Журнал "Директор по безопасности" Январь 2021 | Page 7

ФИЛОСОФИЯ ЗАЩИТЫ

Информационная безопасность во время и после пандемии : барьеры профессии и назревшие изменения

РУСЛАН ЮСУФОВ , управляющий партнер MINDSMITH

ИВАН КЛИМОВ , управляющий партнер Social Business Group , к . соц . н ., доцент факультета социальных наук НИУ ВШЭ

« В Новом 2021 году мы с удовольствием продолжаем цикл публикаций , посвященный анализу роли и проблем служб информационной безопасности во время пандемии , а также оценке зрелости функции информационной безопасности в российских компаниях . Как и в прошлой статье данного цикла , на страницах журнала « Директор по безопасности » мы приводим выдержки из исследования , подготовленного нами в MINDSMITH совместно с социологической службой Social Business Group , в основе которого лежат 35 глубинных интервью с руководителями и директорами служб ИБ в российских компаниях , а уточнения результатов исследования были проведены при поддержке экспертной панели из 8 признанных экспертов отрасли ». –

Руслан Юсуфов , управляющий партнер MINDSMITH

Кризисная ситуация показала ,

что для многих компаний необходима ревизия организационных решений , касающихся выполнения функции информационной безопасности . Судя по интервью с руководителями компаний , в которых формулировались претензии к службам информационной безопасности ( далее – « ИБ »), задача выстроить эффективные взаимоотношения между ИБ и другими функционально связанными подразделениями оказывается непростой . Возникшие сложности приходилось преодолевать в авральном режиме . Как отметил CEO крупной ритейл-компании : « У меня нет уверенности , что то , что мы делаем , правильно . Нельзя масштабировать весь этот хаос ad hoc решений ». Природа проявившихся барьеров разная , и большинство из них сформировались еще до нынешнего кризиса . Материалы наших интервью позволили систематизировать основные барьеры , с которыми сталкивались и сталкиваются службы ИБ .

Барьер № 1 . Организация процессов

Первый тип барьеров связан с организацией процессов , в которые вовлечены службы ИБ . По шести сюжетам мы видим вполне сформированный консенсус у экспертов .

Проблематика информационной безопасности плохо представлена на уровне совета директоров .

Отсутствует сформулированная политика информационной безопасности , нет внутренних нормативных документов и правил взаимодействия между ИТ-департаментами ( далее – « ИТ »), службами безопасности ( далее – « СБ ») и ИБ .

Существует непонимание специфики ИБ со стороны бизнеса или руководства .

В матрице рисков компании нет места для рисков ИБ .

Существуют конфликтующие стратегии и принципы деятельности ИБ и ИТ .

Отсутствует бюджет , имеются сложности в обосновании затрат на ИБ .

Один из наших собеседников приводит пример , как складывались отношения между СБ , ИТ и ИБ в ситуации « невнимания » к проблематике информационной безопасности : « Если предправления не всегда может вникать и уделять должное время ИБ , тогда ее переподчиняют либо руководителю СБ , либо директору ИТ . В некоторых банках переводят из СБ в Департамент информационных технологий , что приводит к конфликту . Когда они находились в СБ , то контролировали все закупки , которые проходили по линии ИТ , могли контролировать сисадминов ДИТа . А когда они перешли в подчинение к директору ИТ , ослабевает контроль за ИТ . В такой ситуации и коррупционные опасности могут возникнуть ».

Слабая коммуникация с советом директоров и с руководством компании неизбежно сказывается на глубине понимания вопросов информационной безопасности с их стороны . Одновременно страдает и вовлеченность главы ИБ в разработку бизнес-стратегии , тогда как эта возможность представляется нашим собеседникам очень важной . Если этого не происходит , возникают несколько системных проблем . У компаний в их матрице рисков не находится места для рисков ИБ – поэтому они не готовы тратить на это деньги . Если отсутствует сформулированная политика ИБ , несформированными оказываются также и правила взаимодействия с ИТ и отсутствуют регламенты участия ИБ в разработке , тестировании и выводе на рынок цифровых продуктов .

« Обязательно должны быть прописаны правила и процедуры . Чтобы с ИТ можно было аргументированно отстаивать свою точку зрения . И показывать ссылку на политику , которая действует по всей компании . Без прописанных политик и процедур никакой дружбы не будет , только на человеческих отношениях не удержатся . Нужны понятные правила игры , это базовое структурное требование ».

« Основная проблема в том , что у компании нет места для такого риска в матрице рисков . А скорее есть лишь общая идея , что такой риск имеет право на существование . Из-за этого компании не готовы тратить деньги , чтобы развивать информационную безопасность в правильном направлении . Поэтому они должны слышать голос ИБ ».

Эксперты сходятся во мнении , что между ИТ и ИБ принципиально существует некий « конфликт интересов ». ИТ ориентируются на быстрый запуск продукта и при этом находятся под сильным давлением – бизнес требует готового инструмента как можно быстрее . А ИБ в этой ситуации становится « досадным тормозом », поскольку выступает за более безопасные решения и снижение рисков эксплуатации информационных систем . А это уже сложно доказывать бизнесу .

Если не выстроены отношения между ИТ и ИБ и нет разработанных регламентов , конфликт интересов существенно обостряется при наступлении инцидента . « Зачастую они друг на друга начинают валить . Снять это противоречие можно , важно избежать размытия зоны ответственности , чтобы каждый четко знал и выполнял свою функцию ». Разделение зон ответственности должно происходить в четко очерченных рамках и тщательно разобранным функционалом . « Любой конфликт , это всегда издержки , это нагрузка на процесс , на ресурсы и в итоге – финансовые издержки » – говорит один из экспертов , руководителей ИТ , в ведении которого находятся также функции информационной безопасности . Такое понимание и такая оценка роли конфликта возможна изнутри « экономического прочтения » роли информационной безопасности . Это тот случай , когда конфликт не выгоден . В ближней перспективе это усиливает риски , а более отдаленной – подтачивает культуру кибербезопасности в компании , не способствует установлению сотрудничества между ИТ и ИБ , а также скорее негативно сказывается на статусе службы в глазах топ-менеджмента . Несколько наших собеседников говорили , что руководству компаний , как правило , понятнее ценность ИТ-подразделения и ближе именно их потребности . При этом из виду упускается интеграция информационной безопасности как в разработку и в ИТ , так и в бизнес-процессы компании и сами ИТ-специалисты оказываются вне контура понимания проблематики информационной безопасности : « Есть системная проблема . Мы приходим к ИТ , начинаем общаться на тему рисков , но понимаем , что у них нет знаний о последствиях отказа или сбоя их систем ». Другой собеседник указывает на еще один аспект – что « слабину » могут давать даже , казалось бы , вполне подготовленные люди и специалисты :

« Мы сами у себя проводим такие обучения регулярно . Иногда на условные атаки ( в рамках обучения ) попадаются айтишники , которые должны понимать , как работают технологии . Но они все равно попадались на удочку . Подумав задним числом и поняв , что это была атака , они начинают разбирать инцидент ».

По мнению эксперта , это верный индикатор , что отношения ИТ и ИБ не выстроены и не интегрированы в бизнес-процессы . В основе проблемы оказывается неспособность или неготовность руководителей служб ИБ вовлекать топ-менеджмент в вопросы информационной безопасности , развивать их понимание стратегических задач в этой области , систематически создавать основу для эффективной и успешной деятельности .

Если предправления не всегда может вникать и уделять должное время ИБ , тогда ее переподчиняют либо руководителю СБ , либо директору ИТ . В некоторых банках переводят из СБ в Департамент информационных технологий , что приводит к конфликту

Барьер № 2 . Интеграция в бизнес

Второй тип барьеров проистекает из недостатка бизнес-интеграции . Характер бизнеса сильно изменился и постоянно меняется под влиянием экономической конъюнктуры , международного сотрудничества , развития цифровых сервисов . Прежний функционал служб ИБ уже совершенно недостаточен и не отвечает требованиям времени . Опираясь на совокупное мнение экспертов , можно составить « чек-лист » барьеров этого типа .

Невовлеченность ИБ в бизнес-процессы , неумение / нежелание разбираться в бизнес-процессах компании .

« Самоизоляция » служб ИБ , когда сотрудники и руководитель искусственно ограничивают свой функционал только сюжетами compliance – в ущерб динамике бизнес-задач .

Неумение видеть тематику ИБ в бизнес-процессах , понимать потребности бизнеса , экономику рисков , контексты бизнес-процессов .

Неумение видеть экономику в вопросах информационной безопасности и , как следствие , неумение описывать и оценивать свою эффективность в бизнес-показателяхи , обосновывать требующиеся ресурсы ( бюджеты и специалистов ), оценивать необходимость аутсорсинга и лизинга оборудования .

Прежний подход к угрозам ( реагирование и расследование инцидентов ) не отвечает требованиям эффективности , сейчас требуется предвидеть угрозы и упреждать инциденты .

ИБ не умеет донести до руководителей важность задачи развивать культуру кибербезопасности сотрудников , принимать траты на их обучение .

Главный вызов для служб ИБ – категорическая необходимость стать частью всех значимых для безопасности бизнес-процессов . Конечно , самоизолироваться (« отрыть окоп и обеспечить периметр », как сформулировал наш собеседник ) можно разными способами , но это заведомо ослабляет позиции ИБ в компании и одновременно создает напряжение для взаимодействия с руководителями . Один из способов самоизоляции – ограничить себя только лишь работой с требованиями регулятора .

« Комплаенс – это беда для ИБ . Особенно для России , где излишнее число регулирующих требований . А многие сотрудники ИБ считают , что должны выполнять все требования законодательства . Поэтому они и жили в своем мире нормативных требований и борьбы часто с мифическими угрозами , которые не имели никакого влияния на бизнес-показатели . Так было в огромном числе случаев до кризиса . А тут безопасникам сказали : “ ребята , у меня задача сохранить бизнес вне зависимости от выполнения требований регулятора ; займитесь тем , что важно для спасения ”. Это заставляет пересмотреть приоритеты деятельности . Пандемия показала , что можно жить , не выполняя и иногда даже нарушая комплаенс ».

Невовлеченность в бизнес-процессы и неумение говорить на языке бизнеса становится , как бы парадоксально это ни звучало , причиной непрофессионализма и низкой эффективности служб ИБ . « Руководство не понимает , зачем нужна ИБ , зачем такие бюджеты и специалисты . Тогда тот , кто отвечает за безопасность , вынужден выбирать между тремя ИБ-системами , тогда как нужны все три ». Сотрудники ИБ должны разбираться в сути процессов , которые защищают , и понимать , какое событие в этих процессах является рабочим , штатным , а какое – инцидентом или атакой . Они должны понимать стратегию развития бизнеса и предлагать необходимые решения и продукты для обеспечения безопасности .