Участившееся количество инцидентов безопасности, связанных с нанесением финансового и репутационного ущерба предприятиям и организациям, заставляет руководителей пересмотреть существующие подходы к управлению рисками и информационной безопасности.
Опыт глобального экономического кризиса показал, что в сложных условиях значимость эффективного управления безопасностью предприятий и управления рисками существенно повышается. Компаниям, бизнес которых во многом зависит от работы информационных систем, удалось успешно преодолеть кризис только в тех случаях, если наряду с общеэкономическими проблемами они смогли решить вопросы противодействия негативному влиянию на информационную инфраструктуру (типа DDoS-атак, несанкционированного проникновения в сеть с целью хищения или уничтожения информации и т.п.). Немаловажное значение также имеют умелое управление специфическими рисками в информационной среде: технологическими, техническими, проектными, связанными с внедрениями новых информационных систем и служебных приложений.
Пренебрежение проблемами, связанными с выявлением и мониторингом рисков в области информационной безопасности, приводит к существенным потерям, как финансовым, так и имиджевым, для всех компаний, предприятий и организаций, независимо от их размера и области деятельности. Это хорошо видно на примере как интернет-магазинов и провайдеров телекоммуникационных услуг, ставших жертвами атак на свои информационные ресурсы в последние годы, так и финансовых корпораций, предоставляющих услуги по всему миру.
В этом году Агентство по регулированию деятельности финансовых институтов США (Financial Industry Regulatory Authority, FINRA) уведомило о серьезных нарушениях корпоративной политики безопасности Финансовой группы Линкольн (Lincoln Financial Group), одной из крупнейших холдинговых американских компаний, в результате которых персональные данные клиентов группы компаний и граждан, обратившихся с заявлениями на оказание услуг, были подвержены потенциальным угрозам и могли быть использованы злоумышленниками.
В результате аудита было обнаружено, что для упрощения административных функций с данными клиентов в 2002 году были установлены общие пароли для персонала компании и ее аффилированных структур. Пароли не менялись в течение восьми лет, а доступ к сведениям имел не только избыточный круг персонала, но и уволенные сотрудники. К данным клиентов могли иметь доступ и посторонние лица. Кроме того, компанией был допущен ряд технических ошибок, в результате которых был открыт доступ к данным клиентов. Так, система, генерирующая рассылки клиентам, автоматически сохраняла электронные копии писем в файле клиентской корреспонденции, в результате чего клиент и его агент получали доступ к безопасному порталу компании и сведениям о других клиентам, в частности, их адресах, датах рождения, номерах контрактов, суммах на счетах и активности по сделкам.
Несколько месяцев назад стало известно, что логины и пароли пользователей авторизованных брокеров и агентов компании, предназначенные для входа на безопасный web-сайт, на котором содержались персональные данные (адреса, номера социального страхования и водительских прав, сведения о здоровье и данные о кредитах) граждан, обратившихся с заявлениями о страховании жизни, были напечатаны в брошюре, предназначенной только для использования брокерами и агентами. Брошюра была опубликована в открытом доступе на нескольких агентских web-сайтах. В результате проведенной судебной экспертизы, а также внутреннего расследования, организованного компанией, не было обнаружено неопровержимых свидетельств несанкционированного доступа к данным клиентам, а также злоупотребления данными клиентов. Однако 20 июля этого года компания была вынуждена уведомить 26 840 граждан об имевшихся нарушениях и предложить им в качестве компенсации бесплатные сервисы. Кроме того, службам Lincoln Financial Group пришлось сообщить 1,2 млн. своих клиентов о нарушении хранения их персональных данных и рисках, связанных с возможными потенциальными угрозами.
Хендрик Колеманс (Hendrik Ceulemans), известный эксперт международной ассоциации ISACA, автор и ведущий десятков семинаров по управлению информационными технологиями и системами информационной безопасности для ИТ-менеджмента в Европейской комиссии, так прокомментировал ситуацию, сложившуюся в крупнейшей финансовой корпорации США: «Отсутствие адекватной политики управления информационными рисками и безопасностью привели к возникновению за короткий период времени трех существенных инцидентов в крупнейшей финансовой компании. В нарушение всех сложившихся правил пароли доступа и списки лиц, имеющих соответствующие права, не корректировались годами, а конфиденциальная информация не только должным образом не защищалась, но и публиковалась в общедоступных источниках. Произошедшее нанесло существенный урон имиджу корпорации, негативно сказалось на притоке денежных средств клиентов и, что еще хуже, подорвало доверие клиентов».
Чтобы избежать подобных ошибок, необходимо не только иметь четкие и правильные представления о риск-менеджменте и его применении в области информационной безопасности, но и уметь правильно применить свои знания в конкретной области деятельности. На решение этих вопросов направлены организуемые по многочисленным просьбам клиентов авторские курсы Хендрика Колеманса в Учебном центре «Информзащита» (http://www.itsecurity.ru/ ). Главная цель курса «Управление рисками (Risk Management)» (http://www.itsecurity.ru/edu/kurs/kp_41.html) – освоение специалистами лучших мировых практик риск-менджмента, приобретение ими прочных навыков практического использования техник оценки и управления информационными рисками. В курсе подробно рассматриваются методы минимизации рисков до приемлемого уровня, выбор и использование, в том числе, и в области информационных технологий, адекватных инструментов контроля. Особое внимание автор курса уделяет сравнению методологий риск-менджмента, коммерческому обоснованию их использования в ИТ, примерам контроля, управления рисками, разбору инцидентов, а также практическим работам.
Зачастую при пересмотре структуры финансовых затрат, вызванных ситуацией на рынке, некоторые менеджеры вслепую режут операционные затраты и уменьшают их объем, делая акценты на сокращение расходов. Между тем наиболее целесообразный подход заключается в анализе функционирования организации и корректировке ИТ-сервисов в сторону реальных нужд компаний, что, в свою очередь, требует качественных изменений в обеспечении ее информационной безопасности. Программа курса «Управление информационной безопасностью (Information Security Governance)» (http://www.itsecurity.ru/edu/kurs/kp_42.html) направлена на обучение специалистов грамотному управлению информационной безопасностью в организациях на основе анализа рисков и инцидентов, внедрения прозрачных технологий управления с использованием лучшего международного опыта.
Курсы организованы при сотрудничестве Учебного центра «Информзащита» (http://www.itsecurity.ru/), ведущего образовательного центра в области обучения информационной безопасности, и европейской компании InfoGovernance, базирующейся в Бельгии. Занятия по курсу «Управление рисками» состоятся 24-25 августа, по курсу «Управление информационной безопасностью» - 26-27 августа. Обучение проводится на английском языке с последовательным переводом. В связи с ограниченным количеством учебных мест организатор рекомендует заблаговременно оформлять заявки на обучение. Заявку на участие в курсе можно заполнить здесь (http://www.itsecurity.ru/edu/zayavka/za_main.html).