Звеното по ИТ сигурност и неговите ключови партньори

Актуалният въпрос днес е не в това дали организацията се нуждае от специалист по информационна сигурност, а дали само един експерт е достатъчен да покрие всички области засегнати от критични информационни процеси?

Найден Неделчев - CISM,CEH,ITSM

Безспорно е, че модерният бизнес е немислим без компютърните и комуникационни технологии. Благодарение на тях изпълнението на ежедневните бизнес-задачи е ускорено до степен немислима само преди няколко десетилетия. Често за високо ефикасното предоставяне на тези услуги се извършва неимоверна работа, която по ред субективни или обективни фактори остава ?на заден план? - скрита за висшето управление и потребителите. За да се разреши този проблем в управителните съвети на организациите бяха включени висшите представители на технологичните звена ? директорите по ИТ (CIO/CTO). Неизбежно високите технологии носят със себе си както ползи така и рискове. Директорът по ИТ създава и оперира големи и комплексни ИТ инфраструктури, но допустимо ли е в неговия ресор да остане и извъшването на проверката за надеждност и сигурност на тези решения?
Отговорността за информационната сигурност става все по-важна поради увеличаващите се възможности за злоупотреба, а също и в следствие на нарастващата база от законови нормативни изисквания като SOX, GLBA, HIPAA, EU-DPD, PCI, FISMA и др. От известна гледна точка въпроси като защита от хакерски атаки, оценка на рисковете, гарантиране поверителността на данните и др. са далеч по-интересни, от колкото на пръв поглед тривиалната задача за позициониране на едно звено във фирмената структура. Вярно е обаче и друго ? колкото и съвършени да са инструментите за работа, каквито и знания и опит и да има един специалист, без осигуряване на правилната среда за прилагането им резултатът би бил ако не посредствен то поне ненавременен. Актуалният въпрос днес е не в това дали да същестевува, а дали е достатъчен един специалист по информационна сигурност в организацията за да покрие всички области засегнати от критични информационни процеси? Защото азбучна истина е, че колкото фирми и органзации същестуват, толкова са и различните форми, под които са структурирани техните управление и дейност.

Зависимости между ключови, оперативни и контролни звена
Звеното по информационна сигурност оперира в сложна среда със значителен брой участници в различни процеси (Фиг.1). Сериозни въпроси за дейността и инегрирането на звеното във фирмената среда се поставят от ред външни и вътрешни условия като:
 степен на зависимост от технологиите;
 видове технологи;
 специфични нормативни изисквания;
 модерните днес изнесени услуги в рамките на една организация или към трети страни;
и не на последно място
 сложната система на груповите или холдингови структури с делегирани самостоятелни ръководства.
Всеки от тези фактори би бил потенциален изтчник на един или няколко от следните проблеми:
 Възпрепятстващ бизнес-процесите фактор
 Конфликт на интереси
 Препокриване на задълженията
 Разминаване между управленска задача и оперативни решения
 Неефективно изпълнение на задълженията
 Възможности за заобикаляне на изградените решения
За да бъдат избегнати тези проблеми, при вземането на решения относно позиционирането и функциите на звеното по ИТ сигурност е необходимо да се вземе в предвид и анализира всеки от следните фактори:
 Характер/сфера на стопанска дейност
 Възможности на организацията
 Външни и вътрешни изисквания
 Готовност и желание от страна на висшето ръководство
 Външни и вътрешни зависимости
 Ниво на култура на работната среда
 Зрялост на бизнес процесите
 Наличие на други звена с контролни функции
Изброените фактори не са степенувани по важност. Независимо от реда в който ще бъдат разгледани тези въпроси, отговорите са еднакво важни, а наличието на максимален брой отговори е предпоставка за вземането на адекватно решение, съобразено с нуждите на съответната органиация. Тези отговори могат да бъдат получени основно като се следват 2 модела за вземане на решение, условно наречени адаптивен и аналитичен (или разбира се тяхната комбинация).

Модели за вземане на решение
Адаптивният модел ползва вече натрупани и анализирани данни за тенденции в решенията от областта. Това може да са различни материали, в чието обобщаване се заключава задачата за извличане на решение пред експертите и висшето ръководството. Предимствата и недостатъците на този модел са ясни ? челният опит и изпитаните решения пестят време, но стесняват хоризонта.
За отправна точка при прилагане на адаптивния модел може да послужи например проучване, подобно на направеното от Deloitte (Protecting the Digital Assets Survey ?2006), данни от което са показани на фигура 2.
Ползвайки този модел на решение в проучването на водещата одиторкса компания виждаме, че подчинеността на звеното по информациона сигурност се измества към Борда на дректорите и Изпълнителния директор, за сметка на и все още леко преобладаваща практика това да са Директорът отговорен за ИТ или началникът на самото ИТ звено. Това се потвърждава и от направена през първото тримесечие на 2006 анкета от IDC, където близо 21% отбелязват, че крайната отговорност за сигурността е поета от Изпълнителния Директор (CEO), а 73% смятат, че тази тенденция ще се запази.
Характерното за аналитичния модел е, че при него към решението се тръгва ?от нула?, като към изходните данни се прилагат една или няколко методики (например ITIL, ISO 17799, SSE-CMM). В хода на изследването крайният отговор може неколкократно да се променя до намиране на оптималния за организацията вариант. Този подход е по-трудоемък и бавен, но в някой случаи е единсвеното правилно решение.
Първат стъпка в този модел е намирането на основните спонсори (фиг. 3), т.е. на онези заинтересувани страни в организацията, които се нуждаят да бъдат взети мерки за обезпечаване на информационните ресурси. Подходът и методологията могат да бъдат различни, от съществена важност обаче за всички е правилното формулиране на задачите и очакванията, за да не се получи израждане или разминаване с разработваните в последствие решения.

Позициониране на звеното по ИТ сигурност
Най-разпространените схеми на реализиране управлението на сигурността включват позициониране и пряко подчинение на:
 ИТ директор (CIO/CTO)
Това е преобладаващото в момента решение и естествена стъпка в еволюцията на управлението на информационната сигурност. За предимствата и недстатъците на такова позициониране може да се говори много. Балансът между тях е крехък но при добър контрол могат да бъдат постигнати значителни резултати. Трябва да се подчертае, че под ИТ директор се има в предвид директор - член на Изпълнителния съвет или Борда на директорите, в чийто ресор е контролът и надзора в управлението на ИТ, а не ръководителя управляващ екипът на ИТ.
 Подфункция в ИТ звено
Днес това е възможно най-неудачното решение. Такова позициониране е характерно за миналото, когато информационната сигурност се асоциираше основно с антивирусни решения и защитни стени, т.е. технологиите. Сега подобен вариант е може би приемлив единствено в случай на силно ограничение на възможностите за персонал или експертиза.
 Личен състав (Човешки ресурси)
Голяма част от задачите по изграждане на ефективни мерки за защита са свързани с човешкия фактор чрез политиките и техните резултатни документи. Следването на дефинираните политики е задача на личния състав на организацията. Това решение е удачно при ограничени възможности за технологични решения в следствие на малък бюджет или липса на специалисти.
 Управление на риска
Една сравнително нова дисциплина е управлението на рисковете в дейностите на организацията. Задачата на информационната сигурност е именно елиминиране на рисковете към информационните ресурси, поради което лесно може да се интегрира в звеното за Управление на риска. Възможен недостатък е изолирането и бюрократизирането на дейността на звеното, а така то става неефективно.
 Изпълнителен Директор (CEO)
Това е несъмнено най-доброто решение. Звеното по ИТ сигурност има контролна функция ? като това на вътрешния контрол например. Резултатите от неговата оперативна работа трябва регулярно да стигат директно до висшето ръководство, без преди това да са променени или политически повлияни от бизнес или други интереси. Отчетът пред борд на дирекорите е сходна възможност, но недостатъкът в нея е координацията и груповата отговорност на взетите решение.
В контекста на казаното до тук по естесвен път се стига и до основните звена, с които работещите в сферата на инфромационната сигурност служители следва да търсят и намират щироко партньорство и сътрудничество (Таблица 1).

В заключение
Изискванията, които са предпоставка за успех при позициониране на звеното по ИТ сигурност могат да се обобщят като необходимост от осигуряване на:
 Видимост
 Легитимност
 Независимост
 Поддръжка на бизнес-целите и процесите
 Директна връзка с фирменото ръководство
 Съобразяване с фирмената култура/традиция

Найден Неделчев е началник сектор Сигурност на технологиите в Мобилтел ЕАД. Професионалният му опит включва позиции от различни нива във финансови и банкови организации, работа в групови и международни проекти. Има магистърска степен по Информатика от СУ и поредица от престижни сертификати в областта на ИТ, като Certified Information Security Manager, Certified Ethical Hacker, Security+, Master Computer Industry Knowledge Analyst и др.

Фиг. 1: Зависимости между ключови оперативни и контролни звена




















Фиг. 2: На кого докладва директорът по ИТ сигурността

















Фиг.3 Спонсори за реализиране на инициативи по информационна сигурност.



Таблица 1. Съюзници на звеното по ИТ сигурност




Източник: IDG.BG