Информационная безопасность во время и после пандемии: ключевые барьеры

3 ключевых барьера перед службами информационной безопасности в бизнесе

Мы продолжаем цикл публикаций, посвященный анализу роли и проблем служб информационной безопасности во время пандемии, а также оценке зрелости функции информационной безопасности в российских компаниях.

Как и в прошлой статье данного цикла, на страницах журнала «Директор по безопасности» мы приводим выдержки из исследования, подготовленного нами в MINDSMITH совместно с социологической службой Social Business Group, в основе которого лежат 35 глубинных интервью с руководителями и директорами служб ИБ в российских компаниях, а уточнения результатов исследования были проведены при поддержке экспертной панели из 8 признанных экспертов отрасли.

Материалы наших интервью позволили систематизировать основные барьеры, с которыми сталкивались и сталкиваются службы ИБ.

Ноябрь 2020 года

Информационная безопасность во время и после пандемии

Для анализа роли и проблем служб информационной безопасности во время пандемии мы провели 35 интервью с руководителями и директорами по безопасности российских компаний.

Кризисная ситуация показала, что для многих компаний необходима ревизия организационных решений, касающихся выполнения функции информационной безопасности.

Судя по интервью с руководителями компаний, в которых формулировались претензии к службам информационной безопасности (далее – «ИБ»), задача выстроить эффективные взаимоотношения между ИБ и другими функционально связанными подразделениями оказывается непростой. Возникшие сложности приходилось преодолевать в авральном режиме.

Природа проявившихся барьеров разная, и большинство из них сформировались еще до нынешнего кризиса. Как отметил CEO крупной ритейл-компании:

«У меня нет уверенности, что то, что мы делаем, правильно. Нельзя масштабировать весь этот хаос ad hoc решений».

Материалы наших интервью позволили систематизировать основные барьеры, с которыми сталкивались и сталкиваются службы ИБ.

Барьер No 1. Организация процессов

Первый тип барьеров связан с организацией процессов, в которые вовлечены службы ИБ. По шести сюжетам мы видим вполне сформированный консенсус у экспертов.

  • Проблематика информационной безопасности плохо представлена на уровне совета директоров.
  • Отсутствует сформулированная политика информационной безопасности, нет внутренних нормативных документов и правил взаимодействия между ИТ-департаментами (далее – «ИТ»), службами безопасности (далее – «СБ») и ИБ.
  • Существует непонимание специфики ИБ со стороны бизнеса или руководства.
  • В матрице рисков компании нет места для рисков ИБ.
  • Существуют конфликтующие стратегии и принципы деятельности ИБ и ИТ. Отсутствует бюджет, имеются сложности в обосновании затрат на ИБ.

Один из наших собеседников приводит пример, как складывались отношения между СБ, ИТ и ИБ в ситуации «невнимания» к проблематике информационной безопасности:

«Если предправления не всегда может вникать и уделять должное время ИБ, тогда ее переподчиняют либо руководителю СБ, либо директору ИТ. В некоторых банках переводят из СБ в Департамент информационных технологий, что приводит к конфликту. Когда они находились в СБ, то контролировали все закупки, которые проходили по линии ИТ, могли контролировать сисадминов ДИТа. А когда они перешли в подчинение к директору ИТ, ослабевает контроль за ИТ. В такой ситуации и коррупционные опасности могут возникнуть».

Слабая коммуникация с советом директоров и с руководством компании неизбежно сказывается на глубине понимания вопросов информационной безопасности с их стороны.

Одновременно страдает и вовлеченность главы ИБ в разработку бизнес-стратегии, тогда как эта возможность представляется нашим собеседникам очень важной. Если этого не происходит, возникают несколько системных проблем. У компаний в их матрице рисков не находится места для рисков ИБ – поэтому они не готовы тратить на это деньги. Если отсутствует сформулированная политика ИБ, несформированными оказываются также и правила взаимодействия с ИТ и отсутствуют регламенты участия ИБ в разработке, тестировании и выводе на рынок цифровых продуктов.

«Обязательно должны быть прописаны правила и процедуры. Чтобы с ИТ можно было аргументированно отстаивать свою точку зрения. И показывать ссылку на политику, которая действует по всей компании. Без прописанных политик и процедур никакой дружбы не будет, только на человеческих отношениях не удержатся. Нужны понятные правила игры, это базовое структурное требование».

Эксперты сходятся во мнении, что между ИТ и ИБ принципиально существует некий «конфликт интересов». ИТ ориентируются на быстрый запуск продукта и при этом находятся под сильным давлением – бизнес требует готового инструмента как можно быстрее. А ИБ в этой ситуации становится «досадным тормозом», поскольку выступает за более безопасные решения и снижение рисков эксплуатации информационных систем. А это уже сложно доказывать бизнесу.

«Основная проблема в том, что у компании нет места для такого риска в матрице рисков. А скорее есть лишь общая идея, что такой риск имеет право на существование. Из-за этого компании не готовы тратить деньги, чтобы развивать информационную безопасность в правильном направлении. Поэтому они должны слышать голос ИБ».

Если не выстроены отношения между ИТ и ИБ и нет разработанных регламентов, конфликт интересов существенно обостряется при наступлении инцидента.

«Зачастую они друг на друга начинают валить. Снять это противоречие можно, важно избежать размытия зоны ответственности, чтобы каждый четко знал и выполнял свою функцию».

Разделение зон ответственности должно происходить в четко очерченных рамках и тщательно разобранным функционалом.

«Любой конфликт, это всегда издержки, это нагрузка на процесс, на ресурсы и в итоге – финансовые издержки»

– руководитель ИТ, в ведении которого находятся также функции информационной безопасности

Такое понимание и такая оценка роли конфликта возможна изнутри «экономического прочтения» роли информационной безопасности.

Это тот случай, когда конфликт не выгоден. В ближней перспективе это усиливает риски, а более отдаленной – подтачивает культуру кибербезопасности в компании, не способствует установлению сотрудничества между ИТ и ИБ, а также скорее негативно сказывается на статусе службы в глазах топ-менеджмента. Несколько наших собеседников говорили, что руководству компаний, как правило, понятнее ценность ИТ-подразделения и ближе именно их потребности.

При этом из виду упускается интеграция информационной безопасности как в разработку и в ИТ, так и в бизнес-процессы компании и сами ИТ-специалисты оказываются вне контура понимания проблематики информационной безопасности:

«Есть системная проблема. Мы приходим к ИТ, начинаем общаться на тему рисков, но понимаем, что у них нет знаний о последствиях отказа или сбоя их систем».

Другой собеседник указывает на еще один аспект – что «слабину» могут давать даже, казалось бы, вполне подготовленные люди и специалисты:

«Мы сами у себя проводим такие обучения регулярно. Иногда на условные атаки (в рамках обучения) попадаются айтишники, которые должны понимать, как работают технологии. Но они все равно попадались на удочку. Подумав задним числом и поняв, что это была атака, они начинают разбирать инцидент».

По мнению эксперта, это верный индикатор, что отношения ИТ и ИБ не выстроены и не интегрированы в бизнес-процессы. В основе проблемы оказывается неспособность или неготовность руководителей служб ИБ вовлекать топ-менеджмент в вопросы информационной безопасности, развивать их понимание стратегических задач в этой области, систематически создавать основу для эффективной и успешной деятельности.

Барьер No 2. Интеграция в бизнес

Второй тип барьеров проистекает из недостатка бизнес-интеграции. Характер бизнеса сильно изменился и постоянно меняется под влиянием экономической конъюнктуры, международного сотрудничества, развития цифровых сервисов. Прежний функционал служб ИБ уже совершенно недостаточен и не отвечает требованиям времени. Опираясь на совокупное мнение экспертов, можно составить «чек-лист» барьеров этого типа.

  • Невовлеченность ИБ в бизнес-процессы, неумение/нежелание разбираться в бизнес-процессах компании.
  • «Самоизоляция» служб ИБ, когда сотрудники и руководитель искусственно ограничивают свой функционал только сюжетами compliance – в ущерб динамике бизнес-задач.
  • Неумение видеть тематику ИБ в бизнес-процессах, понимать потребности бизнеса, экономику рисков, контексты бизнес-процессов.
  • Неумение видеть экономику в вопросах информационной безопасности и, как следствие, неумение описывать и оценивать свою эффективность в бизнес-показателях, обосновывать требующиеся ресурсы (бюджеты и специалистов), оценивать необходимость аутсорсинга и лизинга оборудования.
  • Прежний подход к угрозам (реагирование и расследование инцидентов) не отвечает требованиям эффективности, сейчас требуется предвидеть угрозы и упреждать инциденты.
  • ИБ не умеет донести до руководителей важность задачи развивать культуру кибербезопасности сотрудников, принимать траты на их обучение.

Главный вызов для служб ИБ – категорическая необходимость стать частью всех значимых для безопасности бизнес-процессов.

Конечно, самоизолироваться («отрыть окоп и обеспечить периметр», как сформулировал наш собеседник) можно разными способами, но это заведомо ослабляет позиции ИБ в компании и одновременно создает напряжение для взаимодействия с руководителями. Один из способов самоизоляции – ограничить себя только лишь работой с требованиями регулятора.

«Комплаенс – это беда для ИБ. Особенно для России, где излишнее число регулирующих требований. А многие сотрудники ИБ считают, что должны выполнять все требования законодательства. Поэтому они и жили в своем мире нормативных требований и борьбы часто с мифическими угрозами, которые не имели никакого влияния на бизнес-показатели. Так было в огромном числе случаев до кризиса. А тут безопасникам сказали: «ребята, у меня задача сохранить бизнес вне зависимости от выполнения требований регулятора; займитесь тем, что важно для спасения». Это заставляет пересмотреть приоритеты деятельности. Пандемия показала, что можно жить, не выполняя и иногда даже нарушая комплаенс».

Невовлеченность в бизнес-процессы и неумение говорить на языке бизнеса становится, как бы парадоксально это ни звучало, причиной непрофессионализма и низкой эффективности служб ИБ.

«Руководство не понимает, зачем нужна ИБ, зачем такие бюджеты и специалисты. Тогда тот, кто отвечает за безопасность, вынужден выбирать между тремя ИБ-системами, тогда как нужны все три».

Сотрудники ИБ должны разбираться в сути процессов, которые защищают, и понимать, какое событие в этих процессах является рабочим, штатным, а какое – инцидентом или атакой. Они должны понимать стратегию развития бизнеса и предлагать необходимые решения и продукты для обеспечения безопасности.

«Цифровая трансформация глубоко входит в бизнес-процессы, и любой бизнесмен, и CDO или CDTO обязан понимать в цифровой трансформации уровень рисков, которые она несет, как эти риски нивелировать и принимать. А это уже часть понимания безопасности. А безопасность не умеет оценивать и объяснять свою эффективность с точки зрения бизнеса и учитывать стратегию развития бизнеса в своей деятельности. Сколько потерь предотвращено, сколько денег сохранено, на сколько наши сервисы позволили сократить время сделки, насколько сократился цикл вывода продукта на рынок и т. д. Для этого ИБ должны идти в бизнес и разбираться в бизнес-процессах, тогда роль безопасности сильно поднимется».

Еще одна опасность слабой интеграции в бизнес – недостаточное влияние на развитие культуры кибербезопасности в компании и ограниченные возможности делать это грамотно, системно и удобно для сотрудников (и что не менее важно – для руководителей).

Мы можем добавить от себя, что именно от руководителей служб за- висит понимание топ-менеджментом важности этой задачи:

«Отношение сотрудников к задачам ИБ – вопрос не к исполнителям, а к руководству. Если бизнес поймет, что через обучение сотрудников он сможет спать спокойно, то заставит специалистов на местах выполнять правила, учиться, расширять свои знания. А если бизнесу это не нужно, а нужно только ИБ – работать ничего не будет».

Требование «понимать бизнес», сформулированное практически всеми участниками исследования, означает, что руководитель службы ИБ должен внедрять и развивать модель бизнес-партнерства, наподобие HR бизнес-партнера.

Нынешнее время настоятельно диктует необходимость осмыслить круг функциональных обязанностей этой (относительно) новой задачи для руководителя ИБ. В дополнение к этому, возникают и совершенно иные требования к профессиональным качествам и компетенциям сотрудников служб безопасности.

Барьер No 3. Профессиональные компетенции

Третий тип барьеров – недостаток профессиональных компетенций, что вызвано изменившимися запросами к роли и функционалу служб ИБ в компаниях. Наиболее существенными барьерами с точки зрения опрошенных экспертов оказались следующие.

  • Условия, при которых сформировались профессиональные навыки прежней генерации специалистов ИБ, мешают им адаптироваться к сегодняшней постоянно меняющейся среде.
  • Сложность в развитии и поддержке на актуальном уровне «hard skills».
  • Катастрофическая нехватка «soft- skills», отвечающих за гибкость, поддержку инициатив, умение договариваться о партнерстве и кросс-функциональном сотрудничестве, умение находить компромиссы.
  • Отсутствие у СБ желания и/или возможности профессионально развиваться – бесплатная информация не ценится, а на платную необходимо добывать бюджеты.
  • Отсутствие умения и зачастую готовности обучать, проводить занятия и тренинги для сотрудников, развивать и проводить исследования культуры кибербезопасности, выстраивать партнерство с HR для решения этих задач.
  • «Естественная» установка сотрудников ИБ сохранять статус-кво, тогда как более плодотворной является стратегия на критическую оценку устоявшегося, постоянное тестирование имеющихся решений с точки зрения актуальных угроз и рисков.

Общее мнение экспертов – сфера информационной безопасности стоит на пороге смены генерации безопасников.

«СБ/ИБ трудно менять свое мышление. Чаще всего это модели «обороны от врагов» и «лояльность регулятору». Необходимость смены генераций назрела давно, но идет сложно»

— руководитель крупной российской ИТ-компании

Речь идет не о возрасте, а об образе мышления и о наборе «hard» и «soft» компетенций, без которых сотруднику безопасности трудносоответствовать требованиям развивающегося или выживающего в кризис бизнеса.

«Надо признать, что в массе своей они консерваторы. Исключения есть, но в основном – это безопасники предыдущего поколения. Они получали образование в то время, когда не только про цифровую трансформацию было непонятно, об информатизации мало кто говорил. Они в основном занимались борьбой с техническими разведками, защитой государственных тайн. Они, обладая колоссальным опытом в этой сфере, не могут адаптироваться под новые реалии, под цифровую трансформацию, под гибкий бизнес, под международное сотрудничество, да и просто под открытие периметра с другими компаниями. А бывшие сотрудники регуляторов – тем более. Должно смениться поколение сотрудников безопасности прежде, чем они смогут поменять свою роль в организации, и понимать, что не они диктуют, а бизнес диктует подход – что они должны учитывать стратегию развития бизнеса в своей деятельности».

Одним из важных «поколенческих» индикаторов является установка на обучение, повышение квалификации и актуализацию своих профессиональных знаний.

Один из наших собеседников предостерегал нас от наивного доверия рассказам о трудностях и барьерах, о которых ему постоянно приходится слышать. Очень часто за разговорами о недостатке ресурсов, о непонимании со стороны бизнеса лежит собственная не- готовность развиваться:

«Есть категория, «ИБ-нытики». Они всегда говорят про ресурсные ограничения. Им надо просто учиться. Развиваться, выходить за рамки, переформатировать себя. Либо ты просто в коробочке сидишь».

Отчасти задачи поддержки профессиональных компетенций и получения новых знаний решаются неформальной поддержкой коллег – через профессиональные «клубы» и профильные сообщества, сети знакомств и личные образовательные инициативы кого-то из экспертов. Однако это не отменяет необходимости в специализированной образовательной среде, которая бы решала эти задачи на регулярной и систематической основе и имела бы достаточно сильную репутацию как среди специалистов, так и среди руководителей компаний.

В завершение второй статьи данного цикла публикаций хотим заметить, что кризис безусловно обострил запрос на «новое поколение» специалистов и в области ИБ, и в сфере корпоративной безопасности в целом – не в смысле возраста, а в плане «образа мышления». Очевидно, что традиционное прочтение ролей и функций ИБ и набор существующих компетенций не отвечает требованиям сегодняшнего времени. На каждый приведенный выше барьер индустрии ИБ придется в той или иной найти ответ, и а на каждое назревшее изменение – подобрать подходящий способ решения.

Именно поэтому, в следующем выпуске цикла мы расскажем об изменении в функционале и статусе ИБ в российских компаниях, перспективах развития бизнес-компетенций в индустрии ИБ, о репрофессионализации деятельности специалистов по кибербезопасности и о многом другом. До новых встреч на страницах журнала «Директор по безопасности»!

Информационная безопасность во время и после пандемии: барьеры профессии
Авторы: Руслан Юсуфов, управляющий партнер MINDSMITH, Иван Климов, управляющий партнер Social Business Group, к.соц.н., доцент факультета социальных наук НИУ ВШЭ. Материал опубликован в Журнале "Директор по безопасности", выпуск 1 (январь), 2021 г.

Авторы выражают признательность редакции журнала и лично главному редактору Николаю Дворецкому за возможность донести результаты исследования до широкого круга профессионалов в области безопасности.

О MINDSMITH

MINDSMITH фокусируется на комплексных исследованиях, интенсивных тренингах и стратегическом консалтинге в области высоких технологий. Компания была основана в 2018 году в формате технологического аналитического центра.

Мы говорим на языках бизнеса и технологий. И умеем переводить с одного на другой. Так мы решаем самые сложные головоломки. Собственный отдел аналитики и доступ к необходимой экспертизе по всему миру для индивидуальных решений в каждом конкретном случае.

Меню