Начало
Обучение
Методология
Литература
Аналитика
Контакты







Новости

26.12.2016. Мошенники используют скиммеры в виде банкомата

 >>


26.12.2016. Международной конференции по информационной безопасности "Securitatea Informationala —...

 >>


22.12.2016. Раскрыта самая масштабная киберафера столетия

В России разоблачили самую масштабную кибераферу столетия, на которой хакеры зарабатывали миллиарды долларов... >>


22.12.2016. Осторожно! Махинации с кредитками и «подозрительные звонки» под Новый год

В преддверии новогодних праздников участились случаи мошенничества с банковскими картами. >>


22.12.2016. «Лаборатория Касперского» прогнозирует непростой год

Специалисты исследовательского центра GReAT «Лаборатории Касперского» выпустили прогноз на 2017 год. В нем они раскрыли основные тенденции в мире... >>


16.12.2016. Сотрудники Evernote хотят читать заметки пользователей

Разработчики "заметочного" сервиса Evernote обновили политику конфиденциальности, наделив себя правом читать закрытые записи пользователей... >>


16.12.2016. Обновление Windows 10 обвинили в отключении компьютеров от интернета

Пользователи пожаловались на отключение интернета на своих компьютерах после установки свежего обновления Windows 10... >>


16.12.2016. Половина всех сайтов в мире потенциально опасны

Согласно исследованию, подготовленному американской ИБ-компанией Menlo Security, 46% из миллиона самых популярных доменов работают на уязвимом ПО... >>


05.12.2016. Компьютерный 2016 год будет на секунду длиннее

NTP-серверы Google помогут компьютерам «переварить» лишнюю секунду, которую добавят к всемирному координированному времени, чтобы согласовать ход... >>


05.12.2016. Google закрыла 12 опасных брешей в Chrome

Google призывает пользователей Windows, Mac и Linux обновить свои браузеры Chrome >>


05.12.2016. Украдены данные 420 000 покупателей онлайн-магазина

Крупная японская косметическая компания Shiseido Co. объявила об утечке данных, в том числе и финансовых, о 420 000 покупателей >>


28.11.2016. Осторожно, кибератаки: чем опасен новогодний шопинг

Эксперты по защите от хакерских атак предупреждают об интенсивных кибератаках в период зимних праздников >>


28.11.2016. Почти четверть всех публичных точек Wi-Fi в мире не защищены

«Лаборатория Касперского» проанализировала статистику сети Kaspersky Security Network, чтобы выявить надежность защиты беспроводных точек Wi-Fi в различных... >>


28.11.2016. Разработано ПО для прослушивания жертвы через наушники

Университет Бен-Гуриона в Израиле разработал программу Speake(a)r, которая заставляет наушники работать наподобие микрофона, используя малоизвестную... >>


14.11.2016. Устройство, которое поможет незрячим читать без использования шрифта Брайля

Для того чтобы почитать книги, газеты и любой другой напечатанный текст, слабовидящие люди вынуждены использовать шрифт Брайля или специальные... >>


14.11.2016. Facebook купила инструмент для слежения за популярностью контента CrowdTangle

Facebook анонсировала приобретение инструмента CrowdTangle, позволяющего издателям следить за популярностью контента в Интернете... >>


14.11.2016. Проблема с WebView позволяет инициировать звонки на iOS

Разработчикам продуктов для iOS, внедрившим компонент WebView в мобильные приложения, следует знать об эксплуатируемой уязвимости >>


08.11.2016. Россия – наиболее атакуемая банкерами страна

Эксперты «Лаборатории Касперского» обнародовали данные по угрозам за третий квартал. >>


08.11.2016. Photoshop для звука: новый аудиоредактор Adobe имитирует голос любого человека после 20 минут обучения

Разработчики признаются, что они прекрасно понимают, что подобный инструмент в руках мошенников может представлять собой опасное оружие... >>


08.11.2016. Банковский троян Svpeng атакует российских пользователей Android Chrome

За два месяца жертвами вредоноса стали примерно 318 тысяч пользователей из России и СНГ. >>


04.11.2016. Hitachi задействует камеру смартфонов для идентификации владельцев по рисунку вен

Компания Hitachi предлагает альтернативный метод биометрического определения личности — анализ рисунка вен на пальцах... >>


04.11.2016. В Facebook сидит четверть населения планеты

По результатам третьего квартала 2016 г. количество пользователей, которые хотя бы раз в месяц заходят в Facebook, составило 1,79 млрд человек... >>


04.11.2016. "ВКонтакте" и "Одноклассники" предупредят пользователей о ЧС

Соцсети "Одноклассники" и "ВКонтакте" будут предупреждать своих пользователей о чрезвычайных ситуациях. >>


17.10.2016. В украинском законодательстве наконец-то четко прописаны критерии принадлежности устройств к категории "специальных технических средств для снятия информации с каналов связи и других технических средств негласного получения информации" и установлен их перечень

22 сентября 2016 года Кабинет Министров Украины утвердил Постановление №669 "Некоторые вопросы, касающиеся специальных технических средств для снятия... >>


05.10.2016. Web-приложения – «ахиллесова пята» кибербезопасности

 >>


03.10.2016. Банкиров предупреждают: биометрические пароли в опасности

Отпечатки пальцев могут попасть в руки преступников быстрее, чем кажется >>


03.10.2016. Кибермошенничество набирает обороты — Европол

В Европоле отмечают, что мошенники пользуются зависимостью общества от технологий и Интернета >>


03.10.2016. Web-приложения – «ахиллесова пята» кибербезопасности

К 2021 году мировой ущерб от деятельности киберпреступников составит $6 трлн. >>


16.09.2016. Глава ФБР рекомендовал в целях безопасности заклеивать веб-камеры

 >>


31.08.2016. 1,7 млн. пользователей Opera должны сменить пароль

Компания Opera Software предупредила 1,7 млн. пользователей ее браузера о возможной компрометации паролей, используемых в рамках службы синхронизации... >>


31.08.2016. Сервис единой авторизации OneLogin стал жертвой кибератаки

Атаке подверглась система Secure Notes, где пользователи OneLogin сохраняют свои учетные данные для авторизации в приложениях... >>


31.08.2016. GOOGLE ОТКАЗАЛАСЬ ИСПРАВИТЬ БАГ НА СТРАНИЦЕ ЛОГИНА, ПРИВОДЯЩИЙ К СКАЧИВАНИЮ МАЛВАРИ

Независимый исследователь Айдан Вудс (Aidan Woods) обнаружил уязвимость на странице авторизации Google, которую компания не может исправить... >>


17.08.2016. МВД и ФБР будет вместе бороться с киберпреступностью

 >>


17.08.2016. США: Вирусы против киберпреступности

 >>


27.06.2016. Список секретных кодов USSD для разблокировки скрытых настроек iPhone

Сервисные коды используются для быстрого доступа к различным функциям мобильных устройств, часто скрытым. >>


27.06.2016. Эксперт представил способ похищения данных через кулер компьютера

Разработанный исследователем способ позволяет похищать данные с физически изолированных компьютеров. >>


27.06.2016. Хакеры случайно раскрыли данные 154 млн американских избирателей

Исследователь Крис Викери (Chris Vickery) известен тем, что на досуге находит в сети оставленные без присмотра базы данных... >>


07.06.2016. Обнаружен новый вид вредоносного ПО для POS-терминалов

 >>


31.05.2016. Facebook начал отслеживать всех пользователей интернета

Facebook расширил рекламную сеть на всех пользователей глобальной сети. >>


31.05.2016. Укрпочта начинает тесты доставки посылок дронами

Тестовый полет состоится в Буче Киевской области 1 июня >>


31.05.2016. Правительственные учреждения используют компьютерные системы полувековой давности

Многие правительственные учреждения, включая министерство обороны, министерство финансов и Управление социального обеспечения до сих пор используют... >>


24.05.2016. Skype вводит ограничение на объём передаваемых файлов

На официальном сайте техподдержки популярного VoIP-сервиса Skype сообщается об изменениях в алгоритме обмена файлов между пользователями... >>


24.05.2016. Сетевое оборудование Ubiquiti атакует червь

Компания Ubiquiti Networks, специализирующаяся на поставках продуктов для беспроводной передачи данных, борется с упорным червем, нацеленным на устаревшие... >>


24.05.2016. Google изучит склонность искусственного интеллекта к творчеству

Первого июня официально стартует новый научно-исследовательский проект Google — Magenta, который займется поиском творческих навыков у искусственного... >>


12.04.2016. ОЧЕРЕДНОЙ 0-DAY В ADOBE FLASH PLAYER ИСПОЛЬЗУЕТСЯ ДЛЯ РАСПРОСТРАНЕНИЯ ВЫМОГАТЕЛЕЙ

Всем, кто по какой-то причине до сих пор пользуется Adobe Flash Player, срочно пора обновиться. >>


12.04.2016. Злоумышленники заработали $2,3 млрд на Email-фишинге

ФБР наблюдает рост количества BEC-атак на компании во всем мире. >>


12.04.2016. WORDPRESS РАЗДАЛ БЕСПЛАТНЫЕ SSL-СЕРТИФИКАТЫ СВОИМ ПОЛЬЗОВАТЕЛЯМ

Команда разработчиков WordPress постоянно пытается исправить ситуацию и улучшить безопасность платформы. Очередным шагом в данном направлении стало... >>


08.04.2016. В Украине накрыли бот-сеть Mumblehard российских хакеров

 >>


25.03.2016. В Android нашли серьезную уязвимость

Хакеры могут получить контроль над устройством на Android >>


25.03.2016. ДЛЯ БОРЬБЫ С МАЛВАРЬЮ В OFFICE 2016 ПОЯВИЛАСЬ НОВАЯ ФУНКЦИЯ БЛОКИРОВКИ МАКРОСОВ

Отключить автоматическое выполнение макросов в Microsoft Office можно было и раньше, и у многих пользователей оно отключено... >>


25.03.2016. КОМПАНИЯ VERIZON ПОСТРАДАЛА ОТ ВЗЛОМА, ХАКЕРЫ ПРОДАЮТ ДАННЫЕ 1,5 МЛН ПОЛЬЗОВАТЕЛЕЙ

Бизнес-подразделение компании Verizon — Verizon Enterprise Solutions пострадало от утечки данных >>


24.03.2016. ТОП-6 самых распространенных схем мошенничества с пластиковыми картами

 >>


18.03.2016. Украинские разработчики запустили бесплатный геолокационный сервис взаимопомощи Chummy

Украинские разработчики запустили бесплатное приложение для iOS — Chummy. >>


18.03.2016. ДЛЯ ВЗЛОМА УЯЗВИМЫ ПОЧТИ ВСЕ УСТРОЙСТВА ANDROID НА БАЗЕ ПРОЦЕССОРОВ SNAPDRAGON

Эксперты компании Trend Micro обнаружили очень опасную проблему >>


18.03.2016. Хакеры атаковали десятки банков, рассылая вредоносные письма от имени ЦБ

Десятки российских банков подверглись целевой атаке хакеров >>


09.03.2016. Платежная система Dwolla оштрафована за фактическое отсутствие защиты пользовательских данных

Американская платежная система Dwolla была оштрафована на $100 тысяч в связи с обманом потребителей. >>


09.03.2016. Банки будут тратить больше средств на киберзащиту

Регуляторы предлагают изменить формулу подсчета капитала, необходимого на покрытие потенциального ущерба от кибератак и мошенничества... >>


09.03.2016. В iOS обнаружили четыре уязвимости, позволяющие обойти пароль на iPhone

Пользователь iPhone и iPad может обойти парольную защиту с помощью специально составленных запросов к голосовому помощнику Siri >>


02.03.2016. Новые проекты Mozilla для умного дома и сетевых потребительских устройств

После прекращения разработки Firefox OS для смартфонов внимание организации Mozilla сосредоточилось на развитии технологий для сетевых потребительских... >>


02.03.2016. Acecard поставил под угрозу более 30 финансовых приложений

Эксперты «Лаборатории Касперского доложили об обнаружении нового банковского троянца для Android, который получил название Acecard... >>


02.03.2016. В 2015 году были скомпрометированы 707 млн записей

Согласно отчету компании Gemalto, в 2015 году администраторам баз данных пришлось нелегко >>


19.02.2016. Обнаружен троян для OS X, способный обходить антивирусы

Вирус обладает широким рядом функций и использует несколько технологий по предотвращению обнаружения. >>


19.02.2016. Анонс: Международный выставочный форум "Технологии защиты/ПожТех — 2016" пройдёт в Киеве

С 11 по 14 октября 2016 г. в Киеве пройдёт XV Международный выставочный форум "Технологии защиты/ПожТех — 2016". >>


19.02.2016. Обнаружен способ раскрытия данных на компьютерах, не подключенных к интернету

Исследователи смогли раскрыть данные, изучая электромагнитное излучение ПК. >>


16.02.2016. Что точно не стоит делать со своим Android-смартфоном

Смартфон — устройство, без которого сегодня сложно обойтись. >>


16.02.2016. Найден способ восстановить работу iPhone, «убитых» переводом даты на 1 января 1970 года

Пользователи сети обнаружили способ вернуть к жизни iPhone, которые вывели из строя переводом системной даты в настройках устройства... >>


16.02.2016. ОДИН ИЗ САЙТОВ MICROSOFT РАЗГЛАШАЛ ДАННЫЕ ПОЛЬЗОВАТЕЛЕЙ

Исследователь Крис Викери (Chris Vickery) известен тем, что постоянно находит в сети уязвимые базы данных. >>


11.02.2016. Міжнародна науково-практична конференція ІНФОРМАЦІЙНА ТА ЕКОНОМІЧНА БЕЗПЕКА (INFECO)

 >>


09.02.2016. Тысячи сотрудников Министерства внутренней безопасности США стали жертвой утечки данных

Неизвестный хакер взломал электронную почту одного из сотрудников Минюста США и похитил базы данных. >>


09.02.2016. Новое семейство троянов для ANDROID внедряется в системные процессы

Эксперты компании «Доктор Веб» сообщают, что угрозы для мобильных устройств становятся все сложнее. >>


09.02.2016. Анонс: XIII МЕЖДУНАРОДНАЯ СПЕЦИАЛИЗИРОВАННАЯ ВЫСТАВКА "ОРУЖИЕ И БЕЗОПАСНОСТЬ — 2016"

На выставке будут представлены вооружения, военная и специальная техника, средства защиты, а также технологии и товары двойного назначения... >>


05.02.2016. Хакеры взломали 20 млн учетных записей пользователей торговой площадки Alibaba

Преступники использовали скомпрометированные учетные записи для оформления фальшивых заказов. >>


05.02.2016. В продуктах Cisco исправлен ряд опасных уязвимостей

Ошибки позволяли изменить конфигурацию устройств, осуществить DoS-атаку и повысить привилегии. >>


05.02.2016. ХАКЕРЫ АТАКУЮТ WORDPRESS С ЦЕЛЬЮ РАСПРОСТРАНЕНИЯ ВРЕДОНОСНОЙ РЕКЛАМЫ

Компания Sucuri сообщает, что ресурсы, работающие под управлением WordPress, в очередной раз стали мишенью для хакеров... >>


29.01.2016. Новые рекорды DDOS: пиковая мощность атак достигает 450-500 гбит/сек

Компания Arbor Networks обнародовала 11 ежегодный отчет, рассказывающий о безопасности общемировой сетевой инфраструктуры... >>


29.01.2016. «Вечная» блокировка Rutracker практически не повлияла на посещаемость ресурса

В понедельник Роскомнадзор добавил ресурс Rutracker в список запрещённых сайтов, на сегодняшний день его заблокировали 94% российских провайдеров... >>


29.01.2016. Microsoft огласила список новых ПК, на которых будет работать старая Windows

На сайте Microsoft появился список ПК с процессорами Intel Skylake, для которых Microsoft продолжит выпускать обновления Windows 7 и 8... >>


26.01.2016. Ущерб от кибератак в России составил 4 миллиарда долларов в 2015 году

Главной причиной финансовых убытков стали целенаправленные атаки на организации, халатные действия сотрудников компаний и невнимательность... >>


26.01.2016. Amazon заподозрили в разглашении личных данных пользователей

Клиент Amazon Эрик Спрингер заявил в личном блоге на платформе Medium, что из-за доверчивости службы поддержки онлайн-магазина его личные данные неоднократно... >>


26.01.2016. APPLE ИМЕЕТ ДОСТУП К ДАННЫМ ПОЛЬЗОВАТЕЛЕЙ, НЕВЗИРАЯ НА END-TO-END ШИФРОВАНИЕ

Пользователи iCloud Backup не могут быть на сто процентов уверены в неприкосновенности своих данных. >>


25.01.2016. Знакомство с решением Microsoft по предотвращению утечек данных

Информационная безопасность » Знакомство с решением Microsoft по предотвращению утечек данныхВ современном мире обмен информацией всё более ускоряется... >>


22.01.2016. Минобороны США заказало чипы, вживляемые в мозг

Американские исследователи попытаются совершить важный шаг на пути к созданию первых кибернетических организмов... >>


22.01.2016. GOOGLE уверяет, что уязвимость в ядре LINUX неопасна для ANDROID

Представители Google отреагировали на заявления компании Perception Point, два дня назад рассказавшей о критической уязвимости... >>


22.01.2016. Хакеры не рекомендуют обновляться на iOS 9.2.1 из-за закрытой джейлбрейк-уязвимости

В обновлении iOS 9.2.1 разработчики компании Apple закрыли важную джейлбрейк-уязвимость >>


21.01.2016. "Китайский Твиттер" отменит лимит в 140 знаков с 28 января

Сервис микроблоггинга Sina Weibo, популярный в Китае настолько, что его называют "китайским Твиттером", скоро отменит ограничение длины сообщения в... >>


21.01.2016. Хакера из Украины обвиняют в хищении данных с более чем 13 тысяч компьютеров

 >>


19.01.2016. Apple не исправила уязвимость Gatekeeper в OS X спустя три месяца после обнаружения

Apple не исправила уязвимость Mac, обнаруженную в октябре прошлого года исследователем компании Synack Патриком Уордлом... >>


19.01.2016. Безопасность АЭС оставляет желать лучшего

Чаще всего эксперты сталкивались с попытками получения несанкционированного доступа к компьютерным системам, внедрения вредоносного кода... >>


19.01.2016. «Умные» часы могут использоваться для перехвата секретной информации

С помощью алгоритма глубинного обучения эксперт научил искусственную нейронную сеть интерпретировать сигналы датчиков «умных» часов... >>


15.01.2016. Microsoft устранила ряд уязвимостей в IE, Edge и продуктах Office

На эту неделю пришёлся второй вторник месяца — обычное время выпуска обновлений безопасности от Microsoft. >>


15.01.2016. Обнаружен новый шифратор, маскирующийся под Google Chrome

Эксперты международной антивирусной компании ESET предупреждают пользователей о появлении нового троянца-шифратора, маскирующегося под популярный... >>


15.01.2016. Новый RAT нацелен на шпионаж, обходит защиту

Исследователи из Arbor Networks обнаружили нового RAT-троянца, позволяющего шпионить за пользователями. >>


12.01.2016. Турецкий хакер приговорен к рекордному сроку

За кражу данных кредитных карт 11 человек и их последующей продажи хакерам суд постановил приговорить его к 135 годам тюремного заключения... >>


13.01.2016. Арестованы создатели вредоносного ПО Tyupkin

 >>


12.01.2016. Китай начал исследования в области 5G-связи

Министерство промышленности и информационных технологий Китая объявило о начале исследований в области мобильных сетей пятого поколения... >>


12.01.2016. С 12 января Microsoft прекращает основную поддержку Windows 8

12 января истекает срок основной поддержки операционной системы Windows 8 >>


08.01.2016. Мошенники атакуют пользователей Dell

Компания не подтверждает, но и не опровергает факт утечки данных пользователей. >>


08.01.2016. Panasonic разработала для Facebook систему "холодного" хранения данных

Японская корпорация Panasonic в сотрудничестве с Facebook разработала новую систему хранения больших массивов данных на оптических дисках... >>


08.01.2016. MICROSOFT ПРЕКРАТИТ ПОДДЕРЖКУ БРАУЗЕРА INTERNET EXPLORER ВЕРСИЙ 8, 9 И 10 НА СЛЕДУЮЩЕЙ НЕДЕЛЕ

Компания Microsoft объявила о том, что на следующей неделе, а если точнее, 12 января, прекратит поддержку браузера Internet Explorer версий 8, 9 и 10... >>


08.01.2016. Мошенники атакуют пользователей Dell

 >>


29.12.2015. ASUS и AdBlock объявили войну назойливой интернет-рекламе

Производитель электроники ASUS и разработчик блокировщика интернет-рекламы AdBlock заключили соглашение, согласно которому последний с 2016 года будет... >>


29.12.2015. В СЕТЬ УТЕКЛИ ДАННЫЕ 191 МЛН АМЕРИКАНСКИХ ИЗБИРАТЕЛЕЙ

На этот раз «улов» эксперта составляют более 300 Гб личных данных американских избирателей. >>


29.12.2015. Исследователь заявил об уязвимости в системе охраны резиденции Путина

 >>


29.12.2015. Обзор инцидентов безопасности за прошлую неделю

 >>


29.12.2015. Adobe выпустила экстренный патч для критических уязвимостей в Flash Player

Одна из уязвимостей в настоящее время активно эксплуатируется в целевых атаках. >>


31.12.2015. Tor Project запускает программу вознаграждений за обнаружение уязвимостей

 >>


Последние новости.
В начало библиотеки
Информационная безопасность – центр затрат или прибыли?

Информационная безопасность – центр затрат или прибыли?

Информационная безопасность – центр затрат или прибыли? Особенностью современного этапа развития информационной безопасности стало то, что служба ИБ и ее руководитель (CISO) должны из поддерживающей функции превратиться в одно из бизнес-подразделений, которое, пользуясь своим уникальным положением и знаниями, может привнести новую струю в развитие компании. Поможет ли это уйти от имиджа ИБ как «черной дыры», съедающей все деньги?

Распространенная точка зрения на рынке ИБ состоит в том, что безопасность – это изначально затратное мероприятие, к которому компании должны быть готовы. В лучшем случае мы способны продемонстрировать потенциальные потери, от которых защищаемся. Иными словами, все действия по защите информации напоминают добровольную страховку от каких-либо проблем, которые могут произойти в будущем. Если повезет, то такая страховка будет обязательной, – именно поэтому столько говорят о стандарте Банка России, PCI DSS, законе «О персональных данных» и других регулятивных требованиях, многие из которых являются обязательными к исполнению. Можно ли уйти от имиджа ИБ как «черной дыры», съедающей все деньги или этому не суждено сбыться?

Отношения бизнеса и безопасности зашли в тупик

Небольшой экскурс в историю развития тех отношений, которые и стали причиной текущего отношения к ИБ со стороны бизнеса и, соответственно, к бизнесу со стороны ИБ. Изначальный, ставший зам традиционным, подход был техническим, ИТ-ориентированным. Безопасность была самоцелью. Бизнес был оторван от безопасности (или наоборот) – ни о какой привязке к бизнес-потребностям и речи не было. В результате отсутствовала долгосрочная стратегия – решались в основном тактические или оперативные задачи. Стандартизация была недосягаемой роскошью – о ней мало кто думал, решались лишь краткосрочные задачи. Архитектурный подход, позволяющий создать каркас, учитывающий решение новых проблем ИБ, не использовался вообще. Вместо построения защищенной инфраструктуры активно приобретались точечные продукты, мало интегрированные между собой.

Из чисто «технических» ИБ проблемы перерастали в не просто ИТ-последствия, а в обузу, негативно влияющую на бизнес. Ее основными чертами стало непрекращающееся «изобретение колеса». Как следствие – рост операционных затрат в неоднородном и не стандартизированном окружении.

Далее, по цепочке: сложность системной поддержки большого количества разрозненных систем,  интеграция не стыкуемых между собой систем «ИБ-зоопарка», сложность масштабирования, повышенные требования к специалистам и т. д. Результат всегда был один – снижение продуктивности работы пользователей, с одной стороны, и рост операционных затрат на содержание ИБ с другой стороны.

Если заниматься ИБ, то только комплексно

«Правильный» подход к информационной безопасности, учитывающий бизнес-аспекты деятельности компании, заключается в работе с пятью основными аспектами – технологическими и финансовыми ресурсами, бизнес-стратегией для ИБ, политиками и процедурами ИБ, а также культурой ИБ. В традиционной безопасности, описанной ранее, основной акцент делается на первый и четвертый пункт составляющих, напрочь забывая про стратегию бизнеса, культуру ИБ и вопросы финансирования.

Пять китов «правильной» ИБ

Источник: Cisco, 2008

Начнем со стратегии бизнеса.  Если вспомнить басню Крылова про лебедя, рака и щуку, то информационная безопасность сегодня находится именно в такой ситуации – цели ИБ не совпадают с целями бизнеса. Безопасность думает о криптографии, межсетевых экранах, антивирусах, восстановлении после катастроф, защите  хостов и т. д. Думает ли об этом бизнес? Вряд ли. У него совершенно иные заботы. Управление рисками, обеспечение непрерывности бизнеса, соответствие регулятивным требованиям (compliance), внутренний контроль, корпоративное поведение, рост лояльности клиентов, слияния и поглощения, географическая экспансия и многое другое – вот что его беспокоит.

Видно, что совпадений нет. Это как общение англичанина с китайцем – каждый общается на своем языке и не понимает другого.  В здесь должно, напротив, должно быть понимание потребностей родной компании, чтобы связать с ними процесс обеспечения ИБ.

Говоря о культуре ИБ, необходимо подчеркнуть, что это понятие все чаще стало встречается в разных публикациях. Оно красной нитью проходит через все рекомендации по повышению осведомленности сотрудников в области информационной безопасности. Именно культура позволяет снять зависимость компании от «узкого горлышка» в лице департамент ИБ, который не в состоянии решить все вопросы самостоятельно.

Пронизывающая все подразделения и все уровни иерархии в компании культура позволяет включить ИБ в любой процесс и в любое действие, производимое в компании. Причем чем выше культура, тем менее осознанно это будет происходить (как и должно быть на уровне рефлексов).

И, наконец, — вопросы финансирования. Как говорится «безопасность стоит дорого, но она того стоит». Однако, чтобы доказать выделение немалых инвестиций необходимо идти по пути борьбы с другими подразделениями, проектами и инициативами, которые тоже остро нуждаются в деньгах для своего существования.

Выигрывает не тот, кто сильнее, а тот, кто более приспособлен. Этот закон эволюции применим и к финансированию. В условиях борьбы за презренный металл побеждает тот, кто сможет лучше обосновать запрашиваемые ресурсы и доказать, что они не утекут, как вода из крана, а принесут определенную отдачу.

Как продемонстрировать бизнес-выгоду ИБ?

Будучи одним из внутренних процессов компании, информационная безопасность, как и все другие, должна быть направлена на достижение поставленных бизнесом целей. Если же никто из нас не может сказать, что ИБ дает бизнесу, то зачем мы вообще сидим на своем рабочем месте? Может, стоит заняться чем-то более понятным и адекватным?

Даже уборщица делает для бизнеса больше, чем типичный безопасник. Она чистит офис, делая работу в нем приятной, что благотворно влияет и на климат в коллективе, и на бизнес-показателей. А безопасник? Достаточно провести мини-опрос среди сотрудников или хотя бы руководителей бизнес-подразделений, и все сразу встанет на свои места – службу ИБ считают только мешающей бизнес-процессам. Она и будет помехой, пока мы не покажем ее преимущества тем, кто считает ее препятствием.

Если говорить о финансах, а именно они являются основным камнем преткновения для большинства подразделений ИБ, то надо четко понимать, что бизнес готов инвестировать в любые проекты (связанные с его деятельностью, конечно), которые принесут отдачу. Иными словами проект должен быть выгодным.

При наличии же множества не убыточных проектов, приоритет будет отдан тем, у которых срок возврата инвестиций меньше, чем у других. Однако не стоит считать, что надо искать прямую финансовую выгоду в проектах по ИБ (хотя в зависимости от проекта это можно сделать). Инвестиция может носить и неденежный характер, например, людские или временные инвестиции.

Не вдаваясь глубоко в тему доказательства бизнес-выгод от информационной безопасности, хочется только привести примеры и критерии позитивных результатов, ориентированных не на технологии.

Критерии и примеры бизнес-ориентированных проектов по ИБ

Источник: Cisco, 2008

Чтобы не быть голословными, рассмотрим в качестве примера проект по внедрению VPN-решения на предприятии. Обычно он инициируется топ-менеджерами, которые хотят получать доступ к корпоративным ресурсам удаленно во из командировок или отпуска. Т.е. налицо следование службой ИБ (или ИТ) за требованиями, спущенными сверху.

Если же посмотреть на это с точки зрения бизнеса, то ситуация будет выглядеть немного иначе. Что может увеличить доходы компании? Рост числа сделок или увеличение их объема. Обычно российский бизнес концентрируется на первой задаче, которая может быть достигнута за счет: увеличения непосредственно числа сделок и числа клиентов, разработки и выпуска новых продуктов, а также ускорения цикла продаж.

Как можно решить эти задачи? Вариантов достаточно много. Один из них – географическая экспансия, позволяющая расширить рынки сбыта. Такой сценарий может простираться от создания филиала в новом регионе, до выноса точки продаж в торговый центр или оснащение торговых (например, страховых) агентов карманными компьютерами.

В любом случае все элементы должны быть объединены в единое информационное пространство, что невозможно реализовать без технологий информационной безопасности и, в частности, VPN. А для вынесенных «в поле» точек продаж (Point of Sale, POS) помимо VPN необходимо применение межсетевых экранов (в т.ч. и персональных), антивирусов, систем предотвращения атак и т. д. Отсюда вытекает связанная цепочка «VPN > приближение точек продаж ближе к клиентам > рост числа клиентов > рост доходов».

Исходя из приведенного примера, в качестве заключения хотелось бы продемонстрировать немного измененную точку зрения на ИТ, которая сейчас превалирует среди западного бизнес-менеджмента, а также на плоскость информационной безопасности.

Люди из ИБ, которые сейчас тратит свыше 80% своих ресурсов на поддержание текущего уровня развития бизнеса, должно коренным образом поменять свой стиль работы и свое отношение к ней. На поддержку должно тратиться не более 15-20% выделенных финансовых или временных ресурсов. Более того, эти траты вообще не должны быть видны на уровне бизнеса.

Большинство текущих проектов по ИБ (да и ИТ тоже) относится именно к этой категории. Около 70% всех ресурсов должно уходить на вторую составляющую правильно выстроенного процесса ИБ – развитие бизнеса. Это значит, что мы от поддержки переходим к генерации новых идей (в контексте ИБ), которые позволяют нам реализовать что-то новое, оптимизирующее существующие или приносящее новые статьи доходов.

Приведенный выше пример с VPN как раз демонстрирует этот тезис. Подход к VPN как к реализации требования руководства – это поддержка бизнеса. Взгляд на VPN, как на один из сценариев увеличения доходов, — это как раз из области развития.

Третья же составляющая, лидерство, лишний раз показывает, что служба ИБ и ее руководитель должны из поддерживающей функции превратиться в одно из бизнес-подразделений, которое, пользуясь своим уникальным положением и знаниями, может привнести новую струю в развитие компании.

Ведь, по сути, служба ИБ, защищая информацию, имеет доступ ко всем источникам, на основании которых затем принимаются управленческие решения. При этом ИБ, в отличие от большинства подразделений, может окинуть единым взглядом все разрозненные «островки» информации.  И даже ИТ департамент не обладает такой «властью», т.к. он сконцентрирован только на электронных данных, а нормальная служба ИБ имеет дело и с бумажной информацией, и с другими формами ее представления. Именно в этом случае буква «C» в аббревиатуре CISO станет означать принадлежность к топ-менеджменту компании, как это принято во всем мире.

Алексей Лукацкий

www.cnews.ru



В начало библиотеки

Начало · Обучение · Методология · Литература · Аналитика · Контакты
PageRank v