Системы обеспечения информационной безопасности как часть корпоративной культуры современной организации (П. Волков, "Финансовая газета", N 34, август 2006 г.)

Системы обеспечения информационной безопасности как часть
корпоративной культуры современной организации

В своей каждодневной работе руководитель пытается найти такой способ достижения требуемого результата, при котором выгода будет значительно существеннее затрат на ее получение и остаточных рисков, и то, как он выбирает способы достижения целей, какие остаточные риски считает приемлемыми, отражает характер корпоративной культуры его организации.

На каждом этапе существования организации присуща специфичная форма корпоративной культуры, и сама потребность в обеспечении информационной безопасности является прямым ее (формы) следствием. Так когда же возникает необходимость в информационной безопасности?

Потребность в обеспечении информационной безопасности появляется тогда, когда среди множества рисков бизнеса становятся значимыми те из них, которые связаны с информацией, системами, ее обрабатывающими, и сотрудниками, участвующими в этом процессе. В такой ситуации предприниматель должен:

оценить выгоду от внедрения системы или сервиса;

определить стоимость внедрения и эксплуатации;

установить потенциальные проблемы, связанные с данной системой, и стоимость мер по противодействию им;

убедиться в приемлемости остаточных рисков, а также в том, что выгода от внедрения системы по-прежнему значительно превышает сумму затрат на внедрение, эксплуатацию, защиту и величину остаточного риска;

принять решение о дальнейшей судьбе системы.

Интересно то, что процесс оценки потенциальных проблем, связанных с обеспечением информационной безопасности организации, состава и стоимости мер по противодействию им, принципиально не отличается от процесса анализа проблем экономического или административного характера. Все та же логика - сбалансировать затраты и риски в пользу максимизации выгоды. Данное балансирование является искусством и крайне сложно формализуется.

Что касается корпоративной культуры, то ее форма позволяет определить, насколько обоснованными и полными должны быть оценки и насколько органичными будут процессы обеспечения информационной безопасности наряду с процессорами управления организацией. В каких-то случаях не будет никаких оценок, в других - будет длинный и формальный процесс принятия решения. Вопрос же о том, какой из случаев лучше, некорректен по своей природе. Лучше то, что лучше "впишется" в традицию, в бизнес компании.

Теперь обратимся к вопросу корпоративной культуры управления и информационной безопасности.

Деятельность современной организации базируется на трех "китах": люди, процессы и технологии. Последние две составляющие могут быть реализованы достаточно эффективно, а первая - самая непредсказуемая и сложно управляемая.

Для описания культуры управления применяют так называемые модели управленческих отношений. Их можно найти в трудах известного социолога, исследователя эффектов и парадоксов организационного управления, создателя первой отечественной концепции по психологии организационного управления Ю.Д. Красовского. Так, в книге "Организационное поведение" (М., ЮНИТИ, 2004) Ю.Д. Красовский выделяет три полюса управленческих отношений: бюрократические и новаторские; технократические и гуманизаторские; клановые и демократизаторские:

клановые - работники подчиняются силе (воле) руководителя;

технократические - работники подчиняются производственному процессу;

бюрократические - работники подчиняются организационному порядку нередко в ущерб делу;

демократизаторские - руководитель постоянно учитывает мнение работников в корректировке рабочего процесса;

гуманизаторские - руководитель уважает человеческое достоинство работников, проявляет заботу о них;

инноваторские - руководитель предоставляет работникам свободу творчества, организует внедрение инициативных предложений.

Данные модели можно изображать графически. На рисунке приведен пример графика организационной культуры, полученный в результате проведенного аудита нескольких компаний. Сплошной линией соединены точки, обозначающие текущее состояние организационных отношений внутри компаний, пунктирной - требуемое состояние после внедрения системы обеспечения информационной безопасности (СОИБ). Чем дальше от центра расположены точки, тем больше проявляется соответствующая оси форма организационного поведения.

Модель управленческих отношений

Основной ценностью моделей является возможность быстрой диагностики корпоративной культуры управления и формирования предложений по построению СОИБ не просто на основе "лучших практик", а исходя из реалий управленческих отношений и традиций, что позволяет значительно снизить вероятность неудачи при ее внедрении. Меняется также сам принцип внедрения СОИБ. Это уже не насильственное "прикручивание", "закручивание гаек" и т.п., а эволюционный процесс организационных изменений, в результате которых процессы СОИБ становятся органичной частью культуры управления организацией. Основой планирования организационных изменений являются те же модели управленческих отношений.

Следует отметить, что само понятие эффективности СОИБ возникает из-за сложности и неоднозначности выбора наилучшей системы. Можно строить систему, изначально учитывающую требования информационной безопасности, и такая система стоит недешево, или, желая сэкономить, можно закупить стандартное решение, для которого, впрочем, затем все равно потребуются дополнительные затраты, зачастую довольно существенные, на обеспечение его защиты. Кроме того, важно не забывать, что процессы функционирования современных организаций и поддерживающие их информационные системы не бывают статичными, они постоянно меняются, адаптируясь под потребности рынка, СОИБ тоже должна адаптироваться.

Основную идею эффективной СОИБ можно сформулировать так: являясь частью процессов управления организацией и опираясь на техническую инфраструктуру, данная система должна максимально сокращать величину рисков, связанных с ИТ, минимизировать затраты на это и обладать большим запасом гибкости для самостоятельной адаптации к меняющимся условиям.

Таким образом, если в корпоративную культуру изначально не закладывается противопоставление безопасности и бизнеса, то получается вполне органичная структура, в которой всем понятен и очевиден принцип, что и бизнес, и безопасность преследуют одну общую цель: найти такой способ достижения целей (выгод), при котором выгоды будут значительно больше суммы затрат на их получение и остаточных рисков. Кроме того, процесс внедрения СОИБ на современном предприятии не может быть революционным. Это, скорее, эволюционный процесс управляемых организационных изменений. Что же касается самой СОИБ, то она обязана обладать достаточно большим запасом гибкости для самостоятельной адаптации к изменениям внутренней и внешней сред.

П. Волков,

начальник отдела информационной безопасности

Компания "Открытые Технологии"

"Финансовая газета", N 34, август 2006 г.