Ведущие специалисты в области защиты данных поделились рекомендациями по созданию современной службы ИТ-безопасности

• Совет по безопасности и бизнес-инновациям (SBIC) в своем новом отчете отмечает, что информационная безопасность в организации должна стать кросс-функциональной задачей, функции обеспечения безопасности должны стать составляющей бизнес-процессов организации, при этом сотрудникам службы безопасности необходимо работать в тесном взаимодействии с бизнес-подразделениями для управлениями информационными рисками и во избежание киберугроз.
•  Члены Совета приводят список из семи рекомендаций, которые помогут организациям в создании современных служб ИТ-безопасности, обладающих необходимыми знаниями и навыками для расширения сферы ответственности при управлении рисками в масштабах всего предприятия.
• Подробная информация доступна в новом отчете, опубликованном компанией RSA.

Москва, 1 октября 2013 г. – Новый отчет RSA, подразделения безопасности корпорации EMC (NYSE:EMC), основанный на результатах исследования Совета по безопасности и бизнес-инновациям, предлагает программу, содержащую новаторский подход к обеспечению безопасности. Данная программа рассматривает подходы к защите ИТ-сред - от создания службы ИТ-безопасности нового поколения до управления жизненным циклом рисков в сфере защиты данных, с которыми сталкиваются современные предприятия мирового уровня.

За последние полтора года требования к работе служб ИТ-безопасности существенно изменились. Такие перемены связаны с целым рядом факторов: активным развитием высокоинтегрированной глобальной бизнес-среды, меняющимся ландшафтом угроз, расширенным внедрением новых технологий и ужесточением требований регуляторов. Эти изменения конъюнктуры послужили толчком к пересмотру основных обязанностей корпоративных служб ИТ-безопасности и выполняемых ими задач.

Эксперты в новом отчете под названием «Трансформация информационной безопасности: создание современной службы ИТ-безопасности» отмечают, что сотрудники службы ИТ-безопасности должны расширять область своих знаний и обладать навыками в сферах, не относящихся непосредственно к их деятельности, таких как управление бизнес-рисками, юриспруденция, маркетинг, математика и закупки. В рамках деятельности по обеспечению информационной безопасности необходимо создать единую модель отчетности, где ответственность за обеспечение безопасности информационных активов разделяется с менеджерами и руководителями бизнес-подразделений. Ведь именно они, в конечном итоге, контролируют соответствующие риски кибербезопасности, а значит, и бизнес-риски в целом. Такие преобразования потребует серьезной переквалификации персонала и привлечение опыта и знаний внешних поставщиков услуг.

Ниже перечислены семь базовых рекомендаций экспертов SBIC, которые позволят компаниям сделать первые шаги на пути преобразования служб ИТ-безопасности.

1. Пересмотрите и четко определите круг основных компетенций. Основное внимание службы ИТ-безопасности должно быть сосредоточено на развитии навыков в четырех ключевых областях: интеллектуальный анализ рисков кибербезопасности и аналитика данных по безопасности, управление данными по безопасности, консультирование по рискам и разработка средств контроля.
2. Делегируйте выполнение стандартных операций. Поручите выполнение повторяемых стандартных отработанных процессов ИТ-отделу, бизнес-подразделениям и/или внешним поставщикам услуг.
3. Привлекайте специалистов из различных областей. Для выполнения некоторых задач к работе службы ИТ-безопасности можно привлечь специалистов из других отделов организации или извне.
4.  Контролируйте возникновение рисков. Объедините усилия с бизнес-подразделениями в управлении рисками кибербезопасности и выработайте единый подход к обеспечению безопасности. Сделайте выполнение этой задачи для бизнес-подразделений проще и обеспечьте их подотчетность.
5. Привлекайте специалистов для оптимизации процессов. Убедитесь, что в вашей команде есть сертифицированные специалисты, с опытом работы в сфере управления качеством, управления проектами и программами, оптимизации процессов и предоставления услуг.
6. Выстраивайте прочные отношения, основанные на доверии и лояльности, сосновными участниками рынка — владельцами «главных активов», руководством среднего звена и поставщиками услуг.
7.  Готовьте кадры с учетом будущей перспективы. В виду отсутствия готового наработанного опыта, единственным правильным долгосрочным решением для многих организаций остается подготовка собственных специалистов. Таких специалистов можно набирать из сфер, где используются смежные навыки: разработка программного обеспечения, бизнес-аналитика, финансовый менеджмент, военная разведка, юриспруденция, обеспечение конфиденциальности данных, наука о данных и сложный статистический анализ.

Мнения руководителей

Арт Ковьелло (Art Coviello), исполнительный вице-президент корпорации EMC, исполнительный директор RSA — подразделения безопасности корпорации EMC

«Для осуществления такой трансформации безопасность следует рассматривать с позиции ответственности, требующей активного сотрудничества для преодоления рисков, с которыми предприятия неизбежно сталкиваются в условиях постоянно меняющегося ландшафта угроз. Поэтому принципиально важно, чтобы организации могли создавать службы ИТ-безопасности, имеющие необходимые знания и опыт для профессионального выполнения своих обязанностей».

Боб Роджер (Bob Rodger), руководитель службы инфраструктурной безопасности группы HSBC Holdings plc.

«Прежде всего, опыт и знания специалистов по ИТ-безопасности должны быть направлены на консультирование, руководство, создание стратегий, выявление и разъяснение рисков для бизнеса, анализ угроз и содействие движению компании вперед. При этом всё их время не должно поглощаться рутинными каждодневными операциями».

Осовете Security for Business Innovation Council

Совет Security for Business Innovation Council — это группа ведущих специалистов по безопасности, работающих в компаниях из списка Global 1000 и объединившихся для обмена мнениями и совместной работы с целью развития информационной безопасности во всем мире. Совет периодически публикует отчеты, посвященные информационной безопасности как важнейшему фактору внедрения инноваций в бизнесе.

В составлении этого отчета участвовали 18 ведущих специалистов по безопасности, представляющих крупнейшие глобальные компании:

ABN Amro HSBC Holdings plc.

Intel ADP, Inc

Johnson & Johnson Airtel

JPMorgan Chase AstraZeneca

Nokia Coca-Cola

SAP AG EMC Corp.

TELUS FedEx Corp.

T-Mobile USA Fidelity Investments

WalmartHDFC Bank Ltd.

Дополнительные материалы

• Загрузите отчет SBIC (Security for Business Innovation Council)
• Загрузите инфографику, в которой показан переход от традиционной службы ИТ-безопасности к службе ИТ-безопасности нового поколения
• Загрузите краткое резюме отчета SBIC
• Загрузите схему из отчета, в которой показано распределение обязанностей в службе ИТ-безопасности нового поколения
• Блог RSA«Does Your Security Team Have What It Takes?» Лора Робинсон (Laura Robinson), председатель Совета SBIC
• Следите за новостями RSA в Twitter, Facebook, YouTube, LinkedIn и в блоге и подкасте RSA «Speaking of Security»

Информация о RSA

RSA, подразделение безопасности корпорации EMC, является лидером в области решений для обеспечения безопасности и выполнения нормативов, способствующих развитию бизнеса. Ее решения помогают крупнейшим организациям во всем мире добиться успеха, решая их наиболее сложные и важные проблемы безопасности, включая управление рисками организации, защиту мобильного доступа и совместной работы, выполнение нормативов и защиту виртуальной и облачной среды.

RSA предлагает ведущие бизнес-критичные решения по идентификации пользователей и управлению доступом, шифрованию и управлению ключами, выполнению требований законодательства, управлению безопасностью информации и защите от мошенничества. Эти решения позволяют гарантировать доверие миллионам пользователей, к выполняемым ими операциям и генерируемыми ими данным. Для получения дополнительных сведений посетите сайт www.EMC.com/RSA.

RSA и EMC являются зарегистрированными товарными знаками или товарными знаками корпорации EMC в США и других странах. Все прочие знаки и наименования могут являться товарными знаками соответствующих правообладателей.