В последнее время информационное управление рисками, основанное на оценке полезных для организации рисков, стало важной частью бизнеса. И именно правильное определение специалистом по информационной безопасности необходимости рисков является главной задачей в управлении рисками.
Ключевые слова: информационная безопасность, бизнес, управление рисками, инновации, защита информации.
Информационная безопасность в автоматизированных системах бизнеса переживает критические изменения. В настоящее время очень важно, чтобы стратегия обеспечения безопасности ориентировалась на приоритеты бизнеса и основывалась на современных инновациях.
Политические и бизнес-эксперты сходятся во мнении, что бизнес-инновации являются ключом для возвращения к глобальной экономической стабильности и росту. И именно информационная безопасность играет важную роль в стремление к этим инновациям.
Большинство важных нововведений основываются на возможности безопасного и быстрого обмена информацией. Современная экономика является информационно-ориентированной, в связи с чем сильно зависит от создаваемой и распространяемой информации. В настоящее время общество оказывается в эпохе информационной войны, где вся информация подвергается каждодневному риску. Задача организации в отношении защиты информации должна состоять в том, чтобы наиболее эффективно и безопасно управлять бизнес-рисками, позволяя бизнесу извлекать максимальную выгоду и не препятствую существующим бизнес-процессам.
Необходимо отметить, что методы внедрения инноваций организациями с течением времени прогрессировал, от локальных групп, работающих в тесном взаимодействии при создании новых проектов, до распределенных команд, сотрудничающих через значительные расстояния посредством информационных технологий. Инновации в настоящее время требуют открытого сотрудничества, непосредственного взаимодействия с клиентами, более тесной работы с партнерами, объединяя имеющиеся ресурсы.
Организация такого процесса требует совместного использования интеллектуальной собственности, инфраструктуры и идей, но в то же время накладывает необходимость сохранения и защиты товарных знаков, авторских прав и патентов. Лидеры в области безопасности, ориентированные на перспективу, добились огромного прогресса во внедрении более плотного взаимодействия между целями бизнес-инноваций и возможностями по защите информации. Важнейшим элементом по обеспечению безопасности стал более структурированный и стратегический подход к использованию методики оценки рисков.
Без реализации соответствующих мер безопасности, внедрение бизнес-инноваций может привести организацию к недопустимым рискам, но так как бизнес и защита информации работают в различных сферах, то действия, направленные на защиту информации могут носить меньший приоритет и откладываться на второй план. Отсутствие планирования защиты создает неоправданно высокие расходы и задержки проектов. Для полноценного взаимодействия также необходимо четкое понимание ответственных за защиту информации специалистов ключевых приоритетов бизнеса и их вовлеченность в процесс планирования на ранних этапах разработки. Для реализации данного положения на таких специалистов накладывается обязательство по владению ситуацией как в сфере безопасности, так и бизнес-процессов, в которые вовлечена организация.
В последнее в крупных организациях отмечается рост понимания необходимости перехода на концепцию безопасности, основанную на оценке предполагаемых рисков. Различные организации находятся на разных этапах перехода к этой концепции, в зависимости от развитости механизмов управления рисками предприятия.
При создании системы защиты информации необходимо учитывать некоторые особенности:
– При проведении любых действий, связанных с внедрением новых решений или изменения существующих бизнес-процессов необходимо прорабатывать возможные риски от таких действий.
– Вопросы безопасности и управления рисками должны находится в сфере внимания высшего руководства организации.
Ключевым элементом построения политики безопасности, не препятствующей инновациям и развитию бизнеса, является переход от классической «информационной безопасности» к «информационному управлению рисками», основанному на концепции обеспечения безопасности как стремление к приемлемому уровню рисков. Организация управления информационными рисками должно основываться на пользе для бизнеса и всесторонней оценки и проработки существующих рисков.
Таким образом, управление информационными рисками должно быть интегрировано в систему управления рисками предприятия. В качестве примера стоит рассмотреть управление рисками и инновациями в сфере предотвращения потери данных. В организациях все чаще используются различные веб-инструменты для совместной работы, для облегчения обмена информацией между различными группами пользователей в целях повышения производительности. Зачастую, сведения, циркулирующие в рамках этого взаимодействия, очень уязвимы и могут оказаться под угрозой хищения или изменены несанкционированными пользователями. Определение ценности обрабатываемых сведений, актуальных угроз безопасности и связанных с ними уязвимостей является первым шагом в предотвращении экономических потерь организации. Понимание рисков является важным условием для принятия эффективных мер по предотвращению потери данных. На данном этапе перед специалистами в области защиты информации стоит задача по определению уровня риска, который организация готова принять, не создавая при этом препятствий для инновационного процесса.
Таким образом, каждая организация должна качественно разработать методику защиты бизнеса: для этого необходимо определить, каким образом измеряются риски организации, какие виды контроля должны быть реализованы для защиты данных, какой установлен порядок разграничения доступа к информации, какие действия с документами должны быть разрешены и какой порядок действий в случае инцидентов, связанных с безопасностью защищаемой информации. В данном случае главной задачей специалиста, обеспечивающего защиту бизнеса, является определение порога принимаемого риска, и реализация мероприятий защиты без ограничения условий работы сотрудников организации.
Литература:
- Making information security strategic to business // indiatimes. URL: http://articles.economictimes.indiatimes.com/2009–06–12/news/27653173_1_information-security-security-strategy-security-teams
- Милославская Н. Г., Сенаторов М. Ю., Толстой А. И. Управление рисками информационной безопасности. — 2-е изд. — М.: Горячая Линия — Телеком, 2014. — 130 с.
- Андрианов В. В., Зефиров С. Л., Голованов В.Б., Голдуев Н. А.. Обеспечение информационной безопасности бизнеса. — 2-е изд. — М.: Альпина Паблишер, 2011. — 392 с.