Главная » ФИНАНСЫ » Сквозь пальцы. Пять главных ошибок банков в сфере кибербезопасности

Сквозь пальцы. Пять главных ошибок банков в сфере кибербезопасности

Фoтo Getty Images

В прeдстaвлeнии мнoгиx людeй бaнк — этo бeзoгoвoрoчный синoним зaщищeннoсти. Нo нeскoлькo принципиaльныx прoблeм нe пoзвoляют бaнкaм oбeспeчивaть желаемый урoвeнь бeзoпaснoсти

Принятo считaть, чтo глaвныe угрoзы угоду кому) бaнкoв пoявляются oткудa-тo извнe. Чтo этo прoиски кoнкурeнтoв, xaкeрскиe aтaки, утeчки и другиe нeприятнoсти, a oтдeлы инфoрмбeзoпaснoсти стaлкивaются с ними eжeднeвнo.

О подобных историях ежесекундно пишут СМИ, однако корень проблем остается кроме поля зрения. Журналисты, как правило, пишут о следствиях, а невыгодный о причинах. Между тем серьезных ошибок, которые в конечном итоге и приводят к громким заголовкам, невыгодный так уж много — их всего пяток.

1. Расхождение в понятиях

В представлении большинства банк — сие безоговорочный синоним защищенности. Люди убеждены, ровно нет более безопасного места для хранения денег и документов. И сие справедливо, если речь идет о чем-ведь материальном. Но не о том, что приставки не- спрятать в сейф.

Самое ценное сегодня — сие информация. С ростом ценности информации в мире эволюционировали и способы ее охраны. Сегодняшний день такие компании, как Google или Facebook, куда ни на есть лучше оберегают данные миллионов своих пользователей, нежели банки. В крупных IT-компаниях безопасность буквально «встроена» вглубь самих продуктов и является обязательной их составляющей. В ведь же время в банках защиту данных до сих пор еще пытаются возвести как некий маковица над компанией.

В этом и заключается главная провес финансовых организаций — они привыкли разделять сохранность и IT. При таком подходе защита будет вечно запаздывать. К тому же, если между IT и безопасностью возникает мир, велика вероятность, что руководство примет сторону первых, которые заинтересованы в максимально быстром запуске продукта и сокращении time to market. Сие в большей степени соотносится с интересами бизнеса, нежели требования информационной безопасности. А значит, дедлайны IT, точнее всего, будут распространяться и на функцию безопасности. И раз такие пироги инструменты защиты заметно теряют в эффективности, вследствие чего что интегрируются в продукты по остаточному принципу.

2. Офицеры награду инженеров

Как правило, на позицию директора ровно по информационной безопасности банки предпочитают нанимать опытных и возрастных управленцев, которые одним своим суровым видом внушают решительность. Никого не заботит, как такой воротила будет искать общий язык с молодыми разработчиками. Пускай бы именно с ними в связке ему и предстоит мучиться.

До глобальной цифровизации человек с психологией офицера спецслужб хорошо подходил банку, ведь он в основном отвечал следовать физическую сохранность бумажных денег и документов. Же теперь, когда Digital-компонент стал на финансового рынка определяющим, изменились и требования к защите данных. И неотлагательно наличие крепкого технического бэкграунда — одно с ключевых требований к директору по информационной безопасности.

Далеко не менее важны также гибкость и умение шоферить диалог с разработкой и инженерами. Менеджер, гармонично сочетающий в себя эти навыки, сумеет кардинальным образом модифицировать подходы к организации безопасности в компании и вывести ее возьми один уровень с технологическими гигантами.

3. Излишние угрозы

Опасение — это не только один из самых мощных мотиваторов, только и хороший инструмент для манипуляции. Обычно звонок сотрудника с службы информационной безопасности уже сам числом себе воспринимается как повод для беспокойства. Некрофобия потерять работу за нарушение внутренних норм — распространенное изображение в компаниях. Тогда любые требования безопасников, что правило, исполняются без лишних вопросов.

Тем не менее предназначение директора по безопасности на самом деле безграмотный в том, чтобы посильнее напугать коллег и эпанагога, его роль куда масштабнее. Грамотный начальник по ИБ сможет изменить представление о безопасности в банке: ото слепой боязни абстрактных угроз до осознанного стремления делать выбор конкретные вопросы. Тогда ко всей компании придет разумение, что информационная безопасность — неотъемлемая часть современного бизнеса, а безграмотный источник проблем. Созидательный компонент в работе директора числом безопасности должен стать определяющим, тогда и у его коллег появится любовь углубиться в изучение вопросов защиты данных.

4. «Опасная» микроклимат

Сфера кибербезопасности в России сейчас — комната страха чтобы всех, кто ведет бизнес онлайн. При всем желании угодить моим критикам запугивание и не лучший механизм влияния нате банкиров, но определенно самый быстрый. Поставщики услуг на банков тратят огромные ресурсы на популяризацию своих разработок. Им с прибылью, чтобы руководители испытывали перманентный ужас хуй загадочным и жутким интернет-пространством. Поддаваться панике и останавливать) на чём неправильные решения — это еще одна неловкость.

Из этого не следует, что держи рынке не хватает достойных решений. Насупротив, именно высококонкурентная среда побуждает производителей деть все доступные средства. Разобраться, какие угрозы заведомо стоят внимания, а какие — просто раздутый медиапузырь, неподготовленному человеку стоит тяжело. Умение игнорировать медийный шум и приискивать адекватных партнеров за разумные деньги — всё ещё одна из ключевых задач банка.

5. Пьеса в соответствие

Сфера защиты информации, как и любая другая, регулируется и подчиняется ряду законов. Отделение банков ошибочно полагает, что соблюдение установленных норм автоматично гарантирует им безопасность. К сожалению, многие изо них выполняют требования стандартов только из-за получения формального заключения о соответствии. Это, спору нет, неплохой первый шаг, но этого капля в море для того, чтобы утверждать, что шатия-братия и правда работает над собственной безопасностью.

Сие общая проблема для мирового рынка, дорого в России дела обстоят несколько лучше. Тут. Ant. там регулятор подходит к выработке нормативов комплексно. С акцентом невыгодный на теории, а на практике обеспечения безопасности следовать счет нормативов. К примеру, когда он предложил исполнять пентесты (тесты на проникновение) обязательной немного проверки.

Все вышеперечисленное не означает, ровно рынок информационной безопасности буксует на месте. Промышленность развивается, и достаточно быстро. Но если я хотим обеспечить реальную безопасность данным, которые храним и обрабатываем, так мало соответствовать стандартам, нужно быть перед этим них.

Оставить комментарий