Информационная безопасность – дорого и непонятно или просто и доступно?

Каким у нас видит малый и средний бизнес вопросы Информационной безопасности? Особенно аудит ИБ?

Приходят «серьезные ребята» много чего-то спрашивают, изучают, в итоге дают заключение на 50-300 листов, которое не только понять, но и прочитать-то тяжело…
И стоит это ***сот тысяч рублей. Зато всё серьезно, по взрослому, много графиков, выдержек из гартнера, PwC, ФСТЭК. Аудит ИБ

Рекомендуется разработать и внедрить *цать документов, купить оборудования и программного обеспечения на *ть миллионов и тогда всё будет хорошо. Да, ну и, конечно, внедрять и разрабатывать будет та же организация, которая проводила аудит.

А надо ли это бизнесу? Действительно ли нужны эти *цать документов? На сколько экономически целесообразно тратить *ть миллионов?

Если у Вас крупный банк или производство, то вполне вероятно, что затраты оправданы, высокие риски требуют серьезного подхода. И свой офицер безопасности у вас есть, и тренинги по ИБ регулярно проводятся, и процессы отстроены, и периметры защиты имеются – всё как положено.

НО НУЖНО ЛИ ЭТО среднестатистической средней организации? Маловероятно.

По результатам аудита ИБ средней Компании нужен простой документ, в котором на понятном не специалисту языке будет написано, что плохо, какие риски это влечет, и что надо сделать для того, чтобы было хорошо. И без «умных» слов. Краткость сестра таланта.

  • Есть ли смысл давать предложения на покупку оборудования за 800 тыр, если финансовый директор до сих пор имеет пароль «1111», а используемые в организации рабочие места под управлением Windows не обновляются по несколько месяцев?
  • Является ли первостепенной задачей разработка и внедрение эшелонированной защиты периметра, если до сих пор на роутере установлен пароль по умолчанию, а доступ к корпоративной сети можно получить за 15 минут с помощью WIFI?

Думать об Информационной безопасности нужно всегда, хотя бы на базовом уровне, компаниям любой отрасли, стоимости и уровня развития. Подход и затраты разные, цель одна – защитить бизнес.

Мы четко разделяем, кому что нужно. Если в организации вопросам ИБ уделяется большое значение, разработаны требования, произведена оценка рисков, то предполагается, что уже базовый уровень ИБ в норме. Хотя конечно по-разному бывает.
И таким организациям нужны предложения уже по ПОВЫШЕНИЮ уровню ИБ, а не по его минимальному соответствию.

В то же время, организация, впервые задумавшаяся о вопросах ИБ, будь то возникшее понимание руководителя, или в следствие инцидента утраты/ разглашения конфиденциальной информации, должны начинать с азов:

  • Проверка уровня знаний своего ИТ специалиста,
  • Базовые настройки безопасности серверов и рабочих станций пользователей,
  • Базовые настройки сетевого оборудования и сервисов

Вот с чего надо начинать. То есть закрыть максимум явных рисков с минимальными затратами. И это – просто. И недорого.

Экспресс-аудит ИБ МОЖНО ПРОВЕСТИ В НЕБОЛЬШОЙ ОРГАНИЗАЦИИ ЗА ОДИН ДЕНЬ, и по итогам получить конкретный перечень проблем и рекомендаций по их устранению, как правило не связанных с дополнительными затратами на покупку оборудования или программного обеспечения.

Таким образом, кратко резюмируя, – вопросы Информационной безопасности важны для любой организации различного размера и уровня развития. Но, подход и решения разные.
И, соответственно, просто и доступно для всех, просто разные требования и бюджеты.

Не надо опасаться, что это сложно и дорого – лучше сейчас потратить немного денег и привести всё в порядок, чем ждать инцидента.

«Пока гром не грянет, мужик не перекрестится»,- это ведь не про вас?

Добавить комментарий

Ваш адрес электронной почты не будет опубликован. Обязательные поля отмечены знаком *