В 2018 году сфера ИТ часто оказывалась в центре внимания. Утечка информации оказалась главной причиной того, почему персональные данные более 1 миллиарда человек оказались раскрыты. Были зафиксированы нарушения конфиденциальности данных пользователей Facebook, T-Mobile, Quora, Google, Orbitz и десятков других компаний. Даже если не учитывать финансовые потери,(составляющие в среднем 3,86 млн долл. США для каждого инцидента), подорванная репутация и потеря доверия со стороны клиентов могут со временем привести к многомиллионным убыткам.

Когда случается подобный инцидент, совет директоров чаще всего возлагает вину на ИТ-руководителя. После случившегося в 2013 г. взлома сети супермаркетов Target на компанию обрушилась волна критики в адрес ее методик обработки данных, и в итоге это привело к отставке ИТ-директора. Когда столь многое стоит на кону, неудивительно, что вопросы безопасности и управления данными оказываются в центре внимания руководства.

Но хотя утечка информации и оказывается на передних полосах газет, это не единственная угроза для компании. Есть и другая, более коварная опасность, способная привести к таким же последствиям — чрезмерно жесткое управление, препятствующее творчеству и инновациям.

Безопасность против инноваций

Компании должны выбирать решения, на которые можно будет опираться в течение нескольких лет или даже десятилетий, и в то же время нужно идти в ногу с быстро меняющимся рынком. ИТ-руководители пытаются найти баланс между обеспечением безопасности и сохранением достаточной гибкости для быстрого внедрения инноваций.

По данным опроса ИТ-руководителей, проведенного компаниями Harvey Nash и KPMG в 2018 году, приоритет «укрепления кибербезопасности» вырос на 23%, опередив по темпам роста все остальные направления деятельности. Из-за постоянной угрозы утечек информации, ИТ-руководители торопятся устранить все факторы риска. В сравнении с директорами по маркетингу, которые горят желанием применять новые технологии для решения своих проблем, ИТ-руководители часто являются противниками инноваций.

В статье для Inc., редактор Джеффри Джеймс утверждал, что препятствование прогрессу было нормой для большинства ИТ-директоров:

«В 1970-х были популярны громоздкие мейнфреймы IBM, тогда как мини-ЭВМ и рабочие станции были дешевле, и на них устанавливалось лучшее программное обеспечение.

В 1980-х руководство выбирало централизованные вычисления и текстовые терминалы, а не ПК и Mac, которыми хотели пользоваться сотрудники.

В 1990-х ИТ-директора одобряли интегрированные клиент-серверные приложения и, как правило, выступали против облачных приложений (таких как Salesforce.com), работающих в Интернете.

В 2000-х руководители отдавали предпочтение чрезмерно сложным ERP-системы и ПК, в то время как сотрудники осваивали смартфоны и планшеты».

Но в то же время советы директоров ставят перед ИТ-руководителями и ИТ-отделами задачи по продвижению инноваций и экспериментов. Соблюдать баланс становится еще сложнее из-за действий других отделов и даже компаний-партнеров, которые внедряют новые технологии без оглядки на ИТ-отдел. Так что же могут сделать ИТ-руководители, чтобы выполнить свои обязательства и в то же время способствовать развитию своих организаций?

От менеджеров по технологиям до «двигателей прогресса»

Прошли те времена, когда руководители компании определяли стратегию, а ИТ-специалисты отвечали за ее внедрение. Сейчас стоит только неудачно выбрать технологию, средство интеграции или партнера, и это может привести к последствиям, которые ослабят позиции вашей компании на годы вперед. Сейчас руководители ИТ-подразделений и служб безопасности берут на себя более значимую роль советников.

«Начиная с конца 1990-х годов и, особенно, в последние 10 лет руководители в сфере безопасности и ИТ все активнее участвуют в принятии корпоративных решений, — объясняет Лукас Шимановский, директор по информационной безопасности Wrike.  — С развитием нормативно-правового соответствия службы безопасности начали восприниматься как обладатели решающего голоса, участвующие в выборе партнеров и поставщиков и в формировании технологических ландшафтов».

ИТ-руководители имеют возможность не только поддерживать и защищать корпоративные данные и техническую инфраструктуру, но и помогать организациям принимать важные решения и инвестировать в технологии, способные повлиять на стратегию конкуренции в целом. Все в большей и большей степени ИТ-руководители отвечают не только за создание технических систем, используемых в компаниях, но и за бизнес-результаты, которые эти системы помогают получить.

Сейчас у ИТ-специалистов есть огромная возможность укрепить свое влияние, повысить свою ценность и заявить о себе как о стратегических деловых партнерах.

В ходе опроса ИТ-руководителей, проведенного компаниями Harvey Nash и KPMG в 2018 году, Бриджит Грей, управляющий директор Harvey Nash Australia, так описала эту возможность:

«Не так-то просто примирить творчество и руководство. Но позиция директора по ИТ будет тем сильнее, чем лучше уравновешены эти факторы».

Для успешного осуществления такой трансформации ИТ-руководителю нужно использовать объективный, ориентированный на бизнес подход к оценке технологий. Он позволит защитить организацию и не подвергать опасности ее способность к внедрению инноваций.

Три вопроса, которые должны задать ИТ-руководители при оценке нового инструмента

1. Каково назначение инструмента, и как он вписывается в стек технологий?

Каждый новый компонент программного обеспечения и  новая технология усложняет существующие системы и усиливает риски. 

«Я представляю себе это как цепочку технологий и мер безопасности, — объясняет Шимановский.  — И чем длиннее становится такая цепочка, тем дальше вы уходите от основного функционала и данных, которые вам нужно защищать. Вам требуются все новые и новые функции, и вы добавляете к цепочке новые инструменты, устройства и процессы. Хотя такая схема может быть вполне рабочей и необходимой в краткосрочной перспективе, увеличение сложности может в конечном итоге стать фактором риска. В каждом звене этой цепочки вам нужно использовать системный подход к определению требований и при этом вести наблюдение и управлять безопасностью каждой из составных частей. Так что если вместо двух функций вы сможете использовать одну, это конечно к лучшему».

Когда основное внимание начинает уделяться росту и исполнению, возникают проблемы.

«Опасность возникает, если вы думаете о решении насущной задачи без учета будущих перспектив. "Мы просто поступим вот так (установим вот эту программу), потому что нам нужно вот это". Но на самом деле вам не следует удлинять цепочку. Рано или поздно вы добавите в нее что-то, противоречащее закону, негативно влияющее на безопасность данных или того хуже, и ослабите когда-то мощную систему».

2. Кто производит инструмент, и какова репутация производителя?

Происхождение программного обеспечения тоже имеет значение. Неподдерживаемый программный продукт, разработанный никому не известной командой, может стать источником больших проблем.

«Вам нужно тщательно оценивать любых партнеров по созданию программного обеспечения», — советует Шимановский.

«Программный продукт от неизвестной команды может стать основой для построения целой инфраструктуры. И если он окажется плохо продуманным или его программный код будет небезопасным, это может пагубно отразиться на вашем бизнесе, даже если техническая концепция будет удачной.  Маленькие команды могут создавать отличные технологии. Давайте вспомним, что компания HP начиналась с двух ребят, работающих в гараже. Но что, если через пару лет компания из двух человек разорится и прекратит свою деятельность? Что если один из совладельцев компании заберет все данные и исчезнет в неизвестном направлении? Последствия могут быть очень серьезными и необратимыми».

Бывает так, что вам необходимо внедрить новый инструмент как можно быстрее, но если вы слишком поспешите, это может привести к огромному количеству проблем в будущем.

3. Планируем ли мы обучать пользователей передовым методикам защиты данных?

Подавляющее большинство нарушений и инцидентов являются результатом не взломов, а банальных ошибок. И поэтому ИТ-руководителям нужно рассматривать внутреннее обучение как важнейшую часть системы безопасности. Политики и наилучшие методики обеспечения безопасности должны быть доступны всем сотрудникам. В организации должна культивироваться культура осведомленности о рисках, образования и ответственности.  

«Облачные технологии очень многое изменили, — рассказывает консультант по ИТ и безопасности Дастин Боландер. — Из-за Dropbox, Google Apps и т. п. документы могут очень легко оказаться за пределами организации. Сейчас любой пользователь в компании может настроить сервис и сохранить данные в облаке за считанные минуты. Это многое изменило, ведь теперь нам приходится полагаться не столько на технические меры предосторожности, сколько на необходимость повышать осведомленность пользователей и обучать их мерам безопасности».

Современные технологии развиваются такими быстрыми темпами, что предоставление рекомендаций по обработке данных и обучение мерам безопасности могут стать для организации наилучшим шагом по предотвращению утечки данных. Основатель и генеральный директор нашей компании Андрей Филев рассмотрел несколько методик по обеспечению безопасности в этой публикации.

Безопасность превыше всего

Компании должны уделять безопасности все больше внимания. Угроза утечки данных всегда останется актуальной, но еще один серьезный источник опасности — это ограничение способности ваших сотрудников к созданию инноваций. Организации нужна возможность обеспечить открытость и творческую атмосферу без ущерба для безопасности.

Клиенты ожидают, что их данные будут защищены. Подсчитано, что неправильное обращение с данными и неадекватные меры безопасности обойдутся одной только компании Facebook в миллиард долларов США. Каждый компонент в вашем стеке технологий может представлять угрозу для безопасности данных и нанести вред вашей организации. Именно поэтому так важно придерживаться самых высоких стандартов.

В компании Wrike мы не просто придерживаемся стандартов безопасности, мы сами их создаем. Мы стремимся обеспечить безопасность данных наших клиентов, потому что знаем, что от этого зависит судьба их компаний. И благодаря таким новым функциям, как Wrike Lock, наши пользователи получают беспрецедентный уровень контроля над своими данными, которые хранятся в облаке.

Все эти функции безопасности преследуют одну цель: создать условия для сотрудничества. Удаленные команды могут совместно управлять своей работой с легкостью, зная, что их облачные данные защищены с помощью лидирующих в отрасли инструментов обеспечения безопасности. Готовы ли вы дать своей команде возможность создавать инновации, работая в разных странах и на разных континентах? Попробуйте бесплатную версию Wrike.

Фотография: sebastiaan stam, Unsplash

комментарии 0

Для просмотра данного контента необходимо согласиться с использованием cookie-файлов.

Узнайте подробности