Сотрудники отдела информационной безопасности — их подбор и профессиональная подготовка

Прорабатывая вопросы совершенствования системы информационной безопасности, многие отечественные и зарубежные специалисты приходят к выводу о том, что существуют более глубокие, чем думалось ранее, причинно-следственные связи такой, казалось бы, «частной» проблемы, как безопасность ИТ с общими целями и задачами, а главное, с результатами и эффективностью деятельности организации в целом.

Также парадоксален на первый взгляд и вывод о колоссальном влиянии на уровень информационной безопасности позиции высшего менеджмента организации, взаимоотношений в коллективе, личного отношения каждого сотрудника к выполнению мер безопасности, сложившегося в коллективе психологического климата, правильного финансирования и т.д. На наличие подобных связей прямо указывают результаты международного исследования, проведенного аудиторской компанией Ernst & Young. В этом отчете, в частности, говорится об аналогичных российским, проблемах, возникающих у специалистов по информационной безопасности, когда высший менеджмент организации начинает предпринимать меры, направленные на уменьшение расходов организации, под которые попадает и система информационной безопасности.

В первую очередь из-за сокращения финансирования страдают такие важнейшие направления работ информационной безопасности, как обучение персонала, поддержка технологий и инфраструктуры. Кому из отечественных специалистов не знакомы подобные проблемы — razgovorodele.ru! Не есть ли это очередное проявление, увы, слишком распространенной в нашем обществе беды — принятия менеджером-дилетантом в данной сфере деятельности неправильных решений, которые строятся на нехитрых посылках:

— если система безопасности работает хорошо, то персонал безопасности не нужен;
— скрытая работа системы безопасности обычно не видна.

При взгляде «сверху» на хорошо отлаженный механизм у дилетанта возникает искушение самостоятельно им управлять, ничего в нем реально не понимая. Но вмешательство в систему безопасности порой радикально меняет уровень рисков. Однако риск — категория вероятностная. Действительно, некоторое время ничего не происходит, но потом неминуемо наступает расплата. При этом за ошибки отвечают большие массы людей, доверившихся неквалифицированным руководителям. Примеров, к сожалению, наша действительность предлагает слишком много.

Ну, а если вспомнить о возможных «скрытых» целях менеджмента, которые не соответствуют провозглашенным и носят зачастую криминальный оттенок, то становится понятно, что правильно организованная безопасность для них просто вредна, так как преследует прямо противоположную цель: добиться максимально возможной прозрачности в деятельности коллектива по выполнению официально сформулированных перед ним задач.

По мере развития любой отечественной компании и роста стоимости ее информационных активов в той же мере развивается и служба информационной безопасности. При этом стратегия и тактика работы этой службы становится не только одной из основных функций высшего менеджмента компании, но и ее конкурентным преимуществом. Успех политики информационной безопасности компании зависит, конечно, от организационных и технических решений в области защиты информации. Но эффективность кадровых решений — вот что дает настоящие конкурентные преимущества. Или не дает.

Давайте рассмотрим, каким уровнем компетентности должны обладать специалисты современной службы информационной безопасности российской компании, и как он влияет на сумму конкурентных преимуществ компании.

Место отдела информационной безопасности (ИБ) в структуре организации
Сертификация и функции CISO (директора по информационной безопасности)
Подбор персонала для работы в отделе информационной безопасности

Эффективность работы сотрудников, на которых возложены обязанности обеспечения безопасности информационных технологий, зависит от уровня их подготовки и наличия у них опыта работы. В связи с тем, что специалистов в области защиты информации в массовом порядке вузы стали готовить лишь в последние годы, в настоящее время должности ответственных за обеспечение информационной безопасности в организациях различного масштаба и сфер деятельности занимают специалисты, вынужденные перепрофилироваться.

Новые специальности, о которых идет речь, возникли на стыке двух направлений — информационных технологий и технологий обеспечения безопасности. Поэтому информационной безопасностью занялись специалисты, пришедшие из «других видов» безопасности (выходцы из различных силовых структур — razgovorodele.ru), либо специалисты в области программирования, вычислительной техники и связи. Третья, пока немногочисленная категория на рынке труда — выпускники вузов без опыта работы, но с соответствующей базовой подготовкой.

Эффективность работы сотрудников обеспечения безопасности информационных технологий

Хорошо подготовленный специалист в области информационной безопасности позволяет своей организации не только экономить значительные средства, благодаря рациональному выбору средств защиты и полному использованию заложенных в них возможностей, но и, в конечном счете, окупить инвестиции в информационную безопасность за счет предотвращения возможного ущерба бизнесу.

Подготовка, переподготовка и повышение квалификации сотрудников по информационной безопасности
Круг обязанностей специалиста по информационной безопасности

Обстоятельства доказывают необходимость и своевременность роста затрат на информационную безопасность, так как инциденты, связанные с нарушением ИБ, становятся более частыми и более обременительными в финансовом отношении. В кадровом аспекте это будет обозначать даже не поиск готовых специалистов CISO (в связи с их дефицитом). Вопрос заключается в затратах (временных, денежных, организационных) на подготовку и «тюнинг» профессионалов, способных отвечать за сохранность такого важнейшего ресурса компании, как информация.