Информационная безопасность во время и после пандемии: будущие изменения

Изменения в функционале и статус еинформационной безопасности в бизнесе

Мы в завершаем цикл публикаций, посвященный анализу роли и проблем служб информационной безопасности во время пандемии, а также оценке зрелости функции информационной безопасности в российских компаниях.

В завершающей статье статье данного цикла, на страницах журнала «Директор по безопасности» мы приводим выдержки из исследования, подготовленного нами в MINDSMITH совместно с социологической службой Social Business Group, в основе которого лежат 35 глубинных интервью с руководителями и директорами служб ИБ в российских компаниях, а уточнения результатов исследования были проведены при поддержке экспертной панели из 8 признанных экспертов отрасли.

Ноябрь 2020 года

Информационная безопасность во время и после пандемии

Для анализа роли и проблем служб информационной безопасности во время пандемии мы провели 35 интервью с руководителями и директорами по безопасности российских компаний.

Изменения в функционале и статусе ИБ в компании

Эксперты исследования отмечали, что изменения в функционале и статусе ИБ в компании не является необходимыми для значительной части российских компаний. Но в государственных корпорациях стоит ожидать значительных перемен, «там много сломается шаблонов; это назрело и очень желательно» – отмечает один из экспертов.

Наиболее важными, по совокупному мнению наших собеседников, должны стать следующие решения.

  1. Необходимо критически оценить опыт, полученный в кризис, и сформировать новый тип внутренней структуры/функциональных отношений в области ИБ – сообразно специфике компании, отрасли и системе внутренних взаимоотношений.
  2. Для службы ИБ необходим выход на совет директоров.
  3. В области информационной безопасности компаниям необходимо иметь проработанные политики, ВНД и регламенты.
  4. Необходимо изменить отношение к стандартам, рекомендациям и указаниям регулятора.
  5. Необходимо развивать и поддерживать культуру кибербезопасности сотрудников – вкладываться в тренинги, образование и оценочные исследования.
  6. Должен быть сформирован запрос на оценку зрелости компании к угрозам ИБ и разработку подходов к оценке «зрелости».

Судя по интервью с экспертами, есть ряд наиболее типичных организационных решений как взаимодействовать ИБ с ИТ, СБ и CEO, однако «единственно верного» решения – нет.

Очень многое зависит не только от профиля компании, особенностей функционирования совета директоров и топ-менеджмента, но также и от личностных характеристик, опыта и профессиональных компетенций людей, отвечающих за ИБ, а также от множества других факторов.
Тем не менее организация внутреннего взаимодействия важна. Если оно не выстроено между ИБ и други- ми ключевыми подразделениями, то с высокой вероятностью возникнет «бутылочное горлышко» в важных бизнес-процессах.

«Оптимального форма- та не существует, нигде не дается универсального ответа. В трех случаях из четырех сотрудники ИБ подчинены ИТ. Это же и в мировой практике».

Судя по интервью, наиболее распространенными оказываются три варианта:

  • ИБ внутри ИТ;
  • ИБ подчиняется СБ;
  • ИТ, СБ и ИБ независимы и подчинены генеральному директору в одинаковом статусе.

Наши собеседники подчеркивали, что для каждого варианта существуют свои естественные ограничения, которые необходимо знать и учитывать. Например, в первом случае информационная безопасность оказывается заложницей требований бизнеса, нехватки времени и ресурсов, при этом возникает пренебрежение системными решениями по ИБ. Второй вариант чреват слабой связкой ИБ с ИТ, что усложняет цифровизацию бизнес-процессов. Третий выглядит наиболее работающим, он же и рекомендуется регулятором для финансовых организаций.

Однако там, где нет жестких требований регулятора довольно часто встречаются и другие варианты. Компании стремятся находить решения, оптимальные для своей бизнес-модели, уровня цифрового развития, специфики отрасли и других параметров. Например:

  • ИБ подчинена департаментам финансовой или экономической безопасности;
  • ИБ представлена в ИТ штатным сотрудником;
  • ИБ может подчиняться службе внутреннего контроля или риск- менеджмента;
  • ИБ подчиняется CDTO/CDO.

Тем не менее, вывод, похоже, один: универсального решения быть не может. Наиболее согласованной выглядит позиция, когда руководитель ИБ имеет выход на совет директоров. Это оказывается важным фактором его эффективности:

«Если оценивать компанию на зрелость, я бы взял один параметр – доступ безопасника на собрания совета директоров и рисковых комитетов. Реальных, не для галочки. Которые действительно занимаются развитием компании. Если допускают просто послушать, даже без права голоса, тогда компания всерьез думает о безопасности. А руководитель ИБ, в свою очередь, реально может увидеть, что интересует бизнес. А если нет контактов с бизнесом, если общается раз в год при разделении бюджета, то функция безопасности живет своей жизнью. Это сигнал, что компания в незрелом состоянии с точки зрения ИБ».

Эксперты отмечали, что некоторое время в компаниях будет «множество самых разных решений кто кому подчиняется, и будет множество переделок организационной структуры». На решения будет влиять опыт кризиса – это основной драйвер изменений на сегодня. Для руководителя службы ИБ главная задача состоит в том, чтобы предложить некоторые принципы, которые обеспечат стратегическое развитие этого направления – не только встроить ИБ-риски в матрицу всех рисков могут быть распределены между компаний, но и связать функционал своей службы с бизнес-стратегией компании.

«К вопросу об оптимальной структуре надо подходить с позиции риск- менеджмента. Все зависит от того, как этот риск управляется, как компания определяет, в каком квадранте риск ИБ находится, насколько это вероятно и как повлияет на бизнес. Уже после этого стоит определять структуру. Наверное, лучшая практика – иметь отдельно ИТ, корпоративную безопасность и ИБ. Важна система противовесов и согласованность функций, рисков и затрат. Нужно всегда находить баланс. Поэтому важна роль руководства и совета директоров, чтобы этот правильный баланс соблюдать. Недостаточное внимание совета директоров может привести к тому, что эффективность процессов будет снижаться».

В этом вопросе важно различать службу ИБ и функцию информационной безопасности.

Последние могут быть распределены между ИТ, ИБ, внутренним аудитом, пресс- службой и другими отделами.

«Когда все функции и процессы оцифрованы и по ним существуют индикаторы и аналитика, на одни и те же данные каждый смотрит по-разному, в соответствии со своей позицией. Так что ИБ им вроде и не нужна. Все очень живое».

Тем не менее, существует тренд на кристаллизацию функции информационной безопасности в организационной структуре компании. Это происходит на фоне более фундаментального процесса, признаки которого описывает другой участник нашего исследования. С его точки зрения, кризис сформировал запрос на новый тип внутренней структуры, которая бы целиком отвечала за все вопросы безопасности.

Безопасность в современной компании становится комплексной, поэтому ИБ и традиционные задачи СБ стремительно соединяются.

«Есть тенденция, о которой год как говорят – СБ уходит под ИБ. Руководитель ИБ резко вырос в ста- тусе и важности задач. Многие руководители СБ ревностно относятся к такой ситуации, когда прежде непонятные функции и люди “а-ля хакеры” становятся все более важными в компании. А в кризис идет резкая оптимизация и сокращение расходов. По- этому конкуренция среди этих трех направлений возрастает. На ИТ выделяется большой бюджет, но ИБ – в тренде и находится на острие. Поэтому скорее всего сократят СБ, а затем, я не исключаю, что сольют ИТ и ИБ. Скорее всего мы увидим, что один человек будет отвечать за все три направления. Поэтому, чтобы остаться на плаву, многие руководители СБ начинают учиться и разбираться в информационной безопасности».

Следует оговориться, что этот тренд не означает полное исчезновение задач физической безопасности. Однако будет происходить и их цифровизация – с трекерами перемещений, системой слежения за жизненными показателями сотрудника, предупреждением об опасных зонах и цифровыми алгоритмами действий в случае возникновения нештатной ситуации. В этом случае традиционные виды безопасности логично будут состыковываться с ИБ-системами, дополняя и усиливая их.

Развитие бизнес-компетенций

Эта тема оказалась сквозной во всех интервью с экспертами. Развитие бизнес-ориентированности предполагает ряд характеристик.

  1. Более глубокое понимание специфики бизнеса и контекстов, в которых происходят те или иные события.
  2. Развитие практики бизнес-партнерства, определение роли и функционала службы ИБ в рамках такой модели взаимодействия, понимание необходимых действий и ресурсов, чтобы встроиться с этой ролью в процессы компании.
  3. Умение говорить с бизнесом на его языке.
  4. Инициативность – готовность «подбирать» задачи, ставшие актуальными, но которыми некому заниматься, готовность быть «универсальным солдатом», многое уметь и не замыкаться на своей тематике.
  5. Готовность брать на себя ответственность за безопасность компании в целом, а не разграничивать зоны ответственности.

Специалист по безопасности должен научиться понимать специфику бизнеса и существующие контексты, в которых происходят те или иные события и реализуются бизнес-процессы компании.

Один из наших собеседников, руководитель транс- портной компании, так сформулировал свои представления о такого рода изменениях:

«Новая функция ИБ должна быть адаптивной и участвовать во внедрениях. Роль ИБ меняется– это не люди, кто просто реактивно реагирует, это проактивная служба, она – советник, подсказывает, участвует и направляет».

Чтобы соответствовать таким ожиданиям, нужны не только знания, но и более широкая установка на интеграцию службы ИБ в бизнес-процессы компании. Очень важна открытость и эффективность внутренней коммуникации, это касается общения как с рядовыми сотрудниками, так и с руководителями компании.

«Сотрудники безопасности немного заумные люди, не утруждают объяснить простым сотрудникам, что и как делать. Даже элементарные правила надо уметь доводить. Поэтому происходит конфликт, когда люди не понимают, чего от них хотят. Правила надо обозначить. Так же и акционерам, которые не разбираются в ИБ, нужен кто-то, кто перевел бы сложные термины на понятный язык и донес бы информацию об угрозах и рисках. В N <название компании – прим.авт.> был грамотный руководитель ИБ, но он не мог правильно рассказать совету директоров те риски, с которыми компания сталкивается, уходил в технические вещи. Над ним взяли вице-президента, который понимал и в технических вещах, и в бизнес-процессах. Поэтому на совете директоров он рассказывал, почему необходимо тратить деньги на ИБ и как. Это очень важно, уметь переводить на язык бизнеса, без этого интеграции не получится, если не можешь объяснить, сколько могут сэкономить акционерам потраченные на ИБ деньги».

Репрофессионализация деятельности

Изменения в бизнесе и в специфике его запросов к информационной безопасности закономерно означают, что должны трансформироваться и базовые параметры профессиональной деятельности ИБ. Эксперты выделили несколько наиболее важных изменений, которые назревали давно, но должны ускориться под влиянием нынешнего кризиса.

  1. Смена генерации сотрудни- ков безопасности, которая касается в первую очередь образа мышления; требуется большая гибкость, адаптивность, аналитичность и глубокое понимание бизнес-процессов компании, установка на предотвращение и упреждение кибер-угроз, а не расследования.
  2. Понимание базовых трендов времени и готовность вовлекаться в них: цифровая пересборка процессов, соединение контуров традиционной корпоративной безопасности и ИБ, понимание постоянной изменчивости угроз и динамичности всей сферы ИБ.
  3. Готовность постоянно развивать свои «hard skills», и расширять область необходимых знаний за счет экономического и бизнес-образования.
  4. Интеграция в профессию возникающих новых специализаций и становящихся востребованными квалификациями (например, руководитель СБ, ИБ бизнес-партнер), которые возникают в результате внутреннего разделения труда.
  5. Переопределение принципов взаимоотношений с регулятором, выстраивание диалога по вопросам контроля и регулирования, а также гибкое и адаптивное следование предписаниям и правилам контролирующих организаций.

Усложнение задач и тренд на репрофессионализацию хорошо иллюстрирует пример, приведенный одним из наших собеседников. Его главный тезис – стандартных инцидентов не будет, к ним учебник не напишешь.

«Я вижу, что резко выросла потребность в ИБ, но нет специалистов, которые отвечали бы за всю безопасность компании в целом. Все постоянно меняется, и руководитель должен знать, где быстро почерпнуть те или иные знания. Стандартных инцидентов не существует. Например, если идет репутационная атака на акционера, то это комплекс, это и телефонные звонки, разбитые окна, письма, звонки в полицию с подменного номера – “тревога, в офисе убийство”. А руководитель СБ должен разбираться во всем, от получения разрешения на травматическое оружие до хакерских атак. Должен понимать, если подмена номера – то в какую компанию обратиться. Компетенций очень много. Учиться обязан постоянно, любознательный, быстрый. Если это- го нет, эффективным он не будет».

«Репрофессионализация» как понятие описывает рост значимости профессии, развитие структуры специальностей внутри нее, усложнение требований к профессиональной подготовке специалистов и его компетенциям. Обратная тенденция обозначается как «депрофессионализация».

Из приведенной цитаты и из других интервью видно, что информационная безопасность как профессия переживает новый этап усложнения и адаптивного развития – под влиянием «рынка» этого рода услуг и под влиянием технологического развития в ИТ.

Репрофессионализация требует изменений в личных установках и компетенциях специалистов. Например, по мнению одного из экспертов, опыт силовых структур становится все менее подходящим для динамичной, гибкой и цифровой бизнес-среды.

«Традиционные для безопасника требования не отвечают гибкости современного бизнеса. Консервативные безопасники вымирают. Сейчас идет смена поколений, ведь еще недавно сотрудники ИБ были выходцами из органов. Это соответствующее мышление, соответствующие методы. Во время цифровизации все время возникают новые задачи, кто их подобрал, тот и молодец, тот на коне. Еще один тренд – уход от расследований, рынок этого наелся. Сейчас важно предотвращение. Не надо определять причину смерти. А этот подход – расследования, родился из спецслужб. За предотвращение орденов не дают. Поэтому рынок сформировался вокруг расследований, долго был пассивным. Расследовать и догонять – уже не будет ключевым для руководителя ИБ. Надо предотвращать и упреждать. Так что опыт спецслужб уже не будет таким преимуществом».

С другой стороны, репрофессионализция формирует запрос на систематическое образование, переподготовку и сертификацию, на появление критериев качества обучения.

Похоже, что сегодня требуется признаваемый и легитимный источник повышения квалификации сотрудника безопасности «новой генерации», чья репутация признавалась бы корпоративным сектором.

«Критерии, которые характеризуют безопасника нового поколения – это желание постоянно обучаться, а не считать, что ты умнее всех. Желание погружаться не только в технологические вопросы и в регуляторный стек, но и в бизнес-стек. Есть немало примеров, когда безопасники получают МВА или экономическое образование. И не боятся принимать решения, брать ответственность на себя и выходить к бизнесу с инициативами, даже если эти инициативы, на первый взгляд, мешают бизнесу. Критическое мышление, желание развиваться, желание понимать бизнес – это основные характеристики нового поколения сотрудников безопасности».

Безусловным индикатором развития и усложнения профессии оказывается появление внутри нее специфических специализаций.

Например, SOC-analyst, incident-responder эксперт по форензике, threat-hunter. Один из наших экспертов видит принципиальную важность этого тренда:

«SOC – круглосуточный центр мониторинга, CERT – пожарная служба для тушения. Важные специализации зарождаются, поэтому нужны соответствующие образовательные треки и профили специальностей».

Другим индикатором назревших изменений и одновременно очень сильным ресурсом становятся неформальные сети и профессиональные сообщества.

Де-факто они начинают выполнять целый ряд важнейших для профессии функций: распространение актуальной информации в т. ч. об угрозах и возможностях противодействия, накопление и управление знаниями, образование и консультации, а также «неформальная сертификация» – формирование репутации и оценка профессионализма.

«Сообщества безопасников есть, они разбиты по индустриям, поскольку специфика везде своя. Есть неформальные группы и просто личные отношения. Есть сообщества в рамках пользования определенных систем. Если берем банковский антифрод, то его пользователи и есть сообщество. Есть системы, которые работают по взаимодействию и взаимообмену данными между компаниями в рамках определенного сегмента рынка. В результате получается сообщество, которое поддерживает друг друга и подсказывает по каким- то моментам».

Развитие коммуникативных компетенций

Это направление в целом укладывается в логику дальнейшего развития профессии. Практически все участники нашего исследования говорили, что успешность руководителя и эффективность самой системы информационной безопасности в немалой степени зависит от развитых умений общаться и договариваться, от способности находить компромисс при потенциально конфликтующих интересах ИБ и других служб и подразделений.

Наиболее востребованными, по мнению экспертов, оказывается вполне конкретный набор навыков и умений:

  • лидерство, эффективная коммуникация, умение находить подход к людям;
  • умение выстраивать кросс-функциональное взаимодействие;
  • уважение к формальным требованиям и правилам, одновременно с установкой на поиск взаимоприемлемых решений и готовностью договариваться;
  • умение учить, готовность делиться с сотрудниками актуальными угрозами и умением их избегать, создавать и поддерживать культуру ИБ в компании;
  • стремление развивать и подтверждать свой авторитет как технического специалиста наравне с ИТ- специалистами.

В наших интервью в самых разных контекстах появлялись упоминания тех или иных «soft-skills»: адаптивность, умение находить подход к людям, умение выстраивать как профессиональные, так и человеческие отношения, понимание важности умения находить общий язык с самыми разными стейкхолдерами. Все это вновь свидетельствует об усложнении запросов и требований к дальнейшему развитию профессии.

«Всегда было ясно, а сейчас – тем более, что надо развивать в себе несколько направлений. Не только профессиональное развитие. Не менее важно – это персональные качества, умение договариваться, а не ходить везде с прутиком и бить по рукам. Опять же лидерство, работа в команде. Руководитель ИБ должен уметь находить подходы к сотрудникам. И к любым людям, чтобы с любым директором по ИТ был и профессиональный диалог, и хорошие человеческие отношения».

Развитие аналитических компетенций

Один из наших собеседников, руководитель крупной автодилерской сети и сети автосервисов, назвал себя «цифровым директором» и сформулировал основной принцип цифровой пересборки бизнес-процессов:

«Управление надо строить на цифре: не измеряем – не управляем. Цифровизация повышает требования к качеству руководящей работы. А если нет данных и аналитики, то все остальное – имитация цифровизации. У меня больше сотни индикаторов по ключевым направлениям. И простроена вся цепочка – данные, аналитика, управленческие решения, контроль, распределение задач».

— СЕО, авторитейл

Если продолжать эту аналогию, тренд на управление на основе данных должен все глубже проникать в организацию работы служб ИБ.

Тем более, что и роль бизнес-партнера в сфере информационной безопасности, и необходимость говорить с бизнесом на понятном ему языке невозможны без усиления аналитической составляющей работы руководителя ИБ.

Эксперты ИБ назвали несколько наиболее важных аналитических компетенций:

  • достаточная подготовка в цифровой трансформации, чтобы понимать риски новых технологий для бизнеса;
  • навык действовать не реактивно, стратегически – прогнозировать риски и упреждать возникновение инцидентов;
  • умение анализировать данные работы систем и сбоев;
  • понимать, что нет и не будет стандартных инцидентов и кейсов; умение быстро понимать, где запрашивать ресурсы и что делать в каждой конкретной ситуации;
  • фокусироваться не на инструментах, а на безопасности в любом ее проявлении;
  • умение исследовать и анализировать культуру ИБ сотрудников.

«ИБ – это не про чистый IT, а про безопасность. Если у ретейлера сеть поставок и складов начинают использовать для распространения наркотиков, ИБ – конкретный пример – вычислила, хоть это и не ее функция. Все равно это же удар по бизнесу. Анализировать риски безопасности, это будет только усиливаться».

Изменение работы с вендорами

Главный вывод и урок кризиса состоит в том, что ИБ-системы и решения российских компаний оказались в разной степени готовности и зрелости. Отраслевая специфика, вероятно, имеет определенное значение. Например, мы видим, что сфера услуг, задавшись задачей развивать свой онлайн, очень быстро упирается в многоплановость вопросов безопасности и в наличие большого числа решений, оценить которые у них не хватает компетенций. Ритейл оказывается не одиноким перед лицом этой проблемы. Те же сложности можно встретить и в промышленном производстве, и в образовании, и еще много где информационная безопасность оказывается не «в наилучшей форме».

Исследование позволило сформулировать несколько принципов, на которых в дальнейшем должна строиться работа вендоров с компаниями.

  1. Вендорам нужно развивать инструменты для оценки информационной безопасности в компаниях. Им важно правильно и быстро идентифицировать уровень зрелости информационной безопасности в каждом конкретном случае (например, иметь практичный чек-лист), оценивать функциональные сложности, вытекающие из принятой системы ИБ-решений и внутренней коммуникации соответствующих служб, а также предлагать ИБ-решения, адекватные уровню зрелости компаний и их бизнес-потребностям. Возможно, вендорам стоит иметь алгоритмы и методики для оценки культуры кибербезопасности среди сотрудников компаний.
  2. Вендоры должны помогать компаниям формировать кризисные планы – отработать механизмы, обеспечить техническую поддержку, быть советниками и наставниками, проводить учения, а в случае форс-мажора иметь мобилизационный план своего участия.
  3. Должны появиться простые «коробочные решения» для компаний, чей уровень развития информационной безопасности можно считать низким или начальным. В задачи вендоров также должна войти помощь внутренним специалистам в том, как им объяснить руководителям компании функционал и необходимость таких решений на «языке бизнеса».
  4. Вендорам не стоит бояться бизнес-интеграции. Поскольку бизнес-процессы у компаний разные, логически возникает вопрос о специализации – разрабатывать решения для медицинских организаций, для страховых компаний, сферы услуг и т. д. Исследование показывает, что есть определенный запрос на нишевые предложения в области ИБ. Если вендор знает специфику бизнес- процессов компаний в определенном экономическом сегменте, знает их профессиональный язык, программное обеспечение, то такая специализация позволит продавать кастомизированные инструменты и решения и делать это на языке определенной индустрии.
  5. Из интервью с руководителями компаний можно сделать вывод, что цифровизация бизнес-процессов со- провождается появлением системы индикаторов и показателей по каждому из них. Идеальный вариант для вендоров – когда у СЕО есть отдельная панель индикаторов (dashboard) по ИБ, наполнение которого позволяет оценивать, какие процессы чаще всего подвергаются атакам, какие риски актуализируются, какие решения требуют доработки или обновления. Похоже, что вендорам стоит наладить сотрудничество с интеграторами и производителями систем бизнес-аналитики, работать через поставщиков услуг для первичной цифровизации процессов.

В завершение данного цикла публикаций хотим отметить, что нынешний кризис для компаний стал одновременно и лакмусовой бумагой проблем, и триггером изменений. Именно сейчас и проблемы, и задачи для развития обретают свою форму и имена, а также оформляются в некоторые утверждения-требования относительно будущего. Случай с информационной без- опасностью уникален: кризис показал необходимость изменений не только в организации служб ИБ и их функционале в компаниях. Сообщество безопасников стоит на пороге фундаментальных перемен в самой профессии. Все эти перемены назревали давно, просто кризис с его «пандемией удаленки» стал стимулом к анализу ситуации и формированию планов на будущее. А наше исследование – лишь повод начать такой разговор.

Информационная безопасность во время и после пандемии: будущие изменения
Авторы: Руслан Юсуфов, управляющий партнер MINDSMITH, Иван Климов, управляющий партнер Social Business Group, к.соц.н., доцент факультета социальных наук НИУ ВШЭ. Материал опубликован в Журнале "Директор по безопасности", выпуск 2 (февраль), 2021 г.

Авторы выражают признательность редакции журнала и лично главному редактору Николаю Дворецкому за возможность донести результаты исследования до широкого круга профессионалов в области безопасности.

О MINDSMITH

MINDSMITH фокусируется на комплексных исследованиях, интенсивных тренингах и стратегическом консалтинге в области высоких технологий. Компания была основана в 2018 году в формате технологического аналитического центра.

Мы говорим на языках бизнеса и технологий. И умеем переводить с одного на другой. Так мы решаем самые сложные головоломки. Собственный отдел аналитики и доступ к необходимой экспертизе по всему миру для индивидуальных решений в каждом конкретном случае.

Меню