Новости НСБ

29 декабря, 2017 |

Совещания (605)

Ксения Шудрова

Навык презентатора очень важен для CISO, как и для любого руководителя. От того, как будет подана информация на совещани-ях, зависит не только финансирование отдела, но иногда и его судьба. Информационная безопасность для руководителей высшего звена часто является абстрактным понятием, к тому же в отсутствие крупных происшествий работа специалистов по защите информации малозаметна – это как раз тот случай, когда дела сами за себя не говорят. При малейшем ухудшении финансового состояния компании может возникнуть вопрос о сокращении структурных подразделений, которые не связаны непосредственно с основной деятельностью организации. Важно, чтобы к этому моменту у администрации уже было понимание того, что защита информации – это необходимая часть работы компании, а не просто дань моде.

Цель защиты информации в организации – предотвращение утечек и устранение последствий нарушения режима информационной безопасности. Для специалиста эти слова звучат достаточно весомо, но совершенно не годятся для выступления с докладом на совещании. Первый совет для подготовки выступления: определите простые, понятные и при этом самые важные цели для компании:

• сохранение клиентской базы, секретов производства;

• контролирование работы сотрудников, имеющих доступ к ценной информации;

• выполнение обязательных требований законодательства (ФЗ «О персональных данных»);

• обеспечение бесперебойной работы компьютеров и серверов.

Если техническому специалисту при оценке своей деятельности удобно оперировать понятиями вероятности, актуальности, надежности и т. п., то руководитель организации хочет видеть конкретные результаты: сколько средств сэкономлено, какие суммы потрачены, чтобы знать ответ на вопрос, целесообразно ли содержать у себя отдел информационной безопасности или же можно обойтись одним приходящим специалистом? Отсюда второй совет при подготовке к совещанию: больше цифр, меньше качественных характеристик.

Доклад о предотвращении трех утечек персональных данных за истекший год не произведет столь сильного впечатления на слушателей, как та же информация, поданная, например, в таком виде: «Мы избежали 10 дней простоя, которые стоили бы нам 2 млн руб.». Получается, что «в попугаях мы длиннее»! Оперировать можно и другими показателями. В докладе на совещании для наглядности излагаемого материала можно применять следующие категории:

• деньги (сумма возможного/причиненного ущерба);

• время (простоя, работы специалистов);

• закон (виды ответственности);

• люди (инсайдеры);

• техника (компьютеры, серверы).

Для того чтобы добиться желаемого результата на совещании, начинать доклад целесообразно с достигнутых результатов и постепенно переходить от текущих направлений работ к планируемым. Необходимо показать, что многое уже сделано. При этом следует помнить, что существует очень тонкая грань между рассказом о многочисленных предотвращенных утечках и появлением у руководства подозрений в несостоятельности CISO обеспечить режим информационной безопасности. На совещании не должно создаться впечатление, что работа специалистов представляет собой постоянное латание дыр. Удачным решением будет показать первую предотвращенную утечку, а после этого сообщить о принятых после этого превентивных мерах, позволивших увеличить уровень защищенности в целом. Также можно остановиться на последующих случаях и показать, насколько менее опасными они были благодаря своевременным профилактическим мероприятиям.

Например, обнаружен факт ознакомления конкурентов с коммерческой тайной предприятия. Приняты меры по ужесточению режима информационной безопасности, выявлены лица, причастные к утечке информации, подано исковое заявление в суд с требованием о возмещении материального ущерба. Руководство же, в свою очередь, требует отчета о том, почему при наличии отдела информационной безопасности происходят подобные инциденты.

Читать полностью: http://www.s-director.ru/magazine/magdocs/view/142.html