Интервью с Кристофером Гулдом - директором отдела аудита информационных систем и бизнес-процессов, PwC

Аватар пользователя Lindt
Автор: Наталья Мутель, Ответственный редактор BISA
(0)
()
Опубликовано в:

Крис Гулд руководит Центром передового опыта в области информационной безопасности в составе международной сети фирм PwC в регионе Центральной и Восточной Европы. В течение более чем 20 лет Крис содействует различным организациям в управлении технологическими рисками, занимаясь вопросами информационной безопасности, антикризисного управления и обеспечения непрерывности бизнеса. Недавно Крис получил сертификат специалиста по обеспечению безопасности в сфере облачной обработки данных.

What are the main problems the companies face while implementing the project of confidential data protection?

Назовите основные проблемы, с которыми сталкиваются компании в процессе реализации проектов по защите конфиденциальной информации от утечки.

The most difficult problems arise from engaging corporate management into the process and, as a result, many projects end up being led by information security or information technology specialists. The eventually leads to user dissatisfaction in the long term due to initial lack of management buy in and a poor user experience due to the tools creating a lot of false positives.

Наиболее серьезные проблемы возникают в процессе вовлечения руководства компаний в проекты по защите конфиденциальной информации, в результате чего многие проекты перекладываются в зону ответственности отделов информационной безопасности и информационных технологий. Последнее в долгосрочной перспективе приводит к разочарованию пользователей в продукте по причине несовершенства процедуры закупок, а также отрицательного опыта использования продукта из-за большого количества ложных срабатываний.

 

What is the Russian specific approach to confidential data protection? How do you think, whether Russian companies are more successful in solving this problem than foreign ones or not?

В чем специфика российского подхода к защите конфиденциальности данных? Как Вы полагаете, наши компании преуспели в решении этой задачи больше или меньше, чем западные?

The challenge here in Russia is that historically businesses are not used to thinking about confidentiality of information in the same way and this is very much seen as the domain of the information security department alone. In the West we see data privacy laws that push businesses to think about the risks throughout the entire management team of the organization. The Russian equivalent (152-FZ law on personal data) in and of itself strives to meet the same goals, the challenge is that supporting guidance (e.g. from FSTEK) push the issue back down to a technical level – business management is less involved as a result.

Так сложилось исторически, что в России компании не привыкли рассматривать конфиденциальность информации с точки зрения влияния на бизнес, вопрос защиты данных в большинстве случаев считается сферой компетенции отдела информационной безопасности. На западе существуют законы о приватности данных, которые заставляют бизнес думать о рисках, которым подвергается вся система менеджмента организации. Российский эквивалент (152-ФЗ «О персональных данных») преследует те же цели, однако, утверждая принцип контроля со стороны (например ФСТЭКом), этот норматив спускает вопрос защиты данных вниз на технический уровень, в результате влияние бизнеса на процесс снижается.

 

To your mind, how does the perfect system of data protection look like? Does the universal solution work or the specific approach is essential?

Как, на Ваш взгляд, выглядит идеальная система защиты конфиденциальной корпоративной информации? Возможно ли здесь универсальное решение, или же ключ к успеху – в индивидуальном подходе?

Every organization is unique and therefore what works for one company will not necessarily work for another. To my mind the perfect system of data protection is one that is driven from the top, engages business throughout the design and implementation and has specific requirements (and KPIs) for business management. Data protection should be an ongoing process of improvement and not an 'implement and forget' solution.

Каждая компания уникальна, поэтому то, что сработает для одной компании, вовсе не обязательно подойдет для другой. На мой взгляд, идеальная система защиты данных – та, которая вводится сверху, учитывает бизнес-требования в области построения и применения и отвечает специфическим требованиям и ключевым показателям эффективности (KPI) для бизнес-менеджмента. Защита данных должна постоянно совершенствоваться, а не работать по принципу «установил и забыл».

 

Крис Гулд выступал на конференции DLP-Russia 2011 с докладом "Бизнес-факторы - разница между успехом и неудачей в предотвращении утечек. Три примера из практики успешного применения DLP" (в рамках пленарной части - "Российский и зарубежный опыт защиты корпоративных информационных систем").

 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.