Итак, мы обсуждаем стратегию управления риском в информационной безопасности. Непростительно с нашей стороны будет не упомянуть некоторые специальные действия, которые следует предпринять. Вот некоторые из них:

• убедитесь, что все аудиторские проверки, включая и те, что связаны с доступом к документам и их модификации, безопасны от манипуляций и уклонений;

• требуйте, чтобы сотрудники ИТ следовали определенному коду поведения, который определяется высокой степенью доступа и ответственностью, возложенной на ИТ;

• контролируйте доступ к системам, которые содержат важную информацию и оповещайте всех о том, что такой контроль производится; уделяйте специальное внимание сотрудникам, входящим в системы, доступ к которым не предусмотрен их непосредственной деятельностью;

• связывайте права доступа с определенными ролями или позициями; устанавливайте четкие и известные всем ограничения; контролируйте их и обнародуйте результаты расследования, когда эти ограничения нарушены;

• тщательно обсуждайте с руководством своей компании все новые нормирующие акты, которые влияют на ваш бизнес; в современный набор входит закон Сарбанеса-Оксли и ШРАА(США), закон Турнбула (Turn-bull – Великобритания) и требования Basel II (Европа);

• введите у себя регулярные проверки; неформальные обсуждения проблемы с CIO разных компаний. У большинства компаний есть план действий в случае обнаружения прорехи в безопасности, но очень немногие из этих компаний тестируют его регулярно;

• установите четкие правила для хранения и управления электронными документами, включая объявления, электронные письма, документы в формате Word и многое другое, что относится к принятию решений и составлению отчетов.В этот момент вы имеет полное право задать вопрос о том, где взять деньги для реализации всех перечисленных задач. Не забывайте о том, что вы должны обеспечить баланс между угрозами и защитой. Поэтому, прежде всего, расставьте приоритеты для всех уже упомянутых проблем и определите их связь с вашей компанией. Во-вторых, запомните, что все проблемы управления риском – это не только проблемы ИТ; это проблемы всей компании и они должны трактоваться именно таким образом. Вы должны убедиться в том, что ваши коллеги по руководству компанией и совет директоров понимают все риски и необходимые меры, для их снижения в соответствии с корпоративными стандартами управления рисками. Затем надо принять решение на корпоративном уровне о том, как найти средства и ресурсы для снижения рисков и какой уровень риска считать приемлемым. Припомните, что многие возможные источники финансирования мы уже обсуждали. Многие из них вполне подходят для изыскания средств на проекты в сфере обеспечения безопасности.

Постоянно контролируйте мероприятия по безопасности и их стоимость

В заключение, мы хотим еще раз повторить, что безопасность – это процесс, а не состояние. Безопасность – это не цель, которую вы можете достичь. Это нечто такое, к чему вы можете стремиться в постоянно изменяющемся окружении.

Контролируйте все ваши меры в области обеспечения безопасности, прежде всего, для того, чтобы убедиться в том, что они сохранили свою эффективность, а, во-вторых, чтобы убедить себя и всю компанию в том, что они стоят вложенных в них средств. Вам также надо повторять весь процесс регулярно, поскольку риски и цена их снижения быстро меняется. Вы должны быть уверены в том, что вы по-прежнему защищены от самых серьезных рисков самым надежным и эффективным способом. Мы считаем, что очень скоро от большинства компаний правительственные агентства будут требовать информации о статусе своей безопасности. Меры по обеспечению безопасности в компаниях будут становиться все более серьезными и начнут потреблять до 15 % бюджета.

Применяя методы анализа, разработанные в компании Gartner, мы пришли к выводу, что стоимость снижения потерь от успешной атаки по крайне мере на 50 % выше, чем стоимость ее предотвращения. Компании, которые концентрируют внимание на реальных рисках и контролируют программы эффективности снижения рисков, получат самый высокий процент возврата от своих вложений в сферу безопасности. Лучше всего и дешевле всего в долгосрочной перспективе разработать работоспособную программу вместо того, чтобы в один прекрасный момент стать жертвой настоящей атаки.

Нормы отрасли для трат на безопасность и персонал, обеспечивающий ее, может дать представление об уровне расходов на защиту от рисков. Расходы на безопасность в промышленности выросли от 3,3 % ИТ-бюджета в 2001 году до 5,4 % бюджета в 2003 году. Более того, аналитики Gartner предсказывают, что этот процент будет расти вплоть до 2006 года. По мере продолжающегося роста расходов на безопасность многие СЕО будут спрашивать: «Наши расходы на обеспечение безопасности растут на 20 % в год. Улучшается ли ситуация?» Компании, которые увеличивают расходы на безопасность, но не следят за изменяющимися угрозами и не отслеживают показатели атак и защит, будут вынуждены под давлением отграничить или снизить свои расходы на безопасность.

Управление риском для компании, а не только для ИТ, будет частью ежедневных обязанностей нового CIO-лидера. Если вы не научились управлять всеми методиками и процедурами управления риском, то начинайте обучение сегодня. Вы именно тот человек, которому скорее всего придется обучать и вести за собой своих коллег в сфере рисков, связанных с технологией. В то же самое время вы должны активно изучать основную область корпоративного риска, за которую несете прямую ответственность – информационную безопасность. Как управление рисками информационной безопасности, так и управление общими корпоративными рисками очень важно для создания доверия к новому CIO-лидеру.

Глава 10 Рассказывайте о ваших достижениях

Представьте на минуту (если у вас достаточно воображения), что вы – CIO компании с многомиллиардным оборотом. Вы только что закончили презентацию плана крупной ИТ-инициативы в одном из бизнес-подразделений на совете директоров. В программе совета был объявлен небольшой перерыв, а вас пригласили остаться поговорить.

После того, как вы подумали, что уже уволены, один из членов совета, глава большого государственного пенсионного фонда, основного инвестора вашей компании, подходит к вам с пирожком в руке и говорит «Отличная презентация».

И не слушая ваших благодарностей, сразу переходит к делу.

«Я все поняла в вашем плане. Он разумен с точки зрения бизнеса. Теперь скажите мне вот что. Расходы на ИТ уже выросли с 7 % до 11 % за последние три года, после того, как вы стали у нас работать. А что мы получили от этого? Я имею в виду, какие реальные выгоды для бизнеса мы получаем от ИТ?»

Быстро! Что вы ответите?

Я думаю большинство CIO предпочтут две недели провести дома у СЕО, налаживая его домашнюю компьютерную сеть, нежели оказаться в подобной ситуации.

Есть ли у вас убедительный и исчерпывающий ответ на вопрос акционеров именно в этот момент? Новый CIO-лидер просто обязан иметь его.

Даже если ваши расходы на ИТ снизились, вам все равно необходим сжатый и четкий ответ, который бы демонстрировал ценность ИТ для бизнеса в вашей компании. Если снижение расходов на ИТ – ваш единственный аргумент (концентрация на снижении издержек, а не на предоставлении реальных выгод), то у вас будут проблемы, поскольку естественным будет предложение продолжить снижать их дальше.

На самом деле, то, о чем мы говорим – готовы ли вы к ответу на запрос акционеров о ценности ИТ? – можно понимать двояко:

• действительно ли вы знаете ответ на вопрос акционеров? Хорошо ли вы знаете свою организацию – как вложения в ИТ вместе с возможностями вашей ИС влияют на бизнес вашей компании? Или вам надо вернуться в свой офис, чтобы подготовить хороший ответ на этот вопрос?

• если у вас есть хороший ответ, знаете ли вы, как донести его до окружающих? То, как надо отвечать акционерам, отличается оттого, как надо отвечать руководителям бизнес-подразделений или сотрудникам этих подразделений.