Крупному бизнесу > Статьи

Внешний доступ: специалисты по безопасности сбиты с толку

Женщины, руководящие службами безопасности, обсуждают новые границы и перспективы своего сектора.

В дискуссии за круглым столом в Executive Circle приняла участие «команда сильнейших» руководительниц подразделений, отвечающих за безопасность. По их словам, ключевые задачи, которые приходится решать высшему руководству служб IT-безопасности — это обеспечение защиты от внешних угроз, минимальная приемлемая доходность инвестиций в безопасность и эффективная работа над соответствием законодательным нормам. Работая в компаниях, принадлежащих к трем разным сферам — производственной, финансовой и коммуникационной, наши высокопоставленные собеседницы рассказали о своем взгляде на некоторые проблемы и предложили варианты их решения, а также коснулись вопроса о том, каково женщине работать в сфере, где традиционно доминируют мужчины.

Итак, три женщины, руководящие службами безопасности:

Кэти Тэйлор, начальник службы защиты информации компании Siemens Energy & Automation;

Синтия Уитли, директор по защите информации компании Allstate;

Нэнси Уилсон, директор отдела корпоративной безопасности компании Time Warner Cable.

Ниже приведены выдержки из их ответов на вопросы Executive Circle.

За последние несколько лет в бизнесе стала широко применяться практика работы с независимыми поставщиками услуг, особенно поставщиками из-за границы. Каким образом вам удалось удовлетворить потребность таких партнеров в доступе к информации?

«

В компании Allstate был реализован процесс управления рисками поставщиков: мы гарантируем поставщикам с самыми высокими рисками (исходя из типов и объема сделок) надежные средства управления безопасностью, отвечающие нашим минимальным требованиям. В рамках этого процесса такие требования вносятся в контракт подразделениями компании, а также отделом управления закупками.

»
Синтия Уитли

Как вам удается успевать за стремительным распространением всевозможных мобильных устройств — от переносных компьютеров и КПК до смарт-телефонов и USB флэш-памяти?

«

Это настоящая дилемма. С одной стороны, хочется дать бизнесу больше возможностей, а все эти устройства весьма удобны. Однако в то же время повышается уязвимость и возникает дополнительная угроза безопасности систем. Кроме того, через эти устройства информация множеством способов может попасть «не в те руки».

С помощью сообщений и мероприятий, посвященных этим устройствам, мы попытались привести в порядок знания о том, как обеспечить безопасность и надежную защиту устройств во время поездок. Для устройств, которые находятся под нашим контролем, предусмотрена вся необходимая защита, но сотрудники могут покупать и использовать многие мобильные устройства самостоятельно.

Трудно убить двух зайцев. Пока мы не нашли реального, работающего решения для всех подобных устройств. И это серьезная задача для Siemens в мировом масштабе.

»
Кэти Тэйлор
«

С точки зрения конфиденциальности данных, мобильные устройства сейчас стали нашей основной заботой. В 2006 году мы вышли с инициативой о шифровании конфиденциальных данных, включая информацию о КПК и портативных компьютерах, которые находятся в собственности Time Warner. Наша политика безопасности запрещает использование «нелегальных» устройств. Кроме того, мы принимаем дополнительные меры по реализации процессов, которые позволят обеспечивать защиту данных на этих мобильных устройствах в случае их утери или кражи.

»
Нэнси Уилсон
«

Будучи страховой компанией, мы работаем с тысячами оценщиков, которые используют портативные компьютеры. Плюс, сотни наших служащих используют КПК, то есть, если устройство будет потеряно или украдено, весьма велик риск случайного раскрытия данных о клиентах или корпоративной информации. На ежеквартальных курсах мы учим сотрудников, как защитить данные о клиентах и корпоративную информациею, а также сами устройства. В 2006-м мы занимались функциями шифрования для этих устройств.

»
Синтия Уитли

В последние годы расходы на IT очень жестко ограничивались. Как вы сейчас управляете расходами на безопасность и добиваетесь возврата инвестиций?

«

Возможно, одна из моих главных задач — добиться рентабельности инвестиций. В идеале нам нужна система измеримых показателей, отражающая, как мы получаем доходы и экономим средства, сохраняя при этом риски на приемлемом уровне.

Мы делаем успехи по этим показателям, а также по эффективности затрат. Фактически, наш творческий потенциал и эффективность позволяют вернуть некоторую часть бюджета.

»
Нэнси Уилсон

Опишите, пожалуйста, ваш опыт работы с законодательными предписаниями. Как они связаны с безопасностью?

«

Нам все время поступают новые технические нормы — различные требования от HIPAA до Sarbanes-Oxley и калифорнийского законопроекта № 1386 с положениями о конфиденциальности. Много с чем приходится работать. Это как федеральные требования, так и требования отдельных штатов. Нужно убедиться, что ни одно из них не нарушено, и на месте работают все необходимые средства защиты.

»
Синтия Уитли
«

Сейчас я непосредственно работаю с новой сертификацией индустрии платежных карт (ИПК). Для некоторых компаний соответствие норме обязательно, и степень контроля за ее исполнением зависит от того, какое место компания занимает в годовом рейтинге совокупных сделок с использованием кредитных карт.

Четыре крупнейших компании, занимающиеся кредитными картами, начали активно бороться с хищением идентификационных данных. Для этого они внедряют определенные меры безопасности, документально зафиксированные при сертификации ИПК. На мой взгляд, это даже эффективнее, чем наше нынешнее федеральное законодательство. За раскрытие частной информации о клиентах предусмотрены крупные взыскания.

Что касается политики безопасности и стандартов в целом, то мы выработали стратегию и план действий по выполнению определенных предписаний. Теперь, чтобы деловые партнеры поняли всю важность соблюдения этой политики, осталось только провести успешные переговоры. Необходимо наглядно показать, что мы сами проводим эту политику во всех подразделениях компании, потому что намерены защитить все данные Time Warner Cable.

»
Нэнси Уилсон
«

Наша компания зарегистрирована на Нью-Йоркской бирже, но головной офис находится в Германии. Siemens AG спускает нам множество различных правил, следовать которым одновременно чрезвычайно трудно, поскольку мы работаем с очень широким спектром производственных систем и техники. Кроме того, мы обязаны соблюдать европейские законы о неприкосновенности частной жизни.

Благодаря многим из этих требований мы можем предотвратить несанкционированное использование систем или данных. Иные требования, разработанные из благих побуждений, неэффективны в «реальном мире», однако их тоже приходится выполнять. Из-за них много лишней работы и ненужных расходов.

»
Кэти Тэйлор

Каково женщине работать в сфере информационной безопасности? Каким был ваш опыт?

«

Этого нельзя сказать про Time Warner, но вообще есть такая проблема: вам довольно легко прийти в службу, но с течением времени приходится что-то делать с предвзятым отношением, с которым иногда сталкивается женщина на работе. Вступая в должность, принимаешь на себя определенную ответственность, и все время приходится как-то проявлять себя.

Иногда мне жаль, что так мало бизнес-процессов по поддержке менеджеров, например, тренингов по управлению разнообразием функций или персоналом.

Недавно моим руководителем впервые стала женщина, и я все еще поддерживаю отношения с моим первым инспектором из военно-воздушных сил. В сущности, именно через него я вышла на Time-Warner.

»
Нэнси Уилсон
«

Не могу сказать, что, как женщина, я сталкиваюсь с иными требованиями, нежели менеджер-мужчина в IT. И я предпочитаю не останавливаться на подобных различиях.

»
Синтия Уитли
«

Иногда возникают такие сложности — просто потому, что нас мало. У себя на работе вы обычно единственная женщина, кто выполняет такие обязанности. Поэтому здорово бывает пообщаться с женщинами, которые занимаются тем же, чем и я.

»
Кэти Тэйлор