Информационной безопасности: риски и стоимость

Данная статья написана, чтобы выразить настоятельную необходимость профессионалов в области безопасности и высшего руководства предприятий обратить внимание на обеспечение надёжной информационной безопасности. Иногда трудно рассчитать отдачу от инвестиций в целях безопасности, но ущерб, причиненный отсутствием эффективного контроля намного больше, чем стоимость их реализации.

За последние несколько лет было совершено несколько, получивших широкую огласку, инцидентов в области безопасности, начиная от мошенничества до терроризма. Эти события продемонстрировали необходимость планов аварийного восстановления и система сдержек и противовесов в рамках систем бухгалтерского учета. Многие угрозы представляют собой внутренние в виде обиженных или недобросовестных работников, или в результате социальной инженерии. Человеческая ошибка, и пренебрежение также являются примерами внутренних угроз. Новые угрозы появляются ежедневно.

Разнообразие структур управления были разработаны для удовлетворения финансовых и ИТ-проблем в области безопасности. Управление ИТ и соблюдение должны решаться с формальной программы информационной безопасности. Основные элементы включают в себя политику безопасности, ежегодный аудит и внутренний контроль для предотвращения угроз и уязвимостей. Ничто не может занять место аудита информационной безопасности. Крайне важно, чтобы проводился анализ состояния безопасности каждого сайта и работы с выводами.

Руководители высшего звена должны быть осведомлены о состоянии программы информационной безопасности. Обычно это способствует через ежегодный отчет аудита безопасности и ежемесячных отчетов о состоянии безопасности.

При отсутствии текущей информации следует задать следующие вопросы к управлению информационной безопасностью:

• 1)    Требуется ли сотрудникам подписать на общую политику безопасности и конкретной политики в их функциональной области?

• 2)    Как бы применимые стандарты безопасности были выполнены (например, SOX, GLBA и HIPAA)?

• 3)    Какие рамки управления используются (например, COSO,

  COBIT и / или ISO 17799)?

• 4)    Как определяются логические и физические периметры? Просьба представить обоснование и диаграммы.

• 5)    Сооружена ли безопасность в пользовательских приложениях от стадии проектирования?

• 6)   Строго  ли контролируются среды разработки на месте

(например, развитие, качество)?

• 7)    Каков  уровень непрерывности бизнеса и планирования

аварийного восстановления?

• 8)    Аннулируется ли доступ, когда сотрудник покидает компанию?

• 9)   Как понятия  минимальных  привилегий и разделения

обязанностей, решаемые?

• 10)  Функционирует ли тактическая программа реагирования на

инциденты на месте?

Многие небольшие организации не имеют выделенного специалиста по информационной безопасности. Такой практики следует избегать. Как вы можете видеть, эффективная программа безопасности требует постоянного ухода и анализа. Профессиональный подход к вопросам по информационной безопасности позволит снизить высокие затраты, связанные с неуправляемым риском. Рассмотрим влияние на организацию, если она не обеспечивает адекватного снижения рисков. В конце концов, как организация стремится к безопасности зависит от его аппетита к риску. Здоровая доза паранойи здесь оправдана. В конце концов, ставки чрезвычайно высоки.

"Экономика и социум" №3(22) 2016