– Александр, наблюдаете ли вы «противоборство» ИБ и ИТ?
– Не стану называть это противоборством. Мне ближе сравнение взаимодействия ИБ и ИТ-подразделений с системой сдержек и противовесов, как у ветвей власти. Дам более простой пример из финансовой сферы. В любом банке есть подразделения, выдающие кредиты, и есть подразделение, как правило, одно, которое централизованно управляет кредитными рисками. Эти подразделения не хотят навредить друг другу, они оба необходимы для эффективной работы финансовой организации. У них есть общая цель - развивать бизнес компании. Только достигается она разными инструментами. Кредитующие подразделения «зарабатывают» для банка деньги, продавая кредитные продукты. Но и подразделение, отвечающее за управление рисками, приносит пользу: при необходимости оно полномочно требовать дополнительного обеспечения по кредиту или отказывать в выдаче кредита, тем самым ограждая банк от излишнего риска и поддерживая его финансовую стабильность.
Руководитель Отдела архитектуры и разработки компании «ЛАНИТ - Би Пи Эм» (входит в группу ЛАНИТ) Александр Лутай
Примерно такую же ситуацию мы наблюдаем, говоря о блоках ИТ и ИБ на предприятии. Задача ИТ - помочь компании в развитии бизнеса путём создания информационных систем, ускоряющих бизнес-процессы, сокращающих количество операционных ошибок и повышающих эффективность деятельности компании в целом. С другой стороны, как и в случае с кредитующим подразделением банка, именно деятельность ИТ-подразделения порождает риски, в данном случае - риски информационной безопасности. Это не означает, что ИТ-подразделение в лице руководителя проекта или разработчика безответственно подходит к вопросам ИБ или будет преднамеренно создавать систему, полную уязвимостей, ровно так же, как кредитный менеджер не станет специально выдавать кредит, вероятность возврата которого заведомо стремится к нулю (здесь мы не рассматриваем откровенно халатное отношение к работе или преступный сговор). Однако, для ИТ-подразделения основной фокус - это чтобы система удовлетворяла бизнес-требованиям и действительно решала задачи пользователей, поэтому сохраняется вероятность, что какие-то нюансы информационной безопасности могут быть не учтены. И здесь на помощь приходит подразделение ИБ, которое не даст упустить чего-то важного с точки зрения информационной безопасности. При этом следует исходить из того, что у подразделения ИБ нет намерения парализовать работу блока ИТ или придерживаться принципа «нет информационных систем - нет угроз ИБ». Здесь опять же все очень похоже на банк: подразделение управления рисками прекрасно понимает, что не выдавать кредиты нельзя, так как проценты по ним составляют важную статью доходов банка.
Взаимоотношения ИТ и ИБ я вижу как сотрудничество и формирование механизма сдержек и противовесов. Вижу в нем не проблему, а возможности, поскольку правильно выстроенное взаимодействие этих двух служб полезно для компании. Здесь, как и во многих других областях, действует принцип, согласно которому здоровая конкуренция между участниками какой-либо системы идёт на пользу всей системе в целом.
– Как вы считаете, где и в чем надо искать компромисс? Или, может быть, его искать и не надо, а есть определенные участки, где приоритет одного над другим не должен вызывать споров?
– Проблема во взаимодействии ИБ- и ИТ-служб с высокой вероятностью может возникать в крупных организациях со сложной структурой управления, где в каждом подразделении работает большое количество сотрудников. В таких обстоятельствах велик риск развития нездоровой бюрократии и, как следствие, сложнее выстроить диалог с коллегами. В некоторых организациях используются рычаги внутриполитической борьбы или ведутся корпоративные войны. Отсюда могут возникать различные перегибы, как в сторону необоснованных запретов, так и в сторону пренебрежения требованиями ИБ.
Существуют определенные ситуации, в которых, на мой взгляд, приоритет ИБ не должен вызывать дискуссий. В первую очередь я имею в виду механизмы быстрого реагирования, такой своего рода стоп-кран, если угодно. Это легче всего объяснить на примере вывода в промышленную эксплуатацию какой-либо новой информационной системы или её части. В этом процессе у подразделения ИБ должно быть «право вето», то есть возможность в одностороннем порядке заблокировать вывод системы в промышленную эксплуатацию до, а не после разбирательств и обсуждений с подразделением ИТ. Вероятнее всего, в большинстве случаев после детального разбора окажется, что тревога была ложной, а система будет введена в эксплуатацию в исходном виде, без каких-либо доработок. Также очевидно, что подобные задержки обычно несут прямые убытки в виде дополнительных трудозатрат, и косвенные - в виде упущенной выгоды. Однако я убежден, что эти убытки с лихвой перекрываются потенциальными потерями, финансовыми и репутационными, которых удастся избежать благодаря своевременному обнаружению уязвимостей в системе.
Очень важно, чтобы в компании был выстроен диалог и коммуникации между подразделениями. И была нацеленность на общий результат, чтобы направление ИБ не злоупотребляло своим запретительным правом.
– На плечи каких специалистов ложится решение таких вопросов? Какие компетенции важны для грамотного их решения?
– Основная проблема - отсутствие конструктивного диалога. Решение задачи построения коммуникаций лежит на стороне руководителей ИБ- и ИТ-подразделений. Необходимо с самого верхнего уровня задавать тон, чтобы сотрудники этих подразделений не «воевали», а стремились максимально продуктивно взаимодействовать.
Это может быть механизм рабочих групп, которые позволят специалистам разных профилей общаться напрямую, минуя бюрократические барьеры, заранее выравнивать ожидания, требования, а также планировать необходимые активности, связанные, например, с выводом в промышленную эксплуатацию какого-либо софта.
Можно проводить в компании тренинги по развитию и прокачиваю soft skills, в частности, навыков коммуникации, эмпатии, решения конфликтных ситуаций, ведения деловой переписки. Делается это, чтобы в случае возникновения внештатной ситуации не перебрасываться письмами, которые обрастают все новыми взаимными претензиями и адресатами в копии, а вместо этого оперативно созвониться, и решить все проблемы голосом, без эскалаций и привлечения руководителей разных уровней в качестве арбитров.
– Ваши прогнозы насчет дальнейшего развития отношений между ИТ и ИБ. От чего оно будет зависеть?
– В последние годы регистрируется все больше инцидентов ИБ, связанных как с хакерскими атаками, так и с неосторожностью или неосведомленностью сотрудников. Эти инциденты приводят к серьезным для бизнеса последствиям: утечке конфиденциальной информации, потере доступности ИТ-систем, приостановке бизнес-процессов. Все это выражается в колоссальные финансовые и репутационные потери. Эта тенденция отлично проиллюстрирована на дашборде World’s Biggest Data Breaches & Hacks. Можно заметить, что за последние несколько лет утечки конфиденциальных данных происходили даже в таких крупных и уважаемых компаниях, как Microsoft, Facebook, Twitter.
Уверен, что в ближайшие годы все больше внимания компании будут уделять направлению информационной безопасности и наделять соответствующие подразделения все более широкими полномочиями. Даже если сейчас в некоторых компаниях ИТ-подразделения находят способы преодолевать запреты ИБ, то в ближайшее время это будет делать всё сложнее, так как руководство все большего числа компаний будет осознавать, что более нельзя пренебрегать требованиями ИБ.
С другой стороны, скорость развития ИТ и цифровизации не снижается: по моим наблюдениям, в 2020 году многие компании увеличивали инвестиции в ИТ, и это не всегда было связано лишь с необходимостью организации удаленной работы сотрудников. Многие крупные проекты по автоматизации бизнес-процессов не только не приостановились в 2020 году, но даже получили дополнительные инвестиции. Все это говорит о том, что роль ИТ также не будет снижаться в ближайшие годы, а значит, ИБ и ИТ придется находить общий язык и способы конструктивного взаимодействия друг с другом.
– Большое спасибо за беседу!
–