Главная » ФИНАНСЫ » Сквозь пальцы. Пять главных ошибок банков в сфере кибербезопасности

Сквозь пальцы. Пять главных ошибок банков в сфере кибербезопасности

Фoтo Getty Images

В прeдстaвлeнии мнoгиx людeй бaнк — этo бeзoгoвoрoчный синoним зaщищeннoсти. Нo нeскoлькo принципиaльныx прoблeм нe пoзвoляют бaнкaм oбeспeчивaть хлеб насущный урoвeнь бeзoпaснoсти

Принятo считaть, чтo глaвныe угрoзы исполнение) бaнкoв пoявляются oткудa-тo извнe. Чтo этo прoиски кoнкурeнтoв, xaкeрскиe aтaки, утeчки и другиe нeприятнoсти, a oтдeлы инфoрмбeзoпaснoсти стaлкивaются с ними eжeднeвнo.

О подобных историях гус пишут СМИ, однако корень проблем остается за пределами поля зрения. Журналисты, как правило, пишут о следствиях, а никак не о причинах. Между тем серьезных ошибок, которые в конечном итоге и приводят к громким заголовкам, мало-: неграмотный так уж много — их всего высшая отметка.

1. Расхождение в понятиях

В представлении большинства банк — сие безоговорочный синоним защищенности. Люди убеждены, а нет более безопасного места для хранения денег и документов. И сие справедливо, если речь идет о чем-так материальном. Но не о том, что неважный (=маловажный) спрятать в сейф.

Самое ценное сегодня — сие информация. С ростом ценности информации в мире эволюционировали и способы ее охраны. Настоящее такие компании, как Google или Facebook, намного лучше оберегают данные миллионов своих пользователей, нежели банки. В крупных IT-компаниях безопасность буквально «встроена» вглубь самих продуктов и является обязательной их составляющей. В так же время в банках защиту данных и старый и малый еще пытаются возвести как некий верхушка над компанией.

В этом и заключается главная шероховатость финансовых организаций — они привыкли разделять защищенность и IT. При таком подходе защита будет веков)) запаздывать. К тому же, если между IT и безопасностью возникает ссора, велика вероятность, что руководство примет сторону первых, которые заинтересованы в максимально быстром запуске продукта и сокращении time to market. Сие в большей степени соотносится с интересами бизнеса, нежели требования информационной безопасности. А значит, дедлайны IT, живей всего, будут распространяться и на функцию безопасности. И коли уж на то пошло инструменты защиты заметно теряют в эффективности, благодаря этому что интегрируются в продукты по остаточному принципу.

2. Офицеры награду инженеров

Как правило, на позицию директора ровно по информационной безопасности банки предпочитают нанимать опытных и возрастных управленцев, которые одним своим суровым видом внушают победительность. Никого не заботит, как такой (крестный) отец будет искать общий язык с молодыми разработчиками. Даром что именно с ними в связке ему и предстоит за работой недоедать и недосыпать.

До глобальной цифровизации человек с психологией офицера спецслужб возвышенно подходил банку, ведь он в основном отвечал после физическую сохранность бумажных денег и документов. Только теперь, когда Digital-компонент стал в (видах финансового рынка определяющим, изменились и требования к защите данных. И незамедлительно наличие крепкого технического бэкграунда — одно изо ключевых требований к директору по информационной безопасности.

Никак не менее важны также гибкость и умение пилотировать диалог с разработкой и инженерами. Менеджер, гармонично сочетающий в себя эти навыки, сумеет кардинальным образом продать подходы к организации безопасности в компании и вывести ее получай один уровень с технологическими гигантами.

3. Излишние угрозы

Перепуг — это не только один из самых мощных мотиваторов, только и хороший инструмент для манипуляции. Обычно звонок сотрудника с службы информационной безопасности уже сам в области себе воспринимается как повод для беспокойства. Очень потерять работу за нарушение внутренних норм — распространенное пришествие в компаниях. Тогда любые требования безопасников, вроде правило, исполняются без лишних вопросов.

Но предназначение директора по безопасности на самом деле приставки не- в том, чтобы посильнее напугать коллег и справочник, его роль куда масштабнее. Грамотный управляющий по ИБ сможет изменить представление о безопасности в банке: с слепой боязни абстрактных угроз до осознанного стремления задаться мыслью конкретные вопросы. Тогда ко всей компании придет интуиция, что информационная безопасность — неотъемлемая часть современного бизнеса, а безвыгодный источник проблем. Созидательный компонент в работе директора в области безопасности должен стать определяющим, тогда и у его коллег появится любовь углубиться в изучение вопросов защиты данных.

4. «Опасная» мир

Сфера кибербезопасности в России сейчас — комната страха в (видах всех, кто ведет бизнес онлайн. Я признать себя виновным не могу запугивание и не лучший механизм влияния получи и распишись банкиров, но определенно самый быстрый. Поставщики услуг в целях банков тратят огромные ресурсы на популяризацию своих разработок. Им с прибылью, чтобы руководители испытывали перманентный ужас предварительно загадочным и жутким интернет-пространством. Поддаваться панике и закидать черняками неправильные решения — это еще одна просчет.

Из этого не следует, что получи и распишись рынке не хватает достойных решений. В противовес, именно высококонкурентная среда побуждает производителей деть все доступные средства. Разобраться, какие угрозы поистине стоят внимания, а какие — просто раздутый медиапузырь, неподготовленному человеку немало тяжело. Умение игнорировать медийный шум и сыскивать адекватных партнеров за разумные деньги — до сего часа одна из ключевых задач банка.

5. Флирт в соответствие

Сфера защиты информации, как и любая другая, регулируется и подчиняется ряду законов. Фрагмент банков ошибочно полагает, что соблюдение установленных норм машинально гарантирует им безопасность. К сожалению, многие с них выполняют требования стандартов только про получения формального заключения о соответствии. Это, да, неплохой первый шаг, но этого как слону дробина для того, чтобы утверждать, что шарага и правда работает над собственной безопасностью.

Сие общая проблема для мирового рынка, оно в России дела обстоят несколько лучше. После этого регулятор подходит к выработке нормативов комплексно. С акцентом невыгодный на теории, а на практике обеспечения безопасности из-за счет нормативов. К примеру, когда он предложил предпринять пентесты (тесты на проникновение) обязательной в какой-то степени проверки.

Все вышеперечисленное не означает, словно рынок информационной безопасности буксует на месте. Промышленность развивается, и достаточно быстро. Но если наша сестра хотим обеспечить реальную безопасность данным, которые храним и обрабатываем, так мало соответствовать стандартам, нужно быть сверх них.

Оставить комментарий