КОРЕНЬ ПРОБЛЕМ
Прежде всего это связано с тем, что высшее руководство финансовых организаций зачастую не уделяет должного внимания данному виду деятельности, поскольку не осознает важности обеспечения информационной безопасности (ИБ) для успешного ведения и развития бизнеса.
В то же время инициативы службы ИБ, направленные на развитие и повышение эффективности обеспечения ИБ банка, часто не содержат результаты оценки их значимости для достижения целей бизнеса и возврата инвестиций (ROI). В результате большинство предложений по развитию и повышению эффективности обеспечения ИБ не находят должной поддержки и блокируются топ-менеджментом на этапе выделения ресурсов.
Данную тенденцию подтверждает статистика – согласно результатам всемирного исследования в области ИБ финансовых организаций, проведенного компанией PricewaterhouseСoopers, недостаточная поддержка и финансирование деятельности по обеспечению ИБ со стороны высшего руководства компании, недостаточное понимание взаимосвязи ИБ и бизнеса, отсутствие или неэффективность стратегии ИБ, по мнению респондентов, являются основными препятствиями для повышения эффективности обеспечения ИБ в финансовых организациях (Илл. 1).
ИЛЛЮСТРАЦИЯ 1. Основные препятствия для повышения эффективности обеспечения ИБ в финансовых организациях.
Источник: PwC 2013 Financial Services.Key findings from The Global State of Information Security Survey, 2014
ПУТИ ВЫХОДА: РАЗРАБОТКА СТРАТЕГИИ ИБ
На наш взгляд, наиболее эффективным решением перечисленных выше проблем является стратегическое планирование деятельности по обеспечению ИБ, а именно – разработка и утверждение стратегии ИБ и плана по её реализации.
Основная цель стратегии ИБ – определить, что и каким образом должно быть сделано в области обеспечения ИБ для реализации бизнес-стратегии банка. Стратегия должна определять цели, задачи и стратегические инициативы, обоснование экономической целесообразности их внедрения, ключевые показатели достижения целей, позволяющие контролировать реализацию предложенных инициатив и эффективность стратегии ИБ в целом. Затем должен быть разработан план («дорожная карта») реализации предлагаемых инициатив с указанием ответственных лиц, состава проектов, последовательности реализации проектов, сроков и их стоимости.
Накопленный опыт позволил нам выработать собственный подход к разработке стратегии ИБ, сочетающий преимущества известных методологий стратегического планирования, управления и обеспечения ИБ.
ACTION PLAN
Условно, в рамках стратегического планирования в области обеспечения ИБ банка, мы выделяем следующие этапы.
1. Сбор исходных данных для разработки стратегии ИБ:
2. Разработка стратегии ИБ:
ИЛЛЮСТРАЦИЯ 2. Пример карты стратегических целей обеспечения ИБ.
Источник: «Астерос Информационная безопасность», 2014
3. Разработка плана реализации стратегии ИБ:
СЕКРЕТ УСПЕХА
Секрет успеха разработки эффективной стратегии ИБ, на наш взгляд, заключается в применении интегрированного подхода, при котором учитываются стратегические инициативы банка, потребности бизнеса, а также выявленные по результатам анализа направления совершенствования обеспечения ИБ. Это позволяет гарантировать согласованность целей, задач, требований бизнеса и ИБ банка, повысить эффективность принимаемых решений и получить одобрение и поддержку разрабатываемых планов обеспечения ИБ со стороны руководства банка (Илл. 3).
ИЛЛЮСТРАЦИЯ 3. Стратегия ИБ обеспечивает согласованность ИБ и бизнеса. Источник: «Астерос Информационная безопасность», 2014
Важно учесть, что стратегия ИБ должна быть сформулирована в терминах, понятных топ-менеджменту банка и остальным заинтересованным сторонам.
НА ПРАКТИКЕ
Разработка стратегии является сложной задачей, которая требует немалых временных затрат и привлечения аналитиков, обладающих знаниями и навыками во многих областях обеспечения ИБ, ИТ, управления рисками и др. Поэтому привлечение к разработке стратегии ИБ сторонних консультантов – распространенная практика, позволяющая снять со службы ИБ ряд наиболее трудоемких задач.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных