23 сентября 2009 г.
Корпоративные бюджеты на безопасность всегда было трудно оправдать, а глобальный экономический кризис делает этот важный процесс еще труднее, отмечает Gartner Inc. Отделы ИТ-безопасности попадают в сложную ситуацию, так как должны работать с весьма ограниченными финансовыми и кадровыми ресурсами, но при этом эффективно справляться с быстро меняющимся и расширяющимся ландшафтом угроз.«Большинство корпоративных ИТ-расходов неизбежно попадают под строгий контроль в это время экономической неопределенности, и ИТ-безопасность и управление рисками, хотя и не столь сильно пострадали, как ИТ-бюджеты в целом, также не являются исключением, - пишет Джей Хейзер, вице-президент исследования Gartner. - Чтобы оправдать и оптимизировать затраты на безопасность, важно обеспечить, чтобы практика безопасности и управления рисками отвечала сформулированным целям бизнеса, и, самое главное, убедить компанию принять на себя эти потенциальные риски».
Однако, предупредил г-н Хейзер, профессионалы безопасности вряд ли достигнут этих важных целей, если впадут в одну из четырех обычных ошибок управления рисками:
1. Один и тот же уровень защиты (и, соответственно, расходов на безопасность) не может быть равно эффективен и экономически оправдан для разных подразделений компании и даже для каждой группы внутри одного подразделения. Уровень расходов на безопасность должен быть оптимальным, т. е. принимать во внимание оцененный уровень риска, чтобы избежать чрезмерных расходов и излишней перестраховки. Менеджерам бизнеса следует предложить относительно небольшой набор стратегий управления рисками, которые отвечают различным уровням конфиденциальности данных и риска.
2. Строить планы исходя из того, что хочет отдел ИТ-безопасности, а не из потребностей бизнеса.
Специалисты в безопасности привыкли принимать решения по инвестициям и внедрению ИТ исходя из того, что они считают важным, а не того, что необходимо бизнесу. Невозможно защищать планы по безопасности и бюджеты, которых они требуют, если они не основаны на деловых целях. Если менеджеры бизнеса не могут или не способны предоставить информацию о факторах риска их бизнес-процессов, тогда руководители высшего звена должны подключиться и сделать необходимое.
3. Формулирование аспектов риска, слишком сложное для понимания руководителями бизнеса
Специалисты в безопасности должны разработать последовательный способ оценки и формулирования критичности защиты конкретных ИС, информационных ресурсов и бизнес-процессов. Gartner рекомендует простую трехуровневую шкалу - высокая, средняя и низкая, - что даст общую точку отсчета формулирования критичности для бизнеса разных категорий ИТ и потенциально может быть использовано для реализации соответствующего набора уровней управления рисками.
4. Позволить менеджерам направлений бизнеса перенести свои риски на ИТ-подразделение и отдел ИТ-безопасности.
Менеджеры направлений бизнеса (LoB) слишком уж охотно используют готовность ИТ-подразделения и отдела ИТ-безопасности принять на себя остаточный риск, исходя из ошибочного допущения, что «стандартное предложение» эффективно устраняет любую форму риска. Такой подход делает ИТ-подразделение или отдел ИТ-безопасности козлом отпущения за все сбои защиты и любое последующее сокращение объема обслуживания или гибкости.
Внутренние «рыночные силы» могут помочь «состыковать» риски с выгодами, если всеми системами и информационными ресурсами будут «владеть» менеджеры конкретного бизнеса, которые несут ответственность за любые отказы защиты или нарушения в работе.
«Простые, легко управляемые платформы оценки риска, явное принятие остаточного риска и соглашения об уровне обслуживания защиты (SLA) дадут возможность обеспечить прочную корпоративную безопасность и защитить бюджеты безопасности от урезания, - пишет г-н Хейзер. - Первый шаг, какой могут предпринять менеджеры ИТ-рисков к лучшей согласованности с бизнесом, это не рассматривать менеджеров бизнеса как проблему, которая требует решения, но рассматривать их как заказчиков, которые нуждаются в защищенных и надежных услугах информационных систем».
Источник: Gartner