• контролируйте доступ к системам, которые содержат важную информацию и оповещайте всех о том, что такой контроль производится; уделяйте специальное внимание сотрудникам, входящим в системы, доступ к которым не предусмотрен их непосредственной деятельностью;
• связывайте права доступа с определенными ролями или позициями; устанавливайте четкие и известные всем ограничения; контролируйте их и обнародуйте результаты расследования, когда эти ограничения нарушены;
• тщательно обсуждайте с руководством своей компании все новые нормирующие акты, которые влияют на ваш бизнес; в современный набор входит закон Сарбанеса-Оксли и ШРАА(США), закон Турнбула (Turn-bull – Великобритания) и требования Basel II (Европа);
• введите у себя регулярные проверки; неформальные обсуждения проблемы с CIO разных компаний. У большинства компаний есть план действий в случае обнаружения прорехи в безопасности, но очень немногие из этих компаний тестируют его регулярно;
• установите четкие правила для хранения и управления электронными документами, включая объявления, электронные письма, документы в формате Word и многое другое, что относится к принятию решений и составлению отчетов.
В этот момент вы имеет полное право задать вопрос о том, где взять деньги для реализации всех перечисленных задач. Не забывайте о том, что вы должны обеспечить баланс между угрозами и защитой. Поэтому, прежде всего, расставьте приоритеты для всех уже упомянутых проблем и определите их связь с вашей компанией. Во-вторых, запомните, что все проблемы управления риском – это не только проблемы ИТ; это проблемы всей компании и они должны трактоваться именно таким образом. Вы должны убедиться в том, что ваши коллеги по руководству компанией и совет директоров понимают все риски и необходимые меры, для их снижения в соответствии с корпоративными стандартами управления рисками. Затем надо принять решение на корпоративном уровне о том, как найти средства и ресурсы для снижения рисков и какой уровень риска считать приемлемым. Припомните, что многие возможные источники финансирования мы уже обсуждали. Многие из них вполне подходят для изыскания средств на проекты в сфере обеспечения безопасности.
Постоянно контролируйте мероприятия по безопасности и их стоимость
В заключение, мы хотим еще раз повторить, что безопасность – это процесс, а не состояние. Безопасность – это не цель, которую вы можете достичь. Это нечто такое, к чему вы можете стремиться в постоянно изменяющемся окружении.
Контролируйте все ваши меры в области обеспечения безопасности, прежде всего, для того, чтобы убедиться в том, что они сохранили свою эффективность, а, во-вторых, чтобы убедить себя и всю компанию в том, что они стоят вложенных в них средств. Вам также надо повторять весь процесс регулярно, поскольку риски и цена их снижения быстро меняется. Вы должны быть уверены в том, что вы по-прежнему защищены от самых серьезных рисков самым надежным и эффективным способом. Мы считаем, что очень скоро от большинства компаний правительственные агентства будут требовать информации о статусе своей безопасности. Меры по обеспечению безопасности в компаниях будут становиться все более серьезными и начнут потреблять до 15 % бюджета.
Применяя методы анализа, разработанные в компании Gartner, мы пришли к выводу, что стоимость снижения потерь от успешной атаки по крайне мере на 50 % выше, чем стоимость ее предотвращения. Компании, которые концентрируют внимание на реальных рисках и контролируют программы эффективности снижения рисков, получат самый высокий процент возврата от своих вложений в сферу безопасности. Лучше всего и дешевле всего в долгосрочной перспективе разработать работоспособную программу вместо того, чтобы в один прекрасный момент стать жертвой настоящей атаки.
Нормы отрасли для трат на безопасность и персонал, обеспечивающий ее, может дать представление об уровне расходов на защиту от рисков. Расходы на безопасность в промышленности выросли от 3,3 % ИТ-бюджета в 2001 году до 5,4 % бюджета в 2003 году. Более того, аналитики Gartner предсказывают, что этот процент будет расти вплоть до 2006 года. По мере продолжающегося роста расходов на безопасность многие СЕО будут спрашивать: «Наши расходы на обеспечение безопасности растут на 20 % в год. Улучшается ли ситуация?» Компании, которые увеличивают расходы на безопасность, но не следят за изменяющимися угрозами и не отслеживают показатели атак и защит, будут вынуждены под давлением отграничить или снизить свои расходы на безопасность.
Читать дальше
Конец ознакомительного отрывка
Купить книгу