Это только теоретически малый и крупный бизнесы различаются численностью персонала и оборотами. На самом деле отличий гораздо больше, в том числе в сфере информационной безопасности.
Это только теоретически малый и крупный бизнесы различаются численностью персонала и оборотами. На самом деле отличий гораздо больше, в том числе в сфере информационной безопасности.
Цели крупного и мелкого бизнеса одинаковые — получение прибыли. Возможности, средства и методы их достижения у предприятий разного размера различные. В любом случае им приходится платить за то, чтобы бизнес был безопасным и минимально рискованным.
«Платой за безопасность являются накладные расходы. Они уменьшают прибыль бизнеса, — считает заместитель начальника главного управления безопасности и защиты информации ЦБ РФ Андрей Курило. — Малый и больший бизнес по-разному реагируют на необходимость нести накладные расходы».
Игра по-крупному
В крупном бизнесе свои правила игры. Эти предприятия заинтересует не столько аудит информационной безопасности, сколько подтверждение соответствия определенному набору требований со стороны акционеров или регулирующих органов (например, в случае, если компания собирается выходить на IPO).
«Однажды представитель крупной телекоммуникационной компании посетовал в доверительной беседе, что его удивляет подход крупных консалтинговых компаний: им все равно, аудит какой компании проводить, телекоммуникационного оператора, пищекомбината или горно-обогатительного предприятия, — рассказывает Алексей Волчков, президент ассоциации «РусКрипто». — Их методики аудита не учитывают особенностей того или иного бизнеса».
Более правильный подход к задаче обеспечения информационной безопасности предполагает, что ее создание и развитие осуществляется исходя из бизнес-логики работы компании, особенностей ее бизнес-процессов, информации, которая в них циркулирует. Следует понять, какая информация представляет собой логически связанные блоки или единицы, и затем решить, какие блоки следует защищать.
«Универсальную методику придумать нельзя. В каждой компании бизнес-процессы специфичны. В зависимости от того, как и какая информация проходит по ним, следует решать, какими методами и средствами обеспечивать ее безопасность. Например, у оператора сотовой связи можно выделить порядка пятнадцати важных бизнес-процессов, которые следует защищать. В компании, которая занимается сетевой дистрибуцией, логика прохождения информации будет совсем другой, поэтому защищать нужно иные бизнес-процессы», — пояснил Волчков.
Малые радости
Особенностью компаний малого и среднего бизнеса является то, что им, как правило, не нужны формальные процедуры проверки и сертификаты на соответствие стандартам и требованиям, которые исходят от внешнего потребителя, инвестора или аудитора. Они могут позволить себе работать, следуя логике развития собственного бизнеса.
В ведении ИТ-директора компании «МАГ Консалтинг» Дмитрия Никулина находится более 50 пользователей и восемь серверов. По его мнению, структура компаний малого и среднего бизнеса достаточно динамична. «Излишняя формализация, введение завышенных требований стандартов, в том числе и в сфере информационной безопасности, не отвечающих нуждам компании, не только не принесут пользы, но и лишат компанию такого преимущества, как возможность быстро перестраиваться в соответствии с требованиями изменяющегося рынка, — убежден Никулин. — Введение внутренних стандартов, уровень и количество которых определяет сама компания, позволит ей играть по своим правилам, не допуская в то же время анархии и бесконтрольности. Главное, чтобы стандарты соответствовали уровню развития бизнеса. Не нужно забывать и о том, что в компаниях малого бизнеса коллектив сотрудников, как правило, более управляем и восприимчив в плане выполнения различных требований и стандартов».
Процедуры сертификации на получение международного стандарта — достаточно дорогостоящие мероприятия, и малому и среднему бизнесу это может оказаться не под силу. Справедливости ради стоит заметить, что, как правило, этого и не надо. В первую очередь не очень крупные предприятия хотят понять, что именно с ними происходит, тратя при этом разумные деньги.
«Немаловажно для малого бизнеса выстроить взаимоотношения с подрядчиком так, чтобы всю работу по обеспечению информационной безопасности в компании можно было разбить на логические этапы, — считает Волчков. — После каждого из них следует решить, стоит ли продолжать работы и платить за них деньги. По нашему опыту, на каждом из этапов необходимо провести четыре-пять итераций, чтобы обрести общее понимание, подготовить описание, сформировать отчет, осуществить проектирование и затем уже внедрение системы информационной безопасности».
В этом случае каждый законченный этап позволяет поменять поставщика услуг, если он почему-то не устраивает предприятие. Кроме того, на каждом этапе создается логически завершенная картина. Наконец, такой подход дает возможность поэтапно оценивать и планировать расходы компании. При осуществлении процедуры сертификации этих этапов, как таковых, нет.
Мотивы и судьи
По оценкам экспертов, примерно половина из тех, кто приступает к решению проблемы информационной безопасности, уже испытали на себе какие-то неприятные последствия. Простейший пример. Компания построила корпоративную локальную сеть, но по каким-то причинам сэкономила на защите сервера. Через некоторое время выяснилось, что машина была «зомбирована» вредоносными программами и через нее стали гнать спам, это породило огромный трафик. В итоге компании пришлось оплачивать непомерно возросшие счета на его оплату.
Как правило, инициатива проведения аудита в малых и средних компаниях исходит от главного управляющего или владельца бизнеса — от тех, кто понимает и оценивает риски от угрозы информационной безопасности компании.
Вторая категория представителей малого и среднего бизнеса — это те, кто уже знают о том, что неприятные события, связанные с информационной безопасностью, случались с другими, и решили обезопасить себя. В практике Волчкова бывало, когда мотивом мог послужить случай, происшедший у кого-то из знакомых. «Дешевле защититься, нежели потом пытаться устранить последствия», — отметил он.
В таких ситуациях часто возникают затруднения, связанные с оценкой рисков. Дело в том, что методик их оценки, которые могли бы быть применены для разных компаний, в российских условиях просто нет! Существует около десятка известных методик по расчету рисков компаний. Часть их может быть применена к оценке рисков, связанных с нарушением информационной безопасности (оценка информационных ресурсов, выстраивание таблицы рисков, затем их оптимизация, учет остаточного риска и пр.). «Проблема в том, что эти методики западные и они работают исключительно в условиях стабильной экономики и общества, предсказуемости выполнения законов. В этом случае наличие хорошей статистической базы позволяет строить прогнозы на будущее. За этими методиками стоит 30—40-летний опыт использования ИТ для бизнеса», — считает Волчков.
В России и на всем пространстве стран СНГ в силу объективных причин этого нет. Во-первых, отсутствует стабильность внешней среды (рыночной и политической ситуации). Следовательно, нет и стабильности бизнеса на протяжении достаточно долгого времени, хотя бы 10—15 лет. Без большой репрезентативной выборки эти методики не работают.
По мнению Никулина, для малого и среднего бизнеса в наших условиях было бы правильнее говорить не о расчете, а о некотором «предсказании» рисков: «Компания должна рассмотреть свои возможные риски, оценить их с учетом специфики бизнеса и ИТ-инфраструктуры, соотнести значимость этих рисков с целями бизнеса и уже исходя из результатов такого индивидуального анализа принимать решение о построении системы информационной безопасности, ее структуре и уровнях защиты».
Свободный защитник
Защита информации создает определенный комфорт, давая компании, ее сотрудникам, партнерам и клиентам ощущение безопасности.
В малых и средних компаниях комфорту сотрудников уделяется больше внимания и придается большее значение. Топ-менеджеры понимают, что бизнес сильно зависит от того, насколько правильно сотрудник выполняет все то, что от него требуется, а это, в свою очередь, в значительной степени зависит от того, насколько удобно сотруднику работать в данной компании. Система информационной безопасности по крайней мере не должна вызывать дискомфорта. В противном случае небольшое предприятие от нее, скорее всего, просто откажется.
Сейчас на отечественном рынке имеется довольно много предложений по созданию интегрированных, комплексных систем безопасности «под ключ». Но это вовсе не означает, что решение «под ключ» учитывает специфику малого и среднего предприятия. Задачу можно решить несколько иначе, если сконцентрироваться на продуктах, которые обычно не поставляются только одной компанией.
По мнению начальника департамента программного обеспечения компании «Безопасность» Константина Москаленко, чем более типовое решение предлагается, тем более знакомо оно и тем, от кого оно должно обезопасить информацию фирмы.
Малое или среднее предприятие, как правило, стремится экономно расходовать свои деньги. Система в начале проектируется и только затем выстраивается из отдельных функциональных блоков (как из кирпичиков), составляющие которых интегратор должен взять для того, чтобы создать единое решение. Для реализации подобного подхода интегратору необходимо не только хорошо знать рынок, но и не быть связанным партнерскими обязательствами с вендорами. Хороший защитник должен быть свободным и действовать в интересах своего клиента, а не вендоров. Только в этом случае он будет легко и гибко работать со всеми продуктами, представленными на рынке. В этом случае заказчик может рассчитывать на то, что получит оптимально решение именно для своего бизнеса.
По мнению Никулина, блочная структура позволит компании не только эффективно управлять созданной системой и по мере необходимости вносить в нее изменения, но и осуществлять поэтапное внедрение этой системы: «С учетом стоимости комплексной системы возможность внедрения ее в несколько этапов может стать решающим фактором при выборе поставщика. Использование продуктов различных вендоров тоже может быть оправданно, поскольку специализированные решения часто выполняют свои функции эффективнее, чем компоненты единой комплексной системы».
Но получается явное противоречие. Малый бизнес считает деньги, а индивидуальное решение заметно увеличивает стоимость проекта. Как быть?
Диалог равных
Когда крупный интегратор и крупный заказчик ведут между собой диалог, то в случае конфликтов они могут вступать в разбирательства, выясняя, кто и в чем виноват. Когда крупное предприятие начинает работать с мелким интегратором в области информационной безопасности, то оно вынуждено допускать его до своих секретов. Но при этом предприятие обезопасить и защитить себя сумеет. А вот сможет ли обезопасить себя от давления маленький партнер?
Не очень крупное предприятие, по мнению Волчкова, рассуждает с точностью до наоборот: «Если крупный интегратор предлагает стандартный пакет услуг, то отношение к малым клиентам будет формальное. Так часто бывает, например, в отношениях небольших компаний с крупными игроками телекоммуникационного рынка: если за неуплату отключили телефон, потом придется долго ходить и доказывать свою правоту».
Кроме того, владельцу бизнеса, обеспокоенного его безопасностью, было бы непростительно пренебрегать еще одним аспектом сложностей партнерских отношений. Построение информационной системы связано со значительными внутрикорпоративными работами по выяснению и согласованию технического задания, инсталляции разработанного решения, его настройки, обучению персонала и сопровождению. По мнению Москаленко, чем крупнее предприятие-заказчик и мельче поставщик решения, тем больше шансов мелкому быть целиком поглощенным крупным. Специфика информационной безопасности усугубляет этот процесс, так как степень контроля исполнителей должна быть еще выше и, соответственно, мотив к «охоте за головами» еще более усиливается (поскольку прозрачность работы своих сотрудников существенно выше, чем внешних).
Чтобы бизнес крупного интегратора был прибыльным, штат его специалистов должен постоянно отрабатывать поступающие заказы. При этом проекты, которые подразумевают нестандартные, творческие подходы, как правило, будут неинтересны, так как требуют много времени для поиска оптимального решения и не могут принести большой прибыли. Чтобы состоялся партнерский диалог, услуги должны предлагать компании, равные по «весу» со своими клиентами.
В скором времени следует ожидать появления системных интеграторов, осуществляющих бизнес на основе управляющих компаний, которые могли бы принять на себя обязательства по выполнению заказа, разложить его на составляющие и привлечь для решения конкретных задач необходимых специалистов.
Но ни для кого не секрет, что порог вхождения на рынок интеграторских услуг достаточно высок, причем он определяется не только деньгами, но и компетенцией: компании нужно быть готовой к тому, чтобы подтверждать и доказывать заказчику, что она способна решить поставленную задачу. «В аналогичной ситуации крупный интегратор начнет приводить примеры выполненных им проектов. Управляющая компания может подтвердить свою компетенцию, предоставив резюме специалистов, которые будут работать в данном проекте. Для управляющей компании порог вхождения в этот бизнес измеряется опытом и знаниями специалистов, которых она сумеет привлечь. Если управляющая компания опасается, что заказчик сможет пригласить к себе этих специалистов в обход нее, то она сможет обезопасить себя от подобной ситуации, предоставив так называемые обезличенные резюме», — считает Юрий Ткачев, строящий бизнес компании «СпецЭкоСтрой» как раз по модели управляющей компании.
Впрочем, помимо развития сценария с управляющими компаниями, возможны и другие. В частности Никулин был бы не против использовать в качестве исполнителя компании, занимающиеся ИТ-консалтингом или аудитом систем информационной безопасности, но не предлагающие собственные решения: «Если после проведения обследования такая компания не только представит рекомендации по субподрядчикам, но и выступит в роли некоторого гарантом защиты прав обеих сторон, то использование небольших компаний в качестве непосредственных исполнителей будет вполне возможным и не приведет к неравноправию участников процесса. Справедливость сохранится и при работе небольшого заказчика с крупным интегратором».
Таким образом, при наличии спроса со стороны малого и среднего бизнеса решения непременно найдутся. И хорошо бы, если они всесторонне учитывали специфику этого бизнеса.