Персонал - союзник в обеспечении информационной безопасности компании. Миф или реальность?

В период с 5 по 7 октября в Москве, в Экспоцентре на Красной Пресне состоялось крупнейшее в отрасли мероприятие для специалистов по информационной безопасности – выставка-конференция "INFOBEZ-EXPO/ИнфоБезопасность 2010" (http://www.infobez-expo.ru/) (до 2010 года проводилась под названием InfosecurityRussia), деловая программа которой была по традиции подготовлена при участии постоянного официального партнера - Учебного центра «Информзащита» (http://www.itsecurity.ru/).В этом году участниками выставки стали более 100 компаний-поставщиков продуктов и услуг по информационной безопасности из 10 стран мира, а мероприятия уникальной деловой программы конференции собрали на своих площадках более 5000 квалифицированных посетителей-специалистов России, а также стран ближнего и дальнего зарубежья.

Особым интересом со стороны профессиональной аудитории пользовались деловые мероприятия, организованные специалистами Учебного центра «Информзащита», в ходе которых ведущие эксперты отрасли, представляющие подразделения безопасности государственных и крупнейших бизнес-структур нефтегазового, финансового, телекоммуникационного и других секторов экономики, обсудили последние тенденции в области обеспечения информационной безопасности.

В ходе панельной дискуссии "Персонал - союзник в обеспечении информационной безопасности компании. Миф или реальность?" ее участники – Денис Андреевский (ОАО "Вымпелком"), Анатолий Ворожко (ООО "Газпром-медиа"), Ренат Натиев (Банк "Сосьете Женераль-Восток") и Зоя Попова (Учебный центр «Информзащита») рассказали о новых направлениях в практике работы российских и зарубежных компаний по повышению осведомленности персонала в вопросах информационной безопасности (Information Security Awareness), поделились опытом организации работы с персоналом и контроля за соблюдением политик информационной безопасности, а также рассмотрели различные подходы к формированию корпоративной культуры безопасной работы с информацией.

Директор Учебного центра «Информзащита» Зоя Попова, выступившая модератором панельной дискуссии, акцентировала внимание аудитории на появлении новых угроз и увеличении количества инцидентов, связанных с широким распространением новых технологий для обеспечения потребностей бизнеса, на возрастающей в связи с этим значимости проведения комплексной работы по повышению осведомленности персонала в вопросах информационной безопасности. З.Попова обозначила новые изменения в бизнес-среде за последние два года, которые необходимо учитывать при организации работы. Так, по данным исследования Information Security Breaches Survey 2010 компании PricewaterhouseCoopers, количество организаций, предоставляющих своим работникам удаленный доступ к ресурсам компании, а также использующих беспроводные сетевые технологии, в среднем составляет около 80%, до 60% компаний уже используют технологии виртуализации.

Экономический спад способствовал стремительному росту количества нарушений безопасности и стоимости понесенного ущерба. Так, 92% респондентов из больших компаний и 83% (рост почти в 2 раза за 2 года) респондентов из небольших компаний в прошлом году имели инциденты, связанные с нарушениями безопасности; 46% респондентов из больших компаний имели утечку конфиденциальных данных по вине персонала, из них 45% были очень серьезными или чрезвычайно серьезными.

Как подчеркнула З.Попова, эффективность работы по предотвращению нарушений политик информационной безопасности в значительной степени зависит от слаженности работы специалистов различных подразделений – служб безопасности, кадровых служб и ИТ-департаментов компаний: 

«Мы периодически организуем в рамках просветительской деятельности Учебного центра консультативные семинары по проблемам информационной безопасности для различных категорий руководителей и специалистов, и в том числе, для специалистов кадровых департаментов».

Зоя Попова рассказала также о существующей в США и странах Западной Европы практике внедрения программ информационной безопасности на государственном уровне и подчеркнула необходимость включения аналогичных программ в российскую систему непрерывного образования. Подробному обсуждению технологических аспектов противодействия киберпреступности и новым угрозам были посвящены мероприятия, организованные ведущими экспертами Учебного центра «Информзащита» в рамках тематических бизнес-секций конференции.

Участники круглого стола "Обеспечение информационной безопасности компании при использовании мобильных устройств: организационные, технические, юридические проблемы. Исполнительская дисциплина и ответственность персонала" во главе с ведущим Владимиром Лепихиным, заведующим лабораторией сетевой безопасности, Учебный центр "Информзащита", обсудили уязвимости систем при использовании мобильных устройств, а также проблемы управления рисками, связанными с всеобщим переходом на 4G (WiMAX, LTE) и другие беспроводные технологии. В острой дискуссии по поводу оправданности запрета или же, наоборот, предоставления свободы персоналу в применении новых технологий, с экспертными мнениями выступили Денис Батранков (Nokia Siemens Networks), Сергей Гордейчик (Positive Technologies),Сергей Размахнин (МТС) и Дмитрий Ушаков (StoneSoft).

Еще одним ярким событием деловой программы стал семинар "Компьютерные инциденты: предотвращение, реагирование и расследование. Обмен опытом", ведущим которого выступил Игорь Собецкий, заведующий лабораторией противодействия мошенничеству и расследования инцидентов, Учебный центр "Информзащита". Экспертами по вопросам предотвращения, расследования и нивелирования негативных последствий инцидентов для внутрикорпоративных отношений и имиджа компании выступили Дмитрий Дианов (НО ТЭК ОАО "Атомэнергомаш"), Александр Иванов (Управление "К" БСТМ МВД России) и Александр Писемский (Group-IB). Участники семинара поделились опытом организации учёта инцидентов в организации, эффективного управления рисками и результативной работы с персоналом, обсудили наиболее эффективные пути предотвращения инцидентов.

Общим итогом дискуссий, проходивших в рамках мероприятий деловой программы конференции, стало единогласное мнение экспертов и участников о том, что возросшее количество нарушений информационной безопасности со стороны работников требует от организаций постоянного повышения уровня осведомленности персонала в вопросах безопасности и, кроме того, комплексного подхода к ее обеспечению, учитывающего три основные составляющие: человеческий фактор, организационные и технологические процессы.