Понятие информационной осведомлённости (awareness), которое появилось в области управления ИТ-рисками и информационной безопасности, всегда имеет прикладной характер. В рамках аналитической работы на уровне обеспечения безопасности бизнеса основная задача — понять, что будет происходить завтра, какие планы имеются у тех или иных сторон, организаций, персон в отношении конкретной компании.
Сложность этой задачи связана, в числе прочего, с тем, что повышение уровня осведомлённости не сводится к простому увеличению объёмов информации, доступной для анализа и прогнозирования. Более того, сегодня область ИБ всё больше включает в себя защиту от манипулирования данными, фейков, недостоверной информации, то есть защиту ОТ информации.
В целом информатизация в той или иной степени проникла во все системы безопасности, и уже можно говорить о том, что все направления безопасности бизнеса сливаются в одну большую Информационную Безопасность. Но есть нюансы.
СЛОЖНОСТИ МНОГОУРОВНЕВОЙ ИНТЕГРАЦИИ
Обеспечение безопасности бизнеса — это процесс стратегического уровня. По большому счёту, он включает две составляющие:
Если рассматривать безопасность как бизнес-функцию, то в системе риск-менеджмента экономической безопасности предприятия технические и технологические риски (аварии, сбои, устаревшее оборудование, нарушение технологий и т. д.) — это только один из видов рисков. Помимо него, есть ещё солидный перечень рисков, включающий, в частности:
В части риск-менеджмента есть и направление, связанное с разведкой и аналитикой, — анализ надёжности контрагентов и безопасности коммерческих предложений. В этой области решаются задачи конкурентной разведки, включая предвидение изменений на рынке, предвидение действий конкурентов, изучение их успехов и неудач, сбор компромата, выявление новых или потенциальных конкурентов, предоставление руководству информации для проведения переговоров, мониторинг изменений в политической, законодательной и регулирующей областях, влияющих на бизнес, изучение новых инструментов управления.
Система управления рисками строится на базе методик анализа. Их разработано немало: SWOT-анализ (Strengths, Weaknesses, Opportunities, Threats), PEST-анализ (Political, Economic, Social, Technological), PESTLE (PEST плюс юридический и экологический анализ), STEEPLED (PESTLE плюс образовательный и демографический анализ), диверсионный анализ, предполагающий моделирование нежелательных явлений, анализ сценариев, опирающийся на стратегию развития компании, и др.
Важно понимать, что в области ИТ развиваются процессы автоматизации управления рисками. Есть соответствующие программные средства, в том числе российские.
Так, на нашем рынке представлены ИТ-решения для автоматизации антикоррупционных мероприятий: вычисление конфликтов интересов, аффилированности, личных выгод, откатов, автоматизации закупок, проверки контрагента, противодействия утечкам корпоративных данных (DLP) и т. д. Все они относятся к области информационной безопасности и представляют собой даже не отдельную часть безопасности бизнеса, а конкретные инструменты. Бесспорно, там тоже идёт постоянное развитие, поскольку появляются новые технические решения.
Скажем, на сцену выходит цифровой рубль, он поменяет правила игры в финансовой сфере, и отрасль ИБ будет активно заниматься безопасностью этого цифрового рубля. Раньше охрана периметра объектов была выстроена, грубо говоря, вокруг забора, окружающего этот объект, а сегодня в небе летает всё больше БПЛА, способных решать разные задачи: от разведывательных до диверсионных. Соответственно, появляется ещё одна подсистема сбора и обработки данных в системах безопасности. Когда в компаниях появятся квантовые компьютеры, ИБ-решения будут развиваться исходя из этого.
Однако возможности объединения различных направлений безопасности бизнеса на базе «общего знаменателя» — цифровых данных — в высокоуровневую ИТ-систему обеспечения безопасности бизнеса сегодня весьма ограничены. Пожалуй, в качестве попытки реализации такого подхода можно рассматривать ИТ-системы управления рисками класса SOAR (Security Orchestration, Automation and Response), предназначенные для оркестровки систем безопасности, то есть координации их совместной работы.
ПРО АВТОМАТИЗАЦИЮ
Успехи в цифровизации различных аспектов безопасности бизнеса сформировали общий тренд — внедрение развитых умных технических решений, которые дают возможность удалить из операционных процессов человека. И это неплохо получается. Скажем, человек может анализировать одновременно до 10 мониторов с информацией, а для технических средств никаких ограничений нет. Для обоснования выбора того или иного поставщика умная программа может проанализировать огромные объёмы данных, неподъёмных для человека. И это в корне меняет процессы, например, торгов и конкурсов, где по традиции — сплошная коррупция. Пусть ИИ выбирает, кто будет поставлять гвозди на стройку. По крайней мере, не будет вопросов об откатах, аффилированности и т. п.
Но здесь есть важный нюанс — он связан с поддержкой принятия решений. ИБ не занимается информационной поддержкой принятия решений. Этим занимается специалист по информационно-аналитической работе, использующий разные методы анализа. Автоматизация его работы в части поддержки принятия решений — вот наш завтрашний день.
Думаю, что в нашем завтрашнем информационном мире будет только одна большая Информационная Безопасность, управляемая искусственным интеллектом, а все остальные блоки безопасности бизнеса станут её частями. Можно предположить, что многие специалисты по безопасности останутся без работы, а остальным придётся активно изучать информационную безопасность. И здесь, кстати, главным коррупционером будет вовсе не лицо, принимающее решения. Главный коррупционер — айтишник, который будет настраивать этот искусственный интеллект для правильного принятия решений.
ГЛАВНЫЙ ВЫЗОВ ТЕКУЩЕГО МОМЕНТА
Несмотря на то что область ИБ развивается быстро и за ней — будущее в поддержке принятия аналитических решений, главный вызов сегодня лежит не в сфере сбора и обработки данных, а в изменениях структуры и содержании рисков безопасности бизнеса. Фактор СВО переназначил риски и приоритеты.
Яркий пример: сегодня для рынка стала менее актуальна тема террористических рисков и законодательства по противодействию терроризму, потому что идёт движение в сторону совсем другого закона — о военном положении, где применяется понятие не теракта, а диверсии.
Вот это, пожалуй, можно назвать главным трендом корпоративной безопасности 2022 года — безопасность перестраивается с учётом реальной ситуации. Тогда, образно говоря, для предприятия ОПК гораздо важнее не сорвать гособоронзаказ, чем выбрать наилучшего контрагента в отношении антикоррупционного комплаенса. Также существенно повысился приоритет непрерывности бизнес-процессов: пусть контрагент далёк от идеала, но если других нет, то надо работать с ним, потому что это позволит обеспечить непрерывность бизнес-процессов.
В русле изменения приоритетов корпоративной безопасности меняется и нормативно-законодательная база. Все нормативы позапрошлого года в 2022-м уже не работали. Практически все документы по безопасности либо переделывались, либо перестали работать, и временно включалось «ручное управление».
Так, с сентября прошлого года произошёл ряд изменений в законодательстве о персональных данных (ПД). В частности, из закона о ПД исключили большинство случаев, когда организациям не нужно уведомлять Роскомнадзор о намерении начать обрабатывать ПД, усилены обязанности оператора в случае компрометации ПД. С 1 марта 2023 г. изменяется порядок трансграничной передачи ПД — о таких ситуациях требуется уведомить Роскомнадзор.
В связи с мобилизацией и добровольным содействием СВО произошли изменения в кадровой работе. Так, в Трудовом кодексе РФ появилась новая статья351.7 — «Особенности обеспечения трудовых прав работников, призванных на военную службу по мобилизации или поступивших на военную службу по контракту…». Претерпела изменения система контроля за персоналом: теперь контроль осуществляется не по процессам, а по результатам. Идёт тенденция на увеличение гражданско-правовых отношений с физическими лицами и уменьшение трудовых отношений. Различия существенные: если трудовые отношения предполагают выполнение трудовой функции в рабочее время, то гражданско-правовые отношения — это оказание услуги (выполнение задач) в поставленные сроки.
В части противодействия коррупции в 2020–2022 гг. появилось законодательство о цифровых финансовых активах — они приравнены к имуществу и подлежат декларированию в справках о доходах-расходах, вышли методические документы Минтруда РФ по противодействию коррупции в закупках, принят Национальный план по противодействию коррупции на 2021–2024 гг., создана государственная информационная система «Посейдон».
КОРПОРАТИВНАЯ БЕЗОПАСНОСТЬ В БЛИЖАЙШЕМ БУДУЩЕМ
К чему приведут изменения, происходящие сегодня в сфере корпоративной безопасности? Это нам ещё предстоит узнать. Всё будет зависеть и от результатов СВО, и от макроэкономических условий, которые сложатся на момент окончания СВО. Можно только выделить два важных момента.
Во-первых, цифровизация безопасности будет продолжаться. Вопрос в том, с помощью каких средств и чьего производства мы будем это делать.
Во-вторых, мир сейчас вступил в полосу неопределённости, где плюсы и минусы разных ситуаций запросто меняются местами. А это значит, что придётся строить управление безопасностью в условиях динамического хаоса и неопределённости. Хаос здесь понимается как математический аппарат, описывающий поведение нелинейных динамических систем.
Надо сказать, что мир вступил в эпоху хаоса и неопределённости ещё в пандемийном 2020 году: тогда было непонятно, когда закончится пандемия, какова её глубина и возможный размах. Было сложно просчитать решения, принимаемые государственными органами, административные запреты и ограничения менялись практически каждый день. Компаниям требовалось принимать управленческие решения, в том числе в части корпоративной безопасности в условиях неопределённости. Управление безопасностью в таких условиях означает, в частности, что предприятие работает в отсутствии долгосрочных планов.
Следует отметить, что в условиях хаоса значительные изменения претерпевают системы контроля, функции которых часто берёт на себя безопасность. Классические системы контроля процессов и регламентов становятся неэффективными в связи с быстро меняющейся обстановкой. На первый план выходит контроль выполненных задач, а также контроль и управление изменениями (трансформациями).
В условиях хаоса и неопределённости как никогда большое значение имеет оперативный доступ к информации и умение её анализировать. В современном мире, как отмечалось ранее, наблюдается переизбыток ненужной информации, в связи с чем специалисты по безопасности концентрируют усилия на верификации и оценке информации, особенно той, которая будет использована для принятия управленческих решений. В состоянии динамического хаоса время жизни информации очень мало, поэтому период, отведённый для её проверки, становится предельно малым. Мониторинг и оценка информации в реальном режиме времени — это уже не экзотическая прихоть, а жизненная необходимость каждой компании.
В числе наивысших приоритетов оказывается способность быстро ориентироваться в ситуациях и принимать (менять) решения в зависимости от обстановки. Происходит переход от планирования к постановке задач, ключевое значение приобретают антикризисные планы (планы действий в чрезвычайных ситуациях, действий при наступлении определённых событий, мобилизационные планы и т. д.).
.jpg)
.jpg)
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
