Руководитель Отдела архитектуры и разработки компании «ЛАНИТ - Би Пи Эм» (входит в группу ЛАНИТ) Александр Лутай: «ИБ и ИТ придется находить общий язык и способы конструктивного взаимодействия друг с другом»

Взаимоотношения ИТ и ИБ можно охарактеризовать как сотрудничество и формирование механизма сдержек и противовесов. Руководитель Отдела архитектуры и разработки компании «ЛАНИТ - Би Пи Эм» (входит в группу ЛАНИТ) Александр Лутай видит в нем не проблему, а возможности, поскольку правильно выстроенное взаимодействие этих двух служб полезно для компании.

– Александр, наблюдаете ли вы «противоборство» ИБ и ИТ?

– Не стану называть это противоборством. Мне ближе сравнение взаимодействия ИБ и ИТ-подразделений с системой сдержек и противовесов, как у ветвей власти. Дам более простой пример из финансовой сферы. В любом банке есть подразделения, выдающие кредиты, и есть подразделение, как правило, одно, которое централизованно управляет кредитными рисками. Эти подразделения не хотят навредить друг другу, они оба необходимы для эффективной работы финансовой организации. У них есть общая цель - развивать бизнес компании. Только достигается она разными инструментами. Кредитующие подразделения «зарабатывают» для банка деньги, продавая кредитные продукты. Но и подразделение, отвечающее за управление рисками, приносит пользу: при необходимости оно полномочно требовать дополнительного обеспечения по кредиту или отказывать в выдаче кредита, тем самым ограждая банк от излишнего риска и поддерживая его финансовую стабильность.

 

Руководитель Отдела архитектуры и разработки компании «ЛАНИТ - Би Пи Эм» (входит в группу ЛАНИТ) Александр Лутай

 

Примерно такую же ситуацию мы наблюдаем, говоря о блоках ИТ и ИБ на предприятии. Задача ИТ - помочь компании в развитии бизнеса путём создания информационных систем, ускоряющих бизнес-процессы, сокращающих количество операционных ошибок и повышающих эффективность деятельности компании в целом. С другой стороны, как и в случае с кредитующим подразделением банка, именно деятельность ИТ-подразделения порождает риски, в данном случае - риски информационной безопасности. Это не означает, что ИТ-подразделение в лице руководителя проекта или разработчика безответственно подходит к вопросам ИБ или будет преднамеренно создавать систему, полную уязвимостей, ровно так же, как кредитный менеджер не станет специально выдавать кредит, вероятность возврата которого заведомо стремится к нулю (здесь мы не рассматриваем откровенно халатное отношение к работе или преступный сговор). Однако, для ИТ-подразделения основной фокус - это чтобы система удовлетворяла бизнес-требованиям и действительно решала задачи пользователей, поэтому сохраняется вероятность, что какие-то нюансы информационной безопасности могут быть не учтены. И здесь на помощь приходит подразделение ИБ, которое не даст упустить чего-то важного с точки зрения информационной безопасности. При этом следует исходить из того, что у подразделения ИБ нет намерения парализовать работу блока ИТ или придерживаться принципа «нет информационных систем - нет угроз ИБ». Здесь опять же все очень похоже на банк: подразделение управления рисками прекрасно понимает, что не выдавать кредиты нельзя, так как проценты по ним составляют важную статью доходов банка.

Компания diHouse (входит в группу ЛАНИТ) и израильская технологическая компания Particula подписали эксклюзивный договор о поставке развивающих устройств. В российских торговых сетях и интернет-магазинах уже можно приобрести две модели «умных» кубиков Рубика (см. новость раздела «ЛАНИТ» от 17 февраля 2021 г.).

Взаимоотношения ИТ и ИБ я вижу как сотрудничество и формирование механизма сдержек и противовесов. Вижу в нем не проблему, а возможности, поскольку правильно выстроенное взаимодействие этих двух служб полезно для компании. Здесь, как и во многих других областях, действует принцип, согласно которому здоровая конкуренция между участниками какой-либо системы идёт на пользу всей системе в целом.

Как вы считаете, где и в чем надо искать компромисс? Или, может быть, его искать и не надо, а есть определенные участки, где приоритет одного над другим не должен вызывать споров?

– Проблема во взаимодействии ИБ- и ИТ-служб с высокой вероятностью может возникать  в крупных организациях со сложной структурой управления, где в каждом подразделении работает большое количество сотрудников. В таких обстоятельствах велик риск развития нездоровой бюрократии и, как следствие, сложнее выстроить диалог с коллегами. В некоторых организациях используются рычаги внутриполитической борьбы или ведутся корпоративные войны. Отсюда могут возникать различные перегибы, как в сторону необоснованных  запретов, так и в сторону пренебрежения требованиями ИБ.

Существуют определенные ситуации, в которых, на мой взгляд, приоритет ИБ не должен вызывать дискуссий. В первую очередь я имею в виду механизмы быстрого реагирования, такой своего рода стоп-кран, если угодно. Это легче всего объяснить на примере вывода в промышленную эксплуатацию какой-либо новой информационной системы или её части. В этом процессе у подразделения ИБ должно быть «право вето», то есть возможность в одностороннем порядке заблокировать вывод системы в промышленную эксплуатацию до, а не после разбирательств и обсуждений с подразделением ИТ. Вероятнее всего, в большинстве случаев после детального разбора окажется, что тревога была ложной, а система будет введена в эксплуатацию в исходном виде, без каких-либо доработок. Также очевидно, что подобные задержки обычно несут прямые убытки в виде дополнительных трудозатрат, и косвенные - в виде упущенной выгоды. Однако я убежден, что эти убытки с лихвой перекрываются потенциальными потерями, финансовыми и репутационными, которых удастся избежать благодаря своевременному обнаружению уязвимостей в системе.

Очень важно, чтобы в компании был выстроен диалог и коммуникации между подразделениями. И была нацеленность на общий результат, чтобы направление ИБ не злоупотребляло своим запретительным правом.

 

 

На плечи каких специалистов ложится решение таких вопросов? Какие компетенции важны для грамотного их решения?

При поддержке Совета Федерации России, Министерства транспорта, «Росавиации» и «Ространснадзора» состоялась 57-я Московская международная конференция и выставка «Пассажирский терминал XXI века». Организаторами мероприятия выступили «ЛАНИТ-Интеграция» (входит в группу ЛАНИТ) и Ассоциация «Аэропорт» гражданской авиации (см. новость раздела «ЛАНИТ» от 17 февраля 2021 г.).

– Основная проблема - отсутствие конструктивного диалога. Решение задачи построения коммуникаций лежит на стороне руководителей ИБ- и ИТ-подразделений. Необходимо с самого верхнего уровня задавать тон, чтобы сотрудники этих подразделений не «воевали», а стремились максимально продуктивно взаимодействовать.

Это может быть механизм рабочих групп, которые позволят специалистам разных профилей общаться напрямую, минуя бюрократические барьеры, заранее выравнивать ожидания, требования, а также планировать необходимые активности, связанные, например, с выводом в промышленную эксплуатацию какого-либо софта.

Можно проводить в компании тренинги по развитию и прокачиваю soft skills, в частности, навыков коммуникации, эмпатии, решения конфликтных ситуаций, ведения деловой переписки. Делается это, чтобы в случае возникновения внештатной ситуации не перебрасываться письмами, которые обрастают все новыми взаимными претензиями и адресатами в копии, а вместо этого оперативно созвониться, и решить все проблемы голосом, без эскалаций и привлечения руководителей разных уровней в качестве арбитров.

Ваши прогнозы насчет дальнейшего развития отношений между ИТ и ИБ. От чего оно будет зависеть?

Российский ИТ-дистрибьютор Treolan (входит в группу ЛАНИТ) и группа компаний Inmagine Group, разработчик онлайн-платформы designs.ai, подписали соглашение о сотрудничестве. С января 2021 года Treolan начал поставки электронных годовых лицензий designs.ai через свой партнерский канал в статусе официального дистрибьютора торговой марки (см. новость раздела «ЛАНИТ» от 16 февраля 2021 г.).

– В последние годы регистрируется все больше инцидентов ИБ, связанных как с хакерскими атаками, так и с неосторожностью или неосведомленностью сотрудников. Эти инциденты приводят к серьезным для бизнеса последствиям: утечке конфиденциальной информации, потере доступности ИТ-систем, приостановке бизнес-процессов. Все это выражается в колоссальные финансовые и репутационные потери. Эта тенденция отлично проиллюстрирована на дашборде World’s Biggest Data Breaches & Hacks. Можно заметить, что за последние несколько лет утечки конфиденциальных данных происходили даже в таких крупных и уважаемых компаниях, как Microsoft, Facebook, Twitter.

Уверен, что в ближайшие годы все больше внимания компании будут уделять направлению информационной безопасности и наделять соответствующие подразделения все более широкими полномочиями. Даже если сейчас в некоторых компаниях ИТ-подразделения находят способы преодолевать запреты ИБ, то в ближайшее время это будет делать всё сложнее, так как руководство все большего числа компаний будет осознавать, что более нельзя пренебрегать требованиями ИБ.

С другой стороны, скорость развития ИТ и цифровизации не снижается: по моим наблюдениям, в 2020 году многие компании увеличивали инвестиции в ИТ, и это не всегда было связано лишь с необходимостью организации удаленной работы сотрудников. Многие крупные проекты по автоматизации бизнес-процессов не только не приостановились в 2020 году, но даже получили дополнительные инвестиции. Все это говорит о том, что роль ИТ также не будет снижаться в ближайшие годы, а значит, ИБ и ИТ придется находить общий язык и способы конструктивного взаимодействия друг с другом.

Большое спасибо за беседу!

Автор: Анна Тумакова.

Тематики: Интеграция

Ключевые слова: ЛАНИТ, информационная безопасность