Ведение бизнеса

5 советов, как директору эффективно взаимодействовать с отделом информационной безопасности

Сегодня информационная безопасность стала неотъемлемой частью бизнеса, а проблемы в этой области могут привести к максимально серьезным последствиям, в том числе финансовым и репутационным потерям. Эффективность работы и качество результатов отдела ИБ зависит не только от компетенции сотрудников, но и от поддержки руководства. 
5 советов, как директору эффективно взаимодействовать с отделом информационной безопасности
Иллюстрация: Вера Ревина/Клерк.ру

Безопасники ежедневно находятся в боевой готовности. Им нужно противостоять кибератакам, которые с каждым разом усложняются и совершенствуются.

Выполнение должностных обязанностей неразрывно связано с переработками, обработкой бесконечного потока оповещений, анализом потенциальных угроз и т.д. Кроме этого часть рабочего времени уходит на борьбу с сопротивлением от других подразделений, которые воспринимают безопасников, как досадную помеху в работе.

К сожалению, чаще всего конфликты между подразделениями разрешаются уже только после ликвидации серьезных кибератак. Неутешительную статистику подтвердили 62% опрошенных «Лабораторией Касперского» топ-менеджеров.

Мы собрали пять рабочих рекомендаций, следуя которым, высшее руководство сможет повысить эффективность мер информационной безопасности.

Пройдите первыми обучение по информационной безопасности

Прежде чем проводить массовое обучение сотрудников — начните с личной кибербезопасности руководства. Личные данные, логины и пароли лиц, принимающих решения, — это одна из самых лакомых целей для злоумышленников.

Как показывает практика, предсказать и предотвратить утечку данных из другого ведомства невозможно, но обезопасить себя можно уже сейчас. Для этого нужно применять двухфакторную аутентификацию с использованием USB- или NFC-токенов на всех устройствах.

Используйте уникальные и сложных пароли для всех рабочих и личных аккаунтов. Домашние и рабочие устройства, должны быть защищены соответствующим софтом. Усложнить работу хакеров поможет максимальное разделение на рабочее и личное пространство

Не забывайте проверять подозрительные письма и вложения. Для этого тесно сотрудничайте с персональным сотрудником из отдела ИБ, который сможет лично разобраться с особо подозрительными ссылками и файлами. 

Затем переходите к следующему шагу — организуйте регулярное обучение остальных сотрудников. Нет необходимости транслировать на всех полный комплекс мероприятий по информационной безопасности, так как у отделов разные уровни доступа, а значит и знания они должны получить только по своему профилю.

Общими для всего персонала должны быть основополагающие знания «цифровой гигиены» и правила по реагированию на подозрительные или нештатные ситуации.

Руководители отделов, которые непосредственно применяют IT-технологии, должны понимать, как вопросы ИБ встраиваются в жизненный цикл разработки и использования продукта. Качество результатов работы отдела будет зависеть от применяемой политики безопасности.

Сотрудники отдела ИБ также должны проявить гибкость и изучить бизнес-процессы компании, чтобы лучше понимать, как безболезненно интегрировать в них меры предосторожности.

Kaspersky Automated Security Awareness Platform — это простой и эффективный онлайн-инструмент, который поможет вашим сотрудникам овладеть навыками кибербезопасного поведения и применять их в работе.

Бесплатная пробная версия

Внедрите правила кибербезопасности в бизнес-процессы компании

Цифровизацию экономики уже не остановить, а если тормозить внедрение технологий, то неминуем кризис и простой. Вместе с этим кибератаки становятся сложнее и наносят весомый финансовый урон. Управление киберрисками — это полноценная задача уровня совета директоров.

Руководители всех отделов должны принять участие в интеграции стратегии кибербезопасности в жизненный цикл компании, чтобы учесть все существующие аспекты: технологический, человеческий, финансовый, юридический и организационный.

Руководители из различных подразделений должны работать совместно с отделом ИБ. Например, чтобы предотвратить и минимизировать риски кибератак, которые могут перейти от ваших контрагентов, нужно заранее проработать множество вопросов:

  • Какими законами нужно руководствоваться для хранения и передачи, например, персональных данных клиентов? 

  • Как избежать заморозки деятельности компании в случае киберинцидента?

  • Есть ли четкий коммуникационный план на случай кибератаки?

  • Как защитить дистанционных сотрудников? 

Важно: для обеспечения информационной безопасности недостаточно купить программу или оборудование. Причиной 77% инцидентов является человеческий фактор, а именно несоблюдение регламентов и правил.

Финансируйте соразмерно

Используйте приоритетный подход к финансированию, исходя из конкретных угроз, которые присущи вашей отрасли и приводят к максимальному ущербу. Начиная с поиска уязвимостей и заканчивая обучением персонала — у каждой области имеются свои приоритеты и очередность решения проблем.

В первую очередь инвестируйте средства на предотвращение ключевых рисков, в последнюю очередь — закрывайте менее вероятные проблемы. Вручную определить вероятность появления той или иной угрозы сложно и долго, поэтому рекомендуем использовать отчеты о ландшафте угроз и изучать типовые векторы атак.

При планировании бюджета на обеспечение информационной безопасности ориентируйтесь на обоснования от специалистов ИБ и различные бенчмарки (от английского benchmark — эталон, показатель), которые дают усредненные бюджеты для конкретной сферы бизнеса и страны.

Не упускайте из вида все возможные варианты рисков

Этот совет для тех, кто считает, что хакеры — это основная проблема, с которой нужно бороться только программными решениями. Все возможные виды рисков должны быть под прицелом у службы информационной безопасности. 

В последние годы самой актуальной темой стали риски, вызванные нарушениями законов о хранении и использовании персональных данных — 152-ФЗ. Если в самом начале допустить нарушение правовых норм, то впоследствии штраф может привести к серьезным финансовым последствиям — вплоть до банкротства компании.

Законодатели периодически возвращаются к обсуждению введения оборотных штрафов за утечку или ненадлежащее обращение с ПД. Поэтому не сегодня, а уже «вчера» нужно было выполнить комплексный аудит информационных систем и процессов. Он позволит своевременно, шаг за шагом устранять выявленные нарушения.

Самые жесткие требования по защите информации предъявляются финансовой, телеком- и медицинской сферам, а также операторам критической инфраструктуры. В связи с этим руководители обязаны держать на особом контроле выполнение требований регуляторов в своих департаментах.

Адекватно реагируйте на инциденты

Невозможно полностью исключить ошибки и построить стопроцентную кибербезопасность на предприятии. Поэтому все сотрудники должны оперативно и правильно реагировать на ЧС по информационной безопасности. В первую очередь директора и руководители отделов должны знать принципы реагирования. Это значительно увеличивает шансы на благоприятный исход и ликвидацию последствий.

Придерживайтесь трех базовых принципов, которые подойдут для решения любого инцидента:

1. Моментально сообщайте ключевым сотрудникам об инциденте. В зависимости от вида риска и масштабов кибератаки необходимо уведомить всех заинтересованных лиц: финансовые и юридические отделы, страховщиков, регуляторов индустрии, регуляторов по защите данных, правоохранительные органы, пострадавших клиентов. Если в законах не прописаны сроки для оповещения, установите их собственными внутренними инструкциями. Чтобы оперативно разрешить инцидент, кроме констатации факта о случившемся, нужно передать конкретную информацию о возможной причине, начальной оценке масштабов и первых принятых ответных мерах.

2. Проведите собственное расследование инцидента. Это поможет применить соответствующие меры, оценить масштаб и последствия атаки. В этом помогут специализированные решения для расследования и реагирования — например, класса EDR. Для проведения простых расследований и выяснения первопричин возникновения инцидента достаточно базовых инструментов EDR — например, тех, которые содержатся в решении Kaspersky EDR для бизнеса Оптимальный. Для сложных расследований потребуются инструменты экспертного уровня: расширенный EDR, система мониторинга класса SIEM и другие. Если ваша компания не обладает большой командой ИБ, эти функции можно передать на аутсорс с помощью сервисов «управляемой защиты», например, Kaspersky MDR. Тут все зависит от степени зрелости компании в целом и в частности отдела информационной безопасности.

Используйте не только технические возможности — свой эффект дадут опросы свидетелей и персонала. В ходе расследования нужно максимально сохранить цифровые свидетельства атаки и другие доказательства инцидента. Во многих случаях для расследования и устранения последствий эффективней нанять сторонних экспертов.

3. Поддерживайте связи с общественностью. Вместо того чтобы тратить деньги на сокрытие проблем, нужно запланировать внешние и внутренние коммуникации. Рано или поздно общественность узнает о произошедшем, компания получит не только финансовый ущерб, но и — репутационный. Поэтому публиковать и раскрывать информацию нужно регулярно, в определенном размере, исключая противоречия и непроверенные сведения. Пользователи должны не только узнать о случившемся, но и понять, как действовать сейчас, какие их ожидают последствия. При инцидентах тесно сотрудничайте с пресс-службой. Но самый идеальный вариант — иметь антикризисный план на такой случай.

Информационная безопасность — это неотъемлемая составляющая любого современного бизнеса. Интеграция кибербезопасности в состав бизнес-процессов компании влияет на адаптацию бизнеса к современному киберландшафту.

По мере совершенствования защитных технологий злоумышленники все чаще пытаются получить доступ в IT-системы компаний через сотрудников. Kaspersky Security Awareness — это гибкий подход к формированию навыков кибербезопасного поведения. Наши тренинги помогут повысить навыки вашего персонала в области кибербезопасности. Выберите один тренинг для решения конкретной задачи безопасности или приобретите пакет технологий, которые можно адаптировать под ваши потребности и приоритеты.

Получите бесплатный чек-лист по киберзащите бизнеса на удаленке

Поможем избежать атак программ-вымогателей

Узнайте, как безопасно организовать работу в условиях удаленной работы

Заполните форму ниже и мы пришлем чек-лист на ваш e-mail:

Принимаю оферту и даю согласие на сбор персональных данных и их распространение

Реклама: АО «ЛАБОРАТОРИЯ КАСПЕРСКОГО», ИНН 7713140469, erid: LjN8KQZB1

Начать дискуссию