Кому подчинить информационную безопасность?Источник: osp Олег Седов
Несмотря на то что на сегодняшний день известно не так много случаев масштабного сокращения персонала служб информационной безопасности или замораживания проектов, тем не менее тема последствий экономического кризиса не могла остаться без внимания участников Межотраслевого форума директоров по информационной безопасности. Начальник отдела информационной безопасности управляющей компании "Металлоинвест" Евгений Климов свое выступление посвятил рассмотрению вариантов подчиненности департамента информационной безопасности. По большому счету, основных вариантов три: генеральном директору либо совету директоров, департаменту ИТ или же департаменту безопасности. В первом случае достоинством будет общение напрямую с первым лицом. Тогда все решения, которые принимаются по вопросам информационной безопасности, будут независимыми от интересов других подразделений. Эффективность принятия этих решений также будет высока. Но к минусам стоит отнести неготовность менеджмента к управлению безопасностью. С первым лицом, которое занимается решением совсем других задач, крайне сложно обсуждать антивирусную защиту, внутренние угрозы, сетевые атаки и тому подобные вопросы. В случае подчинения ИТ-департаменту придется столкнуться с похожей проблемой. По словам Климова, ИТ-директора - это скорее технические специалисты, не обладающие достаточной финансовой квалификацией. Но в этом случае можно добиться высокой эффективности от взаимодействия департаментов по причине того, что информационная безопасность логично вписывается в услуги, представляемые ИТ-департаментом. Специалисты по безопасности будут участвовать в инфраструктурных проектах и, соответственно, будут хорошо разбираться в ИТ-системах компании. Кроме того, когда информационная безопасность является составной частью информационных сервисов, то образуется единый центр ответственности. К минусам стоит отнести зависимость от ИТ-руководства. Если в ходе внедрения системы выдвигаются требования с позиций безопасности, то ИТ-директор может не принять их во внимание, ссылаясь на сжатые сроки проекта и ограниченный бюджет. Сомнительным в этом случае будет выглядеть и контроль внутренних угроз, так как они, по мнению Климова, не относятся к сфере деятельности ИТ. В случае подчинения информационной безопасности подразделению физической и экономической безопасности обеспечивается наиболее комплексный подход. Например, при внедрении решения, контролирующего запись на внешние носители, которое позволяет оперативно выявить инцидент, не возникает никаких проволочек для задержания того или иного сотрудника. Кроме того, это означает независимость от ИТ-департамента в принятии управленческих решений. Плюс достигается наиболее эффективный контроль внутренних угроз, потому что это непосредственная задача любой службы безопасности. Но не все руководители служб безопасности готовы к такому сотрудничеству, поскольку они тоже мыслят иными категориями. Могут возникнуть и проблемы с точки зрения разделения ответственности между подразделениями ИТ и информационной безопасности. Вопросы законодательного регулирования информационной безопасности участники форума комментировали по-разному. С одной стороны, законотворческая деятельность даже в условиях кризисной экономики будет вынуждать предприятия оставаться в рамках законов, а для этого - внедрять и сертифицировать различные решения. С другой стороны, они признавали и то, что для бизнеса основной закон это бизнес. И если придется выбирать между соблюдением требований закона и бизнес-интересами, то выбор будет не в пользу первого. Консультант по безопасности компании Cisco Systems Алексей Лукацкий считает, что наличие закона - это скорее подспорье для поиска работы: "Если специалисты по информационной безопасности не смогут объяснить руководству свою важность помимо того, что они должны следить за соблюдением закона, то в перспективе таких специалистов будет немного". По словам Евгения Климова, основных вариантов подчинения службы нформационной безопасности три: генеральном директору либо совету директоров, департаменту ИТ, департаменту безопасности |