+7 495 980 0770

Продавцы страховки. Нужно ли подразделение ИБ в компании?

Подразделения, отвечающие за информационную безопасность, сегодня можно найти практически в любой более-менее крупной компании. Таково веление времени. Эпидемии вирусов-шифровальщиков и другого вредоносного ПО, охватившие мир несколько лет назад, заставили последних сомневающихся максимально серьезно отнестись к защите своих данных.

Чуть ли не еженедельно мы читаем в новостях о кражах и утечках чувствительной для бизнеса информации, с которой сталкиваются, казалось бы, самые крупные и значимые участники рынка, не говоря уже о небольших игроках. Такие инциденты всегда влекут за собой не только финансовые, но и репутационные потери, а это гораздо более тяжелые последствия. Деньги можно снова заработать, а как вернуть себе безупречное имя? Поэтому во многих компаниях уделяется первостепенное внимание работе ИБ-подразделения. В него нанимают лучших и самых дорогих специалистов, для него выделяются бюджеты на закупку самых лучших на рынке ИБ-решений. При этом не будем забывать, что департамент информационной безопасности по сути не зарабатывает деньги для бизнеса. Если даже ИТ-подразделение может служить генератором инноваций и новых идей, локомотивом цифровой трансформации бизнес-процессов, то ИБ-специалисты, как правило, выступают в совершенно иной роли. Их задача — сберечь данные, сохранить деньги, защитить бизнес от атак и вторжений. Иногда возникают определенные сложности в работе с ИТ-департаментом и функциональными бизнес-подразделениями, которые хотят внедрить новое решение, опробовать ту или иную технологию. А ИБ-специалисты говорят им: это небезопасно. И потому их иногда называют «тормозом инноваций» и «продавцами страха». Возможно, причины этого находятся в организационной плоскости, в неправильно выстроенном взаимодействии ИБ с ИТ-департаментом, с бизнес-подразделениями. Попробуем разобраться в столь непростом вопросе с помощью экспертов, которые уже много лет работают на рынке услуг кибербезопасности.

Признак зрелости

Нужно ли выделять ИБ-подразделение в самостоятельную структурную единицу, подчиняющуюся непосредственно топ-менеджменту, или же такие функции можно делегировать департаменту информационных технологий? Возможно, подобные задачи следует возложить на дирекцию, отвечающую за физическую безопасность предприятия?

[…]

«Исходя из принципов разделения полномочий, организациям необходимо собственное ИБ-подразделение, которое бы осуществляло контроль за действиями ИТ-персонала, но не имело бы возможности вносить изменения в конфигурации ИТ-оборудования. Это позволит снизить вероятность злоупотребления полномочиями», — уверен Андрей Головин, директор департамента информационной безопасности компании Oberon. По его словам, в случае полной независимости от департамента информационных технологий ИБ-подразделение может более эффективно выполнять функции контроля ИТ и самостоятельно распоряжаться своим бюджетом на развитие. В случае подчинения уровень безопасности инфраструктуры может быть ниже, но взаимодействие ИТ и ИБ будет боле тесным.

Кто главнее?

Нередко в корпоративной иерархии ИБ-департамент стоит ниже, чем ИТ-подразделение. Андрей Головин (Oberon) объясняет это недостатками корпоративного управления. В идеале, как он говорит, как ИБ- так и ИТ-подразделения должны напрямую подчиняться высшему менеджменту компании.

[…]

Проблема взаимопонимания

Как мы уже говорили, ИБ-специалистов часто называют «тормозом инноваций». Нередко можно услышать, как CIO, CDO или бизнес хотели внедрить какое-либо новое решение, но проект не получил одобрения безопасников. Как решить подобную проблему? «Развитие технологий несет не только более широкие возможности для бизнеса, но и новые угрозы. Цель ИБ — не запрещать что-то новое, а сделать это безопасным. Не всегда удается соблюсти баланс между удобством и защищенностью, отсюда и возникает непонимание действий ИБ-подразделения, ограничивающего свободу пользователей, — говорит Андрей Головин (Oberon). — В идеальной ситуации ИБ и ИТ должны стремиться к одному знаменателю — предоставлению эффективных и безопасных рабочих инструментов для пользователей. Однако в реальности — ввиду различных обстоятельств — оба подразделения часто начинают конфликтовать из-за сфер влияния».

[…]

Не пугать, но предупреждать

Любое подразделение компании должно уметь «продавать» результаты своей работы бизнесу. Специалистов по информационной безопасности нередко называют «продавцами страха».

[…]

По мнению Андрея Головина (Oberon), наиболее эффективное средство для привлечения внимания к необходимости обеспечения ИБ — это оценка рисков и расчет ROI от внедрения средств защиты. Хотя не всегда легко оценить, например, стоимость репутационных потерь для бизнеса. «Успех в продаже страхов бизнесу заключается совсем не в том, чтобы напугать последствиями инцидента ИБ (будь они финансовые, репутационные, юридические и иные), а в том, чтобы показать, что такие проблемы наблюдались у других компаний и были эффективно решены следующим доступным нам способом», — заключает эксперт.

Подробнее в материале