 |
|
 |
|
О некоторых подводных камнях, препятствующих успеху программы безопасности
Мэри Пратт, автор публикации в журнале Chief Security Officer (September 13, 2021) собрала мнения разных экспертов, предупреждающих о мелких на первый взгляд ошибках и недочетах, которые чреваты крупными провалами для корпоративной безопасности.
Фокус внимания на рисках безопасности, а не на рисках для бизнеса
Найел Харпер (United Nations Office for Project Services): «Еще нередко руководители СБ, равно как и члены правления компаний, позиционируют охрану и безопасность как фактор технологии, а не рисков для бизнеса. Это очень узкий, ограниченный подход, не позволяющий видеть и воспринимать функцию безопасности как охватывающую практически все аспекты деятельности компании. В результате, руководитель СБ не получает места за столом правления, он лишен возможности напрямую корреспондировать с первыми лицами, принимающими стратегические решения, и, соответственно, не может на эти решения влиять».
Переоценка значения политик и инструкций
Любая организация сталкивается с необходимостью соблюдать отраслевые, законодательные и прочие правила и нормы, которые обычно отражаются во внутренних документах. Наличие последних, уверенность, что компания им неукоснительно следует, формирует зачастую искаженное представление, что с охраной и безопасностью в компании все в порядке, считает Харпер. Эксперт не преуменьшает значение политик и инструкций, но он против возведения их в абсолют. «Начальник СБ и руководители компании должны осознавать, что зафиксированные в этих бумагах требования не статичны, они требуют регулярной корректировки соответственно изменениям в ландшафте рисков и угроз, появлению новых факторов и условий, непосредственно затрагивающих разные аспекты безопасности, в том числе технологические и кадровые.
Отставание от развития технологий безопасности
Фирма Gitlab (информационные технологии) выпустила отчет о проведенном ею опросе 4 300 девелоперов в США, почти половина которых (42%) признались, что тестирование систем безопасности осуществляется нерегулярно, и столько же респондентов заявили, что испытывают сложности с идентификацией и исправлением уязвимостей.
Концентрация внимания на срочных вопросах
Эндрю Моррисон, один из руководителей Deloitte (аудит, консалтинг): «Службы безопасности настолько глубоко погружены в океан повседневных забот и проблем, в том числе малозначительных, что у них просто не остается времени подумать о стратегических приоритетах. «Срочное заслоняет важное». Это вопрос организации работы таким образом, чтобы перспективные фундаментальные вопросы не уходили в песок повседневности».
Упор на инструменты и технологии безопасности за счет проблем, которые стоят перед акционерами
Дж. Бадж, главный аналитик Forrester (международное аналитическое агентство): «Игнорирование проблем бизнеса негативно сказывается на функции безопасности. Начальник СБ не знает, что в приоритете у бизнесменов, не понимает, как работать с ними. Нередко такая беспомощность (при высоком профессионализме как специалиста по охране) имеет следствием плохую поддержку, в том числе, финансовую с стороны акционеров. Без тесных контактов с теми, кто в компании принимает решения, продолжает Бадж, у него/нее нет общей картины об угрозах и рисках для бизнеса, нет стратегии безопасности».
Безопасность замыкается в службе безопасности
Невозможно создать эффективную службу корпоративной безопасности, не формируя в компании культуру, которая бы отвечала требованиям безопасности. Моррисон: «Корпоративная культура может стать множительным фактором для безопасности. Если взять кибербезопасность, то мы видим, что почти каждая успешная атака совершается по причине человеческого фактора. Эффективная безопасность предполагает, что каждый работник в компании понимает, что представляет собой потенциальный объект для атаки и от него/нее тоже зависит безопасность”.
Кадровые промахи в службе безопасности
Начальник СБ, не уделяющий достаточного внимания своим подчиненным, культуре службы, обречен на неуспех. Бадж: «Если сотрудники СБ заняты исключительно текучкой, не интересуются и не видят перспективную картину своей работы, то нельзя от них ожидать хороших результатов. Важно обращать внимание на настроения людей. Допустим, кто-то из специалистов ощущает дискомфорт, проявляет недовольство своим положением и работой. Если эти моменты игнорировать, то есть риск лишиться хорошего специалиста, замену которому не всегда легко найти».
Отсюда вытекает еще один важный аспект:
Нехватка свежей кадровой крови
Бурное развитие технологий и методологий безопасности, таких как искусственный интеллект, поведенческая аналитика, охота на риски (risk hunting), модель нулевого доверия и прочее, не обещает хороших результатов, если в службе безопасности не хватает людей, способных управлять инновациями. Эксперты, анализирующие утечки корпоративных данных, в числе причин таких провалов называют отсутствие в команде молодых специалистов, обученных работе с инновациями.
|
вернуться назад
