2015-05-13
231
Прорабатывая вопросы совершенствования системы информационной безопасности, многие отечественные и зарубежные специалисты приходят к выводу о том, что существуют более глубокие, чем думалось ранее, причинно-следственные связи такой, казалось бы, «частной» проблемы, как безопасность - ИТ с общими целями и задачами, а главное, с результатами и эффективностью деятельности организации в целом.
Также парадоксален на первый взгляд и вывод о колоссальном влиянии на уровень информационной безопасности позиции высшего менеджмента организации, взаимоотношений в коллективе, личного отношения каждого сотрудника к выполнению мер безопасности, сложившегося в коллективе психологического климата, правильного финансирования и т.д.
На наличие подобных связей прямо указывают результаты международного исследования, проведенного аудиторской компанией Ernst & Young в 2003 году. В этом отчете, в частности, говорится об аналогичных российским, проблемах, возникающих у специалистов по информационной безопасности, когда высший менеджмент организации начинает предпринимать меры, направленные на уменьшение рас ходов организации, под которые попадает и система информационной безопасности.
В первую очередь из-за сокращения финансирования страдают такие важнейшие направления работ информационной безопасности, как обучение персонала, поддержка технологий и инфраструктуры. Кому из отечественных специалис тов не знакомы подобные проблемы! Не есть ли это очередное проявление, увы, слишком распространенной в нашем обществе беды - принятия менеджером-дилетантом в данной сфере деятельности неправильных решений, которые строятся на нехитрых посылках:
- если система безопасности работает хорошо, то персонал безопасности не нужен;
- скрытая работа системы безопасности обычно не видна. При взгляде «сверху» на хорошо отлаженный механизм у дилетанта возникает искушение самостоятельно им управлять, ничего в нем реально не понимая;
- вмешательство в систему безопасности порой радикально меняет уровень рисков. Однако риск - категория вероятностная.
Действительно, некоторое время ничего не происходит, но потом неминуемо наступает расплата. При этом за ошибки отвечают большие массы людей, доверившихся неквалифицированным руководителям. Примеров, к сожалению, наша действительность предлагает слишком много.
Ну, а если вспомнить о возможных «скрытых» целях менеджмента, которые не соответствуют провозглашенным и носят зачастую криминальный оттенок, то становится понятно, что правильно организованная безопасность для них просто вредна, так как преследует прямо противоположную цель: добиться максимально возможной прозрачности в деятельности коллектива по выполнению официально сформулированных перед ним задач.
По мере развития любой отечественной компании и роста стоимости ее информационных активов в той же мере развивается и служба информационной безопасности. При этом стратегия и тактика работы этой службы становится не только одной из основных функций высшего менеджмента компании, но и ее конкурентным преимуществом. Успех политики информационной безопасности компании зависит, конечно, от организационных и технических решений в области защиты информации. Но эффективность кадровых решений — вот что дает настоящие конкурентные преимущества. Или не дает. Давайте рассмотрим, каким уровнем компетентности должны обладать специалис ты современной службы информационной безопасности российской компании, и как он влияет на сумму конкурентных преимуществ компании.
