Информационная безопасность в малом и среднем бизнесе: контроль, не надзор

В статье доказывается критическая важность контроля в управлении информационной безопасностью и ошибочность его отождествления с понятием «надзор».

Нынешнее состояние российского законодательства демонстрирует невозможность корректного разграничения понятий «контроль» и «надзор». Однако между ними - не просто семантическая разница и разное восприятие сотрудниками организации, а принципиально разные подходы к управлению рисками и людьми.

          Надзор воспринимается как пассивное или активное наблюдение с целью выявления нарушений для последующего наказания. Фокус - на "поймать и наказать". Это порождает атмосферу недоверия, страха, отчуждения. Сотрудники видят в ИБ-специалистах "полицейских", а правила - как бюрократические препятствия.

          Иное дело – контроль. Согласно классической теории управления, это одна из функций управления информационной безопасностью (наряду с планированием, организацией и совершенствованием процессов). Это активный процесс управления рисками, направленный на предотвращение инцидентов, обеспечение непрерывности бизнеса и поддержку сотрудников в безопасной работе. Фокус - на "предотвратить и помочь". Контроль встроен в процессы, прозрачен и нацелен на улучшение системы.

          Особенно важно понимать эти две разных философии управления информационной безопасностью в малом и среднем бизнесе. В условиях малого и среднего предприятия (МСП), где процессы часто неформальны, а ресурсы ограничены, мелкие нарушения ИБ (использование личной почты для работы, простые пароли, игнорирование обновлений) быстро становятся нормой. Надзор, фокусирующийся только на наказании за произошедший инцидент, заставляет сотрудников учиться скрывать свои нарушения, а не исправлять их. Происходит нормализация отклонений ИБ-поведения сотрудников. Согласно теории разбитых окон[1], попустительство общества к мелким правонарушениям провоцирует людей на совершение аналогичных или более серьёзных правонарушений. Очевидно, ИБ-сфера исключением не является - она нуждается в контроле.

Надзор же разрушает доверие и культуру безопасности, делая ИБ организации слабее. Теория психологического реактивного сопротивления[2] может служить предостережением от излишнего надзора. Известно, что постоянный надзор может вызвать у человека желание нарушить правила просто для того, чтобы подтвердить свою свободу. Это особенно критично в МСП, где лояльность и вовлеченность сотрудников имеют ключевое значение. Контроль же, ориентированный на поддержку сотрудников и профилактику правонарушений, создает устойчивость и вовлеченность.  Это необходимо для выживания МСП в условиях киберугроз.

Что необходимо при реализации контроля в ИБ?

1. Концентрироваться не столько на рисках, а на критичных процессах, встраивать контроль в процессы.
2. Создать четкую Политику доступа и объяснить сотрудникам, почему им недоступны определенные данные. Не «потому что безопасность». В основе аргументации должно быть снижение риска случайной ошибки/утечки, которая повредит проекту, компании и клиенту. Также следует сообщить сотрудникам в общих чертах, что мониторится (логи доступа к критичным системам, попытки загрузки неразрешенного ПО, срабатывания антивируса), а также избегать скрытого мониторинга личной переписки сотрудников или их активности вне рабочих задач.
3. Использовать объективные, инструментальные средства контроля (сбор ключевых логов, автоматические оповещения и блокировки, управление доступом, безопасность почты и веба, резервное копирование, обновление и др.).
4. Если контроль выявил нарушение – нейтрализовать угрозу, выяснить причину, обучить сотрудника на его ошибке, привести положительные примеры.
5. Измерять успехи не по количеству нарушений, а по количеству предотвращенных инцидентов, количеству предложений по улучшению ИБ от сотрудников и т.д.

Таким образом, контроль в ИБ малого и среднего бизнеса – это не слежка, а создание системы раннего предупреждения и поддержки принятия решений. Эта система делает безопасность неотъемлемой, понятной и даже незаметной частью повседневной работы бизнеса. Начинайте с малого, фокусируйтесь на критичных активах, будьте прозрачны и превращайте контроль в инструмент развития, а не подавления.

Предлагаем Вам   обновлять свои знания в области ИБ (и в том числе – ИБ-контроля) в Институте мониторинга и оценки информационной безопасности. Каталог курсов Института МОИБ.