Construcción de un sistema de seguridad de la información en una empresa desde cero.
La seguridad de la información, así como la seguridad económica, siempre comienza con el responsable de la empresa (propietario del negocio), ya que si es indiferente a los posibles problemas, tampoco se protegerá de ellos.
p>
Yo, como persona que gana dinero con la seguridad de la información, me complace ver que en realidad no hay tanta gente que no esté preocupada por posibles problemas.
Después de todo, cualquier empresario sabe perfectamente que todos los negocios en Rusia representan una amenaza estable y constante. Tan pronto como una empresa comience a hacer algo, espere problemas.
Sería aconsejable, por supuesto, colocar pajitas con anticipación, pero es necesario conocer el lugar: — dónde colocarlo exactamente.
Lo más probable es que haya más de uno o dos de esos lugares…
Además, las amenazas a la seguridad de la información (en adelante, — IS) de una empresa normalmente no cuesta en primer lugar.
Sin embargo, si la organización ha llegado a comprender que necesita hacer algo en términos de seguridad de la información, entonces, junto con la discusión sobre “qué y cómo” hacer, sin duda habrá una discusión sobre “quién” lo hará y “cuánto costará”.
Intentemos considerar estas preguntas.
Primero, definamos qué es una organización. ¿Qué es la seguridad de la información?
Seguridad de la información de una organización: el estado de seguridad del entorno de información de la organización, garantizando su formación, uso y desarrollo.
Seguridad de la información (datos) está determinada por la ausencia de riesgos inaceptables asociados con la fuga de información a través de canales técnicos, impactos no autorizados e involuntarios en los datos. y (o ) a otros recursos del sistema de información automatizado utilizados en la aplicación de tecnologías de la información.
Protección de la información— representa una actividad para prevenir la fuga de información protegida, impactos no autorizados y no intencionales en la información protegida, es decir, un proceso destinado a lograr este estado.
Seguridad de la información — se trata de la seguridad de la información y la infraestructura de soporte frente a impactos accidentales o intencionales de naturaleza natural o artificial, plagados de daños a los propietarios o usuarios de la información y la infraestructura de soporte.
Seguridad de la información: proteger la confidencialidad, integridad y disponibilidad de la información.
Seguridad de la información (datos) está determinada por la ausencia de riesgo inaceptable asociado con la fuga de información a través de canales técnicos, impactos no autorizados y no intencionales en los datos y (u) otros recursos del sistema de información automatizado utilizado en la aplicación de la tecnología de la información.
Seguridad de la información: el estado de seguridad de la información (datos), que garantiza la seguridad de la información para la cual se utiliza para su procesamiento, y la seguridad de la información del sistema de información automatizado en el que se implementa.
Seguridad de la información — representa una actividad para prevenir la fuga de información protegida, impactos no autorizados y no intencionales en la información protegida, es decir, un proceso destinado a lograr este estado.
Se pueden dar muchas más definiciones, pero, en mi opinión, no aportan mucha claridad.
En general, el problema terminológico en el campo de la seguridad de la información es muy agudo.
Se utilizan muchos términos: seguridad de la información, seguridad de la información, seguridad de la tecnología de la información y, finalmente, protección de la información.
Parece que todo es lo mismo, sin embargo, los expertos pueden discutir la diferencia entre estos conceptos durante horas, porque en todo el país es poco probable que haya más de una docena de personas que puedan explicar esta diferencia de manera inmediata y clara.
Para no entrar en disputas tan “religiosas”, hace tiempo que me desconcierta la búsqueda de una explicación simple y comprensible. Además, la comunicación con los propietarios o directivos de las organizaciones todavía se produce a nivel conceptual, sin el uso de términos especiales.
Durante una de estas conversaciones, se formó la regla de las tres “R”, que explica alegóricamente la esencia y las tareas de la seguridad de la información:
1. Para evitar que algo sea robado;
2. Para evitar problemas con los reguladores;
3. Para hacerlo económico.
Por supuesto, se trata de una simplificación deliberada.
Desde tal definición hasta una unidad de seguridad de la información hay un largo camino.
¿Dónde? ¿Comenzar a crear un sistema de seguridad de la información, si la empresa nunca antes tuvo esa función, o si existió, pero cayó en una batalla desigual con el presupuesto, TI y otros departamentos?
De hecho, no hay muchas opciones: intentar descubrir por tu cuenta qué debe hacer la seguridad de la información, o contratar a una persona que ya haya resuelto un problema similar, o contactar con un consultor especializado.
Cada uno elige el camino que toman, pero, en la inmensa mayoría de los casos, primero eligen la opción dos: contratar a una persona.
De esta manera sencilla, la gente intenta transferirle la responsabilidad y espera deshacerse de cosas innecesarias. dolores de cabeza.
Le pagamos un salario, así que déjelo pensar qué y cómo.
Desafortunadamente, hay muy pocos especialistas realmente buenos que puedan “manejar” proyectos completos de seguridad de la información, por lo que son costosos y usted No todo el mundo puede permitírselo.
Aunque, en comparación con los “buenos” especialistas en TI, los especialistas en seguridad suelen ser más baratos.
Sin embargo, hasta que la dirección no tenga una base de comparación: si un especialista es caro o barato, no comprende qué tareas debe resolver, etc., sólo podrá estimar estos parámetros indirectamente (por consejo de amigos, conocidos). , podemos afirmar con seguridad que nadie contratará de inmediato a un especialista costoso.
Y dado que el especialista es económico y no está muy calificado, significa que no puede arreglárselas solo, por lo que alguien dentro de la organización debe hacerlo. tómalo bajo su protección. Entonces comienzan a elegir un lugar para este especialista, consideran varias opciones de estructura organizacional y subordinación.
Históricamente, la seguridad de la información suele estar subordinada a lo económico (propio, corporativo).
Con este enfoque, lo más frecuente es que se verifique formalmente que el empleado no esté involucrado y se le contrate. En este caso, el principal usuario de los servicios prestados por el especialista en seguridad de la información será la persona que lo contrate.
Es decir, en la mayoría de los casos, el jefe del Servicio de Seguridad.
En consecuencia, en primer lugar, el especialista en seguridad de la información resolverá exactamente sus problemas, que en ocasiones pueden ser muy diferentes de las necesidades reales de la organización.
Después de todo, ayer la mayoría de los jefes de los Servicios de Seguridad llevaban tirantes y, por decirlo suavemente, están lejos de comprender la esencia de la seguridad de la información.
Además, en nuestro país nadie cree en la fortaleza y capacidades reales de la seguridad de la información, por lo que … “protección contra los pioneros”.
Por eso a menudo se escuchan quejas de los “colegas” de que es imposible comunicarse con el gerente, no hay presupuesto, etc.
¿De dónde sacará el presupuesto? — si lo contrataron para un puesto específico, en una celda específica de la estructura organizacional, más allá del cual es casi imposible ir.
Además de la ubicación de la seguridad de la información en el servicio de seguridad, existen otras opciones: en TI, en control interno (auditoría), riesgos y, finalmente, el sueño final del especialista promedio en seguridad de la información es una división separada directamente subordinada a uno de los altos funcionarios de la empresa.
Aunque para la mayoría de los especialistas en seguridad de la información, la subordinación directa no ayuda en absoluto y, por el contrario, suele resultar perjudicial.
No existe ningún foro o conferencia profesional dedicada a temas de seguridad de la información donde no se haya discutido recientemente el tema de la conexión entre la seguridad de la información y (pronunciar con aspiración) “Negocios”.
En esto, los especialistas en seguridad de la información son guiados por sus colegas de TI, adoptando las expresiones adecuadas y tratando de demostrar la utilidad de la seguridad de la información para “Business”.
Al mismo tiempo, todos culpan al mítico “Business”, diciendo que él (la empresa) debe comprender los problemas de la seguridad de la información y, si no se ha dado cuenta, no saldrá nada bueno de ello.
En realidad, nadie intenta ponerse en el lugar del jefe de ese mismo “Negocio” y comprender lo que realmente necesita. Un gerente tiene muchas preocupaciones: finanzas, contabilidad, personal, etc.
La seguridad de la información está lejos de ocupar el primer lugar en esta lista.
Entonces, por supuesto, es difícil para un gerente entender por qué debería destinar una cantidad significativa de dinero a algo desconocido.
Sobre todo porque la empresa no ganará nada con esto. En este asunto el carisma del responsable de seguridad juega un papel muy importante.
¿Con qué claridad puede explicar la necesidad y los beneficios de implementar tal o cual herramienta de seguridad?
Por lo tanto, no debería haber una diferencia significativa entre dónde se ubica la seguridad de la información en la estructura organizacional, ya que generalmente no es una ¡un puesto, sino un rol (función)!
Este rol puede ser dedicado, combinado o distribuido entre varios empleados o departamentos.
Lo principal es ¡Que todo funcione!
Si recurrimos a la experiencia occidental, entonces la principal guía práctica para crear seguridad de la información es, sin duda, la serie de normas ISO 27000. De hecho, esta es una guía paso a paso sobre cómo y qué hacer.
Desafortunadamente, en nuestro país los estándares occidentales en la mayoría de los casos no funcionan (la excepción son principalmente las filiales de empresas occidentales).
Un crédito considerable por esto pertenece a los consultores rusos locales que le dicen al cliente que el estándar no es aplicable en Rusia, simplemente no funcionará así, ya que aquí todo es especial, por lo que los consultores agregan su propia experiencia al estándar, a menudo malinterpretar o distorsionar el significado de las disposiciones de la norma.
Por supuesto, cualquier persona en su sano juicio entiende que una norma es una norma para no inventar una bicicleta, por lo que no es necesario modificarla, solo hay que saber aplicarla correctamente. Además, en las organizaciones involucradas en la estandarización, las personas que trabajan están lejos de ser estúpidas; después de veinte o treinta años de aplicar normas, la redacción ha funcionado.
Existe incluso el término «servicios profesionales». es decir, servicios basados en estándares profesionales.
Desafortunadamente, todavía no existe un mercado para los servicios profesionales en Rusia.
No han madurado.
En el En Occidente utilizan muy activamente la experiencia de las comunidades profesionales para perfeccionar las disposiciones de las normas.
¿Qué les impide hacer lo mismo en Rusia? — poco claro.
Aunque recientemente ha habido cambios positivos en la dirección correcta, por ejemplo, el Banco Central, con su conjunto de estándares de seguridad de la información, que fue ampliamente discutido por los expertos.
Entonces, si la base para la creación de información seguridad en una empresa se aplican correctamente las normas de la serie ISO 27000, el resultado será mucho más tolerable que si los especialistas empiezan a hacer “mordazas”.
Sin embargo, hay que tener en cuenta que la norma es no es una panacea, sino sólo un medio, y sólo bueno, para resolver problemas estándar.
En el futuro, al alcanzar un cierto nivel de madurez de la organización, el papel de la seguridad de la información requerirá ajustes.
¿Qué hace básicamente la seguridad de la información en las empresas rusas?
Primero de Sin embargo, la mayoría de los gerentes o propietarios de empresas todavía perciben la seguridad de la información como algo técnico.
Por eso se ocupa en primer lugar de la seguridad de la información:
— instalar un antivirus
— actualizaciones de software
— configurar cortafuegos
— antispam, etc.
Por un lado, esta etapa es la más creativa, ya que los especialistas en seguridad instalan y configuran cosas realmente necesarias y útiles.
Por otro lado, la configuración no es siempre tiene éxito la primera vez, y a nuestra gente realmente no le gustan las restricciones.
Cuando se cierra el acceso a Odnoklassniki, se bloquean los puertos USB, se elimina ICQ, la seguridad de la información cambia de tal modo que casi todos los usuarios de la empresa contra sí mismo. Después de todo, el nivel de seguridad no ha aumentado mucho, pero se ha vuelto realmente incómodo trabajar.
Sobre todo teniendo en cuenta que tras instalar y configurar herramientas de seguridad suelen pasar a la represión.
Se encuentran con el peor enemigo dentro de la empresa, que se atrevió (¡oh, horror!) a intentar sincronizar los contactos de su móvil llame por teléfono con el programa de correo electrónico y organice vuelos demostrativos de “análisis”.
Al mismo tiempo, en el centro de liquidación, todo el departamento de contabilidad tiene acceso al programa cliente-banco y a la firma del General Director, ya que la ficha con la llave está en el escritorio del jefe de contabilidad.
Se pueden contar muchas historias de este tipo, cosas banales, pero así son las cosas en la gran mayoría de las organizaciones rusas.
Por lo general, se llega a la segunda etapa: la seguridad de las aplicaciones comerciales solo después de una serie de robos, cuando es simplemente imposible no prestar atención.
La seguridad técnica de mosaico no es capaz de crear la base para la protección total de las aplicaciones comerciales, ya que la mayoría de los problemas no radican en el aspecto técnico, sino en el organizativo. avión.
Al realizar una auditoría de los procesos internos y analizar los resultados obtenidos, no sólo podrá descubrir puntos débiles desde el punto de vista de la seguridad de la información, sino también “desenterrar” suficientes oportunidades para optimizar su negocio.
Los resultados de Estos estudios siempre despiertan el interés de la dirección y aumentan la autoridad de la seguridad de la información.
Finalmente, consideremos otra situación en la que la seguridad de la información ya está establecida y funciona como debería.
Sí. , sí, este tipo de empresas también existen.
Si todo funciona y no se producen violaciones de la seguridad de la información, con el tiempo la dirección comenzará a pensar que los especialistas en seguridad de la información no están haciendo nada y que les pagan en vano.
Por lo tanto, uno de los más importantes Los elementos de la seguridad de la información son la capacidad de demostrar su trabajo, de expresarlo de forma clara y accesible.
Seguridad de la información — se trata de la seguridad de la información y la infraestructura de soporte frente a influencias accidentales o intencionales de naturaleza natural o artificial, cargadas de daños a los propietarios o usuarios de la información y la infraestructura de soporte.
Los especialistas en seguridad de la información tienen idear métricas que les permitan evaluar su trabajo. El número y la composición de las métricas depende de los usuarios a quienes están destinadas.
Mi experiencia personal muestra que el número total de métricas para la gestión no debe exceder de diez, de lo contrario la percepción será muy difícil.
Denis Muravyov, director general del grupo de empresas 4×4 Professional Services Bureau
Revista «Director de seguridad», Agosto 2010