаще мы сталкиваемся с различными угрозами в этой области. Практически каждый день приносит все новые и новые сведения об атаках хакеров (заметим, только что обнаруженных и нередко успешных), вирусных эпидемиях, атаках со стороны обиженных сотрудников. Именно последние становятся наибольшей угрозой в различных организациях.
Картина вырисовывается безрадостная, а выход состоит в создании хорошо подготовленного подразделения — службы защиты информации, или, как ее еще называют, службы компьютерной безопасности.
Казалось бы, можно возложить эти задачи на системного администратора или в крайнем случае создать отдельную единицу — администратора информационной безопасности в составе ИТ- подразделений.
Допустим, вы решили выбрать один из этих двух вариантов. Давайте рассмотрим, к чему же это приведет.
В первом случае системный администратор, фыркнув про себя, повернется и уйдет, думая, что он и так занимается вопросами информационной безопасности. Но у него и без того масса работы, а следовательно, либо задачи по защите информации будут выполняться в последнюю очередь, либо качество остальной работы заведомо ухудшится. Кроме того, системный администратор, в силу своего подхода к решению подобных задач, постарается решить ее исключительно техническими методами. И это приведет к тому, что задача решена не будет, так как информационная безопасность — это комплекс организационно-технических мер, и одних лишь технических методов решения здесь недостаточно.
Второй вариант лучше предыдущего, но не намного. В этом случае финансирование защиты информации будет осуществляться по остаточному принципу. Будет ли руководство фирмы прислушиваться к мнению какого-то там администратора информационной безопасности? Тем более если мнение последнего будет противоречить мнению начальника службы ИТ? А ведь любое предположение администратора информационной безопасности будет «портить жизнь» персоналу ИТ-службы. Как вы думаете, долго ли начальник ИТ-службы будет терпеть самостоятельного администратора информационной безопасности?
Служба информационной безопасности должна быть самостоятельным подразделением и подчиняться напрямую первому лицу в организации.
«Люди, ведающие воротами, оружием и охраной, зачастую действуют автономно от сотрудников, занимающихся ИТ, — комментирует Крис Кристиансен, аналитик IDC. — Необходимо, однако, иметь информацию о том, кто был в здании, куда пошел, к каким информационным системам мог получить доступ. Две службы, отвечающие за безопасность, должны работать скоординированно, и тогда каждая из них станет сильнее». Наверное, в будущем мы увидим объединение служб физической и информационной безопасности, однако, на мой взгляд, это эволюционный процесс и на данном этапе еще довольно сложно найти людей, которые были бы специалистами в обоих вопросах.
В большинстве случаев специалисты в области информационной безопасности ничего не понимают в безопасности физической, и наоборот, поэтому насильственное слияние двух подразделений будет только мешать работе. Печальные свидетельства тому имеются в изобилии. При подчинении одной службы другой на подчиненной будут просто экономить. Зачем оплачивать то, чего не понимаешь! Мой практический опыт показал, что на данном этапе эти службы должны работать в тесном сотрудничестве, но не быть во взаимном подчинении.
Вместе с тем стоит помнить, что не бизнес существует ради безопасности, а безопасность существует ради бизнеса! На предприятии должна быть создана устойчивая «треугольная» структура — «аудит — служба защиты информации — ИТ-служба». Необходимо четко определить границы ответственности, чтобы служба информационной безопасности не превратилась в не подвластного никому, все контролирующего монстра.
Как только речь заходит о средствах защиты информации, все сразу вспоминают межсетевые экраны и антивирусные программы, но это не панацея. Какое бы приложение вы ни купили, потребуется человек, который будет его обслуживать. Нет ничего хуже, чем великолепное антивирусное программное обеспечение, которое содержит старые антивирусные базы. Руководство уверено, что антивирусная защита существует, но ввиду быстрого устаревания антивирусных баз его ценность равна нулю. То же касается и межсетевых экранов.
Нетрудно подсчитать, что содержание службы информационной безопасности из трех человек (минимальный состав отдела информационной безопасности — начальник, аналитик и администратор ИБ) обойдется компании намного дешевле возможных убытков. Следует смириться с тем, что данный отдел никогда не будет приносить явную прибыль, однако его назначение — уменьшить возможные убытки.
По сравнению с физической безопасностью информационная находится еще на начальной стадии развития, образно говоря, в младенчестве. Она ориентирована на киберпространство, где все должно быть определено только при помощи нулей и единиц. Это приводит к непониманию со стороны руководства необходимости различных мер защиты. Чтобы обосновать приобретение соответствующих технических и программных средств, необходимо объяснить их назначение простым и понятным руководству языком.
Специалисты, где вы?
Существует два пути создания службы информационной безопасности. Первый — создание отдела информационной безопасности за счет подготовки, реорганизации и перераспределения ИТ-специалистов. Для отражения вирусной атаки можно привлечь собственных программистов, но в этом случае их основная работа окажется невыполненной. И неизвестно, что обойдется дешевле — набрать новый отдел или дергать своих сотрудников. «Хорошая безопасность означает предотвращение вирусов и атак, их своевременное обнаружение и немедленную реакцию на них. Если вы не создаете команду для обеспечения этого процесса, вы подвергаете свою компанию более высокому риску, связанному с последствиями внешних атак», — говорит Девид Соул, исполнительный вице-директор и директор информационной службы страховой компании Zurich North America.
На практике трудно оценить урон, который может быть нанесен в результате хакерских атак. Можно оценить ущерб от вирусной атаки или от потери информации. Но как подсчитать ущерб, нанесенный репутации организации? Как правильно оценить ущерб от недополученной прибыли? Многие, и автор этой статьи в их числе, считают, что нельзя отвлекать ИТ-персонал от их прямых обязанностей для решения задач безопасности, потому что решение бизнес-задач отодвинет задачи обеспечения безопасности на задний план. Ведь основное дело компании — получать прибыль, а не обеспечить собственную безопасность.
Поиск талантливых профессионалов по безопасности может быть весьма трудным, а переподготовка имеющихся кадров в области ИТ и новичков в области безопасности — долгой и дорогостоящей. Возможен еще один вариант — привлечение внешних компаний для решения проблем безопасности. Но в этом случае вы должны будете избрать ту компанию, которой вы готовы доверить все свои секреты.
Менеджеры, ведущие поиск талантливых, опытных специалистов по безопасности, знают, что их не так много. Разрыв между спросом и предложением на таких специалистов очень велик.
Рекомендации по подбору персонала
- Вам нужно понять, для чего вы нанимаете специалиста. Ни один уважающий себя профессионал в области безопасности не захочет работать в компании, которая не понимает, для чего его нанимают.
- Будьте готовы, что квалифицированная помощь стоит дорого.
- Индустрия безопасности — очень закрытая область, поэтому стоит заранее обратить внимание на специалистов из секретных служб, армии.
Университеты, которые имеют хорошие учебные программы с курсами по информационной безопасности, также могут предоставить начинающих специалистов.
- Можно искать специалистов в компаниях, предоставляющих услуги по безопасности.
Если вы по тем или иным причинам не желаете или не можете искать специалистов на стороне — обратите внимание на собственный персонал. Перед вами обязательно встанут вопросы отбора кандидатов и их обучения. Наиболее подходящие кандидаты — сетевые администраторы. Они обладают хорошими техническими знаниями и некоторым представлением о решении проблем безопасности. Кандидаты для переподготовки должны быть добровольцами. Нельзя заставить заниматься безопасностью «из-под палки». При отборе кандидатов обращайте внимание на наличие навыков межличностного общения. Основное в работе сотрудника информационной безопасности — умение общаться с людьми. Эта работа связана не только и не столько с техникой и технологиями, сколько с умением говорить с людьми, заниматься организационными вопросами, писать документы и даже быть немного психологом! Кроме того, если человек занимается безопасностью, то он должен понимать, что на этой работе друзей у него нет! Ведь ему всегда нужно понимать, что предают только свои!
ИТ-специалисты и значительная часть ИТ-руководителей нередко воспринимают ИТ как привлекательную дорогую игрушку, которую хочется «потрогать», изучить, проверить на прочность и т. п. Проблемы предприятия, в том числе проблемы информационной безопасности, этих людей волнуют в той степени, в какой позволяют приобретать эти самые игрушки за деньги предприятия.
Чтобы ИТ-инженеры стали специалистами по информационной безопасности, должны измениться акценты их сознания. Им следует не развлекаться с ИТ-игрушками, а защищать предприятие. Вероятно, это самое сложное — научить людей мышлению охранников, защитников рубежей своего предприятия или организации. Это все равно что из разгильдяев мальчишек сделать солдат и офицеров — защитников Отечества.
Итак, вы набрали кандидатов в подразделение. Чему их следует учить?
В учебную программу должны входить:
- теоретические и методологические основы защиты информации;
- правовые основы защиты информации;
- основы криптографии;
- основы сетевой информационной безопасности;
- аудит информационной безопасности;
- создание организационных документов в области защиты информации (политика безопасности, правила при работе в Internet, правила работы с электронной почтой, политика аутентификации и пр.).
Вы скажете, что это слишком много. Можно обойтись лишь антивирусными программами, файерволами, системами обнаружения вторжений и т. д.
На самом деле нет. Попробуем продемонстрировать это на примере использования электронной почты.
Предположим, ваш сотрудник систематически передает информацию конкурентам посредством электронной почты. Что вы можете сделать, если обнаружили это? Оказывается — ничего! Если вы начнете проверять его почту (организационных документов у вас в фирме нет, напомню), то сразу возникнет вопрос — что нарушил ваш сотрудник? Положение о коммерческой тайне? Так его нет. Положение о недопустимости отсылки подобных документов через Internet? А каких подобных? Кроме того, ведь вы сами нарушаете Конституцию, в частности ее главы о личной переписке. Пока не принят документ о том, что вся переписка принадлежит фирме, по закону она личная! Итак, я надеюсь, вы поняли, что без юридически значимых документов вы не сможете привлечь к ответственности вашего сотрудника. Мало того, еще и вас могут привлечь к суду.
Предположим, что вы создали подразделение, нашли хороших работников, теперь вы должны их удержать. Инструменты, признание значимости и высокий уровень оплаты — вот основные факторы успеха.
Инструменты. Профессионалы, работающие в области информационной безопасности, стремятся стать профессионалами с большой буквы, асами своего дела, специалистами на вершине пирамиды. Использование самых новых инструментов и технологий позволит им чувствовать себя на передовых рубежах своей профессии. Если вы обладаете разнообразной информационной средой, не забудьте сказать им об этом. Среди самых желанных «игрушек» для специалистов по безопасности можно назвать Nessus, LAN Guard, XSpider (сканеры сетевой безопасности), Snort (инструментарий обнаружения атак), RAT (Router Analysis Tool, системный тестер маршрутизаторов).
Признание значимости. Для привлечения кандидатов в качестве дополнительных стимулов предложите им оплату переподготовки, сертификации и участия в конференциях. Несмотря на то что большинство экспертов в области информационной безопасности считают, что сертификация не столь необходима, как навыки и опыт, наличие сертификата по окончании курсов поднимает их престиж в глазах учащихся и заставляет относиться серьезнее к процессу обучения. Такие производители инструментов по безопасности, как Symantec, Cisco Systems и Check Point Software Technologies, представляют собственные курсы подготовки по своим продуктам. Но такие курсы стоят очень дорого. Специалисты по безопасности «расцветают» от признания заслуг. Они могут потерять интерес к работе, если не чувствуют поддержку руководства. Это, конечно, справедливо для любой категории работающих, но специалисты этого профиля имеют самый широкий доступ ко всем вашим секретам. Поэтому в спорах между сотрудниками ИТ и сотрудниками ИТ-безопасности необходимо находить золотую середину (безопасность не мешает бизнесу, бизнес не мешает безопасности). Однако следует помнить о разумной достаточности безопасности. Если ваши секреты стоят 10 тыс. долл., то неразумно покупать систему безопасности за 100 тыс. долл.
Высокий уровень оплаты. Это основной инструмент признания. Не забывайте, что зарплата специалиста по безопасности должна быть на высоком уровне.
Необходимо, чтобы ваши сотрудники регулярно отслеживали угрозы с помощью таких ресурсов, как www.bezpeka.com (Украина), www.security-lab.ru (Россия), www.bugtraq.ru (Россия) и многие-многие другие.
Безусловно, ни одна из указанных мер вам не поможет, если ваши специалисты в области ИТ не понимают необходимости введения мер безопасности.
Вместе с тем хотелось бы предостеречь сотрудников отделов информационной безопасности от опасности «задрать нос» и мыслей о том, что их будут бояться из-за статуса, а значит, будут слушать и уважать. Решающую роль в обеспечении безопасности будет решать их реальный авторитет как специалистов в своей области, а не статус и тем более не страх! Для успеха необходимо полноценное взаимодействие со всеми сотрудниками фирмы. Реально информационной безопасностью на фирме занимаются все! Служба ИБ — только контролирует, обучает и управляет усилиями пользователей, от уборщицы до директора. Первой и главной задачей сотрудников службы является умение зарабатывать реальный авторитет не статусом, не словами, а делами.
Источник
Бизнес-идея агентства по защите информации
Всем доброго дня! Сегодняшняя бизнес-идея будет отличаться своей новизной и интересом .
Дело в том, что технологии не стоят на месте, а главным критерием для людей в сети становится защита их личной информации.
Не открою Америку если скажу, что сегодняшним хакерам не составит труда взломать любой работающий компьютер.
Хорошо если этот компьютер будет домашним и без всякой сенсационной информации, а если Вы крупное новостное агентство? Представляете последствия.
Мы сегодня не станем делать что-то вроде лаборатории Касперского, а создадим свое агентство по предоставлению безопасного соединения в сети интернет для любых пользователей.
Бизнес на агентстве по защите информации
Основателями данного дела или лучше сказать идейными представителями стали два молодых программиста- Девид Городянский и Евгений Молобродский.
Честно сказать я не знаю из какой страны эти ребята, но фамилии точно не американские:).
В общем то эти два молодых человека, немного поразмыслив над ситуацией в мире, пришли к выводу, что в настоящее время главной проблемой всего человечества станет защита информации в интернете.
Толчком к началу продумывания идеи стали события «арабской весны».
Вышеуказанные товарищи смекнули что к чему и решили, что надо изобрести такую технологию, которая позволяла бы общаться в интернете один на один без возможности вмешаться третьей стороне.
Итогом их размышлений стал сайт, который вскоре получил название анонимайзер и позволял отправлять необходимую информацию непосредственно с ограниченной сети, при этом все сведения о компьютере с которого отправлялись данные стала теперь недоступна.
Эта технология по началу не воспринималась всерьез. Однако как я уже сказал события «арабской весны» привели к тому, что данный сайт стал чуть ли не самым популярным у работников средств массовой информации.
Дело в том, что журналисты в гуще событий становятся что-то вроде непосредственных шпионов и они рискуют быть обнаруженными.
Поэтому переданная ими информация должна быть хорошо засекречена.
Таким образом новостные агентства не побрезговали воспользоваться на тот момент самым действенным способом по защите переданной им информации и стали активно использовать анонимайзер там где «жарко».
Вскоре данный сайт стал активно использоваться при военном перевороте в Египте. Тогда бунтовщики стали договариваться о встрече непосредственно через вышеуказанный сервис.
Это прямо таки подрывало безопасность стран и анонимайзер в ряде стран решено было закрыть.
Однако нашим героям суждено было стать известными и уже к 2011 году в их компанию было вложено около 50 000 000 долларов, что позволило ребятам всерьез заняться своим детищем.
Сейчас их компания достигла огромных высот и представляет собой что-то вроде частной виртуальной сети или VPN.
Как организовать бизнес на защите личной информации
Перед тем как начинать бизнес по защите личной информации в Интернете — подготовьте бизнес-план этого непростого дела.
Сейчас в вышеуказанной компании трудиться около 50 человек со всего мира. Но как же все началось ?
Примерно год назад в сети появилось интервью непосредственных основателей анонимайзера. Как признались сами ребята, главное не то что Вы знаете, а то сколько вокруг Вас умных людей.
Для того чтобы открыть свое агентство по защите информации необходимо во-первых создать нормальную рабочую атмосферу и собрать вокруг себя талантливых программистов.
Защита информации подразумевает не малые затраты прежде всего морального толка. Вы должны будете создать такой сервис, который будет предоставлять пользователю полную анонимность и возможность пользоваться компьютером, при этом будучи неизвестным.
Во- вторых Вы должны быть настойчивы в принятии решений. Дело в том, что основание вышеуказанного проекта граничило с долей риска.
Ведь основатели анонимайзера хоть и дают свободу пользователям сети, но и при этом идут против некоторых правительственных рамок, обеспечивающих внутриполитическую защиту отдельно взятого государства.
Наверное поэтому данный сервис закрыт в Китае. Его сочли опасным наравне с гуглом и фейсбуком.
Ну и в конце ребята советуют не пользоваться никакими онлайн тренингами и покупать себе помощников. Пусть Вы включите их в свое дело, но не купите их знания.
Единственным источником информации должен исходить от Ваших партнеров по бизнесу, которые также как и Вы будут стремиться сделать его успешным, а не содрать с Вас денег.
Надеюсь данная идея была вам полезна.
Бесплатные консультации по бизнесу Вы можете получить в моей группе ВК «Новые бизнес-идеи и планы«.
Источник