Fot. Getty Images
W widoku wielu ludzi na bank to niekwestionowany synonim bezpieczeństwa. Ale kilka zasadniczych problemów nie pozwalają bankom zapewnić odpowiedni poziom bezpieczeństwa
Uważa się, że główne zagrożenia dla banków pojawiają się skądś z zewnątrz. Że to sprawka konkurencji, ataki hakerów, przecieki i inne kłopoty, a działy информбезопасности borykają się z nimi codziennie.
O takich historiach często piszą MEDIA, jednak głównym problemem pozostaje poza zasięgiem wzroku. Dziennikarze często piszą o skutku, a nie o przyczynach. Tymczasem poważnych błędów, które w końcu prowadzą do głośnych tytułów, nie jest tak dużo — w sumie jest ich pięć.
1. Rozbieżność w pojęciach
W widoku większości bank — to niekwestionowany synonim bezpieczeństwa. Ludzie są przekonani, że nie ma bezpieczniejszego miejsca do przechowywania pieniędzy i dokumentów. I jest to prawdą, jeśli chodzi o czymś materialnym. Ale nie o tym, że nie chować w sejfie.
Najcenniejsze dziś to informacje. Wraz ze wzrostem wartości informacji w świecie ewoluowały i sposoby jej ochrony. Dziś takie firmy, jak Google czy Facebook, gdzie lepiej chronić dane milionów użytkowników, niż banki. W dużych IT w firmach bezpieczeństwo dosłownie “wbudowany” wewnątrz samych produktów i jest obowiązkowa ich elementem. W tym samym czasie w bankach ochronę danych wciąż starają się zbudować jak niejaki kopuła nad firmą.
W tym tkwi główny błąd instytucji finansowych — są przyzwyczajeni dzielić bezpieczeństwo i IT. Przy takim podejściu ochrona będzie zawsze pozostawać w tyle. Ponadto, jeśli między IT i bezpieczeństwem konflikt, to istnieje duże prawdopodobieństwo, że kierownictwo podejmie stronę z pierwszych, którzy są zainteresowani w możliwie szybkim uruchomieniu produktu i skrócenie time to market. To w większym stopniu zgodne z interesem firmy, niż wymagania bezpieczeństwa informacyjnego. A to oznacza, дедлайны IT, najprawdopodobniej, będą się rozprzestrzeniać i funkcji bezpieczeństwa. I wtedy narzędzia ochrony znacznie tracą na skuteczności, bo integrują się w produkty na zasadzie pozostały.
2. Oficerowie zamiast inżynierów
Zazwyczaj na stanowisko dyrektora ds. bezpieczeństwa banki wolą zatrudniać doświadczonych i wiekowych menedżerów, którzy jednym swoim surowym widokiem wzbudzić zaufanie. Nikogo nie obchodzi, jak taka kierownik będzie szukać wspólnego języka z młodymi twórcami. Choć właśnie z nimi w pakiecie będzie musiał pracować.
Do globalnej digitalizacja osób z psychologią oficera służb specjalnych, idealnie nadawał się do banku, bo on jest głównie odpowiedzialny za fizyczną ochronę papierowych pieniędzy i dokumentów. Ale teraz, kiedy Digital-składnik stał się dla rynku finansowego określa się zmieniły i wymagania dotyczące ochrony danych. I teraz poszukiwaniu dobrego technicznego różne kolor tła — jedno z kluczowych wymagań do dyrektora ds. bezpieczeństwa.
Nie mniej ważne jest również elastyczność i umiejętność prowadzenia dialogu z rozwojem i inżynierów. Menedżer, harmonijnie łącząc w sobie te umiejętności, potrafi radykalnie zmienić podejście do organizacji bezpieczeństwa w firmie i wyprowadzić ją na jeden poziom z technologicznymi gigantami.
3. Niechciane zagrożenia
Strach — to nie tylko jeden z najsilniejszych motywatorów, ale i dobre narzędzie do manipulacji. Zazwyczaj rozmowa pracownika z usługi bezpieczeństwa informacji już sam w sobie jest postrzegana jako powód do niepokoju. Strach przed utratą pracy za naruszenie krajowych przepisów — zjawisko powszechne w firmach. Wtedy wszelkie wymagania безопасников, zazwyczaj wykonywane są bez zbędnych pytań.
Jednak przeznaczenie dyrektora ds. bezpieczeństwa w rzeczywistości nie w tym, aby mocno przestraszyć kolegów i przewodnik, jego rola, gdzie większe. Kompetentny dyrektor IB może zmienić pogląd na temat bezpieczeństwa w banku: od ślepego strachu streszczenie zagrożeń do świadomego dążenia do rozwiązywania konkretnych problemów. Wtedy do całej firmy przyjdzie zrozumienie, że bezpieczeństwo informacji jest integralną częścią współczesnego biznesu, a nie źródło problemów. Kreatywne składnik w pracy dyrektora ds. bezpieczeństwa musi stać się decydujące, wtedy i jego kolegów ochotę zagłębić się w naukę kwestii ochrony danych.
4. “Niebezpieczna” środa
Zakres cyberbezpieczeństwa w Rosji teraz — azyl dla wszystkich, którzy prowadzą biznes w internecie. Mimo, zastraszanie i nie najlepszy mechanizm wpływu na bankierów, ale zdecydowanie najszybszy. Dostawcy usług dla banków wydają ogromne środki na promocję swoich rozwiązań. Korzystnie jest, aby przywódcy doświadczył niezmywalny strach przed tajemniczą i przerażającą dostęp do internetu-przestrzenią. Panikowali i wybrać złe decyzje — to kolejny błąd.
Nie wynika z tego, że na rynku nie brakuje godnych rozwiązań. Wręcz przeciwnie, to właśnie высококонкурентная środa zachęca producentów wykorzystać wszystkie dostępne środki. Dowiedzieć się, jakie zagrożenia są naprawdę warte uwagi, a które po prostu nadęty медиапузырь, nieświadomych człowiekowi wystarczająco ciężko. Umiejętność ignorować medialny szum i znalezienie odpowiednich partnerów za rozsądne pieniądze — jeszcze jedna z kluczowych zadań banku.
5. Gra w dopasowanie
Zakres ochrony informacji, jak i każda inna, jest regulowana i podlega szeregu przepisów. Część banków błędnie uważa, że przestrzeganie ustalonych norm automatycznie gwarantuje im bezpieczeństwo. Niestety, wiele z nich spełniają wymagania norm dla uzyskania formalnej wnioski o zgodności. To, oczywiście, dobry pierwszy krok, ale to nie wystarczy do tego, by twierdzić, że firma naprawdę pracuje nad własnym bezpieczeństwem.
Jest to wspólny problem dla światowego rynku, choć w Rosji sytuacja jest nieco lepiej. Tutaj regulator nadaje się do wypracowania norm kompleksowo. Z naciskiem nie na teorii, a w praktyce zapewnienia bezpieczeństwa kosztem norm. Na przykład, gdy zaproponował zrobić пентесты (testy penetracyjne) części obowiązkowej kontroli.
Wszystko powyższe nie oznacza, że rynek bezpieczeństwa буксует na miejscu. Przemysł rozwija się, i to bardzo szybko. Ale jeśli chcemy zapewnić prawdziwe bezpieczeństwo danych, które przechowujemy i przetwarzamy, to mało spełniać standardy, trzeba być powyżej nich.