Главные угрозы цифровой безопасности | Большие Идеи

? Операционное управление
Статья, опубликованная в журнале «Гарвард Бизнес Ревью Россия»

Главные угрозы
цифровой безопасности

Чем выше уровень безопасности, тем больше неудобств эти меры причиняют служащим.

Автор: Карл Янг

Главные угрозы цифровой безопасности

читайте также

Страховка от беспилотного будущего

Джон Кузано,  Майкл Костонис

Богословие для ученых

Владимир Рувинский

Не дайте платформам убить ваш бизнес

Андрей Хагиу,  Джулиан Райт

Десять самых интересных статей renchen.ru в январе

В ИТ видят как источник проблем с безопасностью персональных данных, так и средство спасения, ведь хакеры обычно воруют информацию, обнаружив какой-то технологический изъян в системе. Кроме того, сети зачастую превращаются в место преступления, их устройство сбивает с толку большинство пользователей, а потому они кажутся нам подозрительными. С другой стороны, соблазнительно довериться изощренным средствам защиты: они, мол, сами по себе способны уберечь от хакеров. Но эта слепая доверчивость упускает из виду основные источники информационных рисков: культуру компании и порожденные ею формы поведения.

Два аспекта организационной культуры оказывают наибольшее влияние на безопасность данных: уровень терпимости к неудобствам и уровень сотрудничества между отделами и коллегами.

Безопасность и удобство — это противоположности. Чем выше уровень безопасности, тем больше неудобств эти меры причиняют служащим. Дополнительный замок — это еще один ключ, усложненный пароль — необходимость запоминать и набирать лишние знаки. От готовности компании терпеть подобные неудобства напрямую зависит уровень ее безопасности.

Но всего нетерпеливее, как правило, оказываются руководители, те самые лидеры, которые и формируют культуру организации. Крайний пример этого я обнаружил в известной юридической фирме: там старшие партнеры вообще отказались пользоваться паролями! В точности как политические вожди, описанные Дэвидом Халберстамом: «Блистательные и глупые».

Особенно эта склонность забывать о мерах безопасности проявляется в организациях, служащих некоей цели. Все виды деятельности, которые непосредственно направлены на выполнение миссии, автоматически получают приоритет над теми, которые кажутся маловажными и тем более над теми, которые эту цель отдаляют. В такой корпоративной культуре сотрудникам позволяют (а то и явно поощряют их) пренебрегать неудобствами, которые следовало бы терпеть ради безопасности всей организации. Тот самый фактор, который обеспечивает этим компаниям успех — их преданность делу, подвергает их серьезному риску.

Читайте материал по теме: Закон сохранения привлекательной прибыльности

В фирмах, состоящих из автономных филиалов, возникает другая проблема, также влияющая на информационную безопасность. Подобная модель складывается обычно либо исторически — потому что какие-то филиалы приобретаются постепенно: либо из-за различий в бизнес-моделях или профиле покупателей. В любом случае в такой культуре трудно поддерживать общение и единые стандарты. В результате в каждом отделе устанавливаются собственные меры безопасности, которые трудно постоянно согласовывать, и риски от этого только возрастают.

Но и фирмы, отличающиеся культурой сотрудничества, тоже склонны к рискованным практикам управления. Например, академические институты активно поощряют «беспорядочные связи», потому что хотят как можно шире распространить знания. Даже компании из сферы высоких технологий не обладают полным иммунитетом: их молодые и амбициозные коллективы противятся ограничениям и секретности.

Когда утечка данных все-таки случается, винят во всем айтишников: мол, это они не уследили за безопасностью внутренней информации. Но на самом деле все усилия ИТ-отдела по сохранению данных подрывается самой корпоративной культурой компании. Тут примешивается и организационная проблема: ИТ-отдел обычно отвечает и за внедрение технологии, и за управление информационной безопасностью; отсюда раздоры между самими айтишниками: возникает конфликт интересов.

Как могли бы организации более эффективно справляться с современными проблемами в сфере цифровых данных, приняв во внимание те источники рисков, которые таятся в самой корпоративной культуре компании?

Читайте материал по теме: Кодекс эффективного руководителя

Не так-то просто ее изменить, в особенности если угрозой обернулись те самые факторы, которые прежде обеспечивали успех. Задача не в том, чтобы радикально изменить сложившуюся культуру, но нужно внедрить в ДНК фирмы ген безопасности и поддерживать специалистов, ответственных за внедрение соответствующих технологий, не обращая внимания на недовольство пользователей, которым придется запоминать пароли. Новые правила должны исходить с самого верха, и руководители обязаны подавать личный пример.

Зато существуют способы измерения, позволяющие получить хотя бы приблизительные, но вполне годные для анализа данные об уровне безопасности — и о том, насколько усиливается или ослабевает сопротивление основным мерам защиты.

Во-первых, нужно регулярно проверять отношение пользователей к политике информационной безопасности — это прямая проверка эффективности управления. Она должна быть простой, не специфически технической, ориентированной на риски, ее следует активно распространять и демонстративно внедрять на всех уровнях корпоративной пирамиды. Политикой информационной безопасности в первую очередь определяется стратегический подход к управлению информационными рисками: она задает правила поведения для каждого служащего и объединяет отделы и филиалы в общем для компании плане безопасности.

Читайте материал по теме: Обновление бизнес-модели

Политика информационной безопасности должна опираться на ряд технических и операционных стандартов, которые принимаются с учетом реальных рисков и определяются специалистами. Она диктует выбор процедур, а стандарты указывают, как внедрять и осуществлять их.

Во-вторых, хорошим, хотя и косвенным параметром культуры безопасности является надежность пароля. Если их легко взломать или их редко меняют, то либо в этой организации политика безопасности чересчур снисходительна, либо здесь допустимо пренебрегать правилами. В целом надежность паролей и частота их обновления довольно убедительно свидетельствуют о господствующей в компании тенденции: заботятся ли здесь в первую очередь о безопасности или об удобстве своего коллектива.

Политика информационной безопасности влияет на всех сотрудников и они, в свою очередь, влияют на нее, так что даже мелкие оплошности отдельного пользователя могут привести к существенным последствиям. Важно, чтобы все специалисты знали: соблюдая политику и стандарты информационной безопасности, они укрепляют корпоративную культуру своей фирмы, а не подрывают ее.

Читайте по теме: