Информационная безопасность во время и после пандемии: ключевые барьеры
Мы продолжаем цикл публикаций, посвященный анализу роли и проблем служб информационной безопасности во время пандемии, а также оценке зрелости функции информационной безопасности в российских компаниях.
Как и в прошлой статье данного цикла, на страницах журнала «Директор по безопасности» мы приводим выдержки из исследования, подготовленного нами в MINDSMITH совместно с социологической службой Social Business Group, в основе которого лежат 35 глубинных интервью с руководителями и директорами служб ИБ в российских компаниях, а уточнения результатов исследования были проведены при поддержке экспертной панели из 8 признанных экспертов отрасли.
Материалы наших интервью позволили систематизировать основные барьеры, с которыми сталкивались и сталкиваются службы ИБ.
Как и в прошлой статье данного цикла, на страницах журнала «Директор по безопасности» мы приводим выдержки из исследования, подготовленного нами в MINDSMITH совместно с социологической службой Social Business Group, в основе которого лежат 35 глубинных интервью с руководителями и директорами служб ИБ в российских компаниях, а уточнения результатов исследования были проведены при поддержке экспертной панели из 8 признанных экспертов отрасли.
Материалы наших интервью позволили систематизировать основные барьеры, с которыми сталкивались и сталкиваются службы ИБ.
Кризисная ситуация показала, что для многих компаний необходима ревизия организационных решений, касающихся выполнения функции информационной безопасности.
Судя по интервью с руководителями компаний, в которых формулировались претензии к службам информационной безопасности (далее — «ИБ»), задача выстроить эффективные взаимоотношения между ИБ и другими функционально связанными подразделениями оказывается непростой. Возникшие сложности приходилось преодолевать в авральном режиме.
Природа проявившихся барьеров разная, и большинство из них сформировались еще до нынешнего кризиса.
Судя по интервью с руководителями компаний, в которых формулировались претензии к службам информационной безопасности (далее — «ИБ»), задача выстроить эффективные взаимоотношения между ИБ и другими функционально связанными подразделениями оказывается непростой. Возникшие сложности приходилось преодолевать в авральном режиме.
Природа проявившихся барьеров разная, и большинство из них сформировались еще до нынешнего кризиса.
“
«У меня нет уверенности, что-то, что мы делаем, правильно. Нельзя масштабировать весь этот хаос ad hoc решений». — рассказал CEO крупной ритейл-компании.
Материалы наших интервью позволили систематизировать основные барьеры, с которыми сталкивались и сталкиваются службы ИБ
Материалы наших интервью позволили систематизировать основные барьеры, с которыми сталкивались и сталкиваются службы ИБ
Барьер No 1. Организация процессов
Первый тип барьеров связан с организацией процессов, в которые вовлечены службы ИБ. По шести сюжетам мы видим вполне сформированный консенсус у экспертов.
- Проблематика информационной безопасности плохо представлена на уровне совета директоров.
- Отсутствует сформулированная политика информационной безопасности, нет внутренних нормативных документов и правил взаимодействия между ИТ-департаментами (далее – «ИТ»), службами безопасности (далее – «СБ») и ИБ.
- Существует непонимание специфики ИБ со стороны бизнеса или руководства.
- В матрице рисков компании нет места для рисков ИБ.
- Существуют конфликтующие стратегии и принципы деятельности ИБ и ИТ. Отсутствует бюджет, имеются сложности в обосновании затрат на ИБ.
“
«Если предправления не всегда может вникать и уделять должное время ИБ, тогда ее переподчиняют либо руководителю СБ, либо директору ИТ. В некоторых банках переводят из СБ в Департамент информационных технологий, что приводит к конфликту. Когда они находились в СБ, то контролировали все закупки, которые проходили по линии ИТ, могли контролировать сисадминов ДИТа. А когда они перешли в подчинение к директору ИТ, ослабевает контроль за ИТ. В такой ситуации и коррупционные опасности могут возникнуть». — объяснил эксперт.
Слабая коммуникация с советом директоров и с руководством компании неизбежно сказывается на глубине понимания вопросов информационной безопасности с их стороны
Слабая коммуникация с советом директоров и с руководством компании неизбежно сказывается на глубине понимания вопросов информационной безопасности с их стороны
Одновременно страдает и вовлеченность главы ИБ в разработку бизнес-стратегии, тогда как эта возможность представляется нашим собеседникам очень важной. Если этого не происходит, возникают несколько системных проблем. У компаний в их матрице рисков не находится места для рисков ИБ — поэтому они не готовы тратить на это деньги. Если отсутствует сформулированная политика ИБ, несформированными оказываются также и правила взаимодействия с ИТ и отсутствуют регламенты участия ИБ в разработке, тестировании и выводе на рынок цифровых продуктов.
“
«Обязательно должны быть прописаны правила и процедуры. Чтобы с ИТ можно было аргументированно отстаивать свою точку зрения. И показывать ссылку на политику, которая действует по всей компании. Без прописанных политик и процедур никакой дружбы не будет, только на человеческих отношениях не удержатся. Нужны понятные правила игры, это базовое структурное требование». — отметил эксперт.
Эксперты сходятся во мнении, что между ИТ и ИБ принципиально существует некий «конфликт интересов». ИТ ориентируются на быстрый запуск продукта и при этом находятся под сильным давлением — бизнес требует готового инструмента как можно быстрее. А ИБ в этой ситуации становится «досадным тормозом», поскольку выступает за более безопасные решения и снижение рисков эксплуатации информационных систем. А это уже сложно доказывать бизнесу.
“
«Основная проблема в том, что у компании нет места для такого риска в матрице рисков. А скорее есть лишь общая идея, что такой риск имеет право на существование. Из-за этого компании не готовы тратить деньги, чтобы развивать информационную безопасность в правильном направлении. Поэтому они должны слышать голос ИБ». — рассказал эксперт.
Если не выстроены отношения между ИТ и ИБ и нет разработанных регламентов, конфликт интересов существенно обостряется при наступлении инцидента.
“
«Зачастую они друг на друга начинают валить. Снять это противоречие можно, важно избежать размытия зоны ответственности, чтобы каждый четко знал и выполнял свою функцию». — объяснил эксперт.
Разделение зон ответственности должно происходить в четко очерченных рамках и тщательно разобранным функционалом.
“
«Любой конфликт, это всегда издержки, это нагрузка на процесс, на ресурсы и в итоге — финансовые издержки» — отметил руководитель ИТ, в ведении которого находятся также функции информационной безопасности.
Такое понимание и такая оценка роли конфликта возможна изнутри «экономического прочтения» роли информационной безопасности
Такое понимание и такая оценка роли конфликта возможна изнутри «экономического прочтения» роли информационной безопасности
Это тот случай, когда конфликт не выгоден. В ближней перспективе это усиливает риски, а более отдаленной — подтачивает культуру кибербезопасности в компании, не способствует установлению сотрудничества между ИТ и ИБ, а также скорее негативно сказывается на статусе службы в глазах топ-менеджмента. Несколько наших собеседников говорили, что руководству компаний, как правило, понятнее ценность ИТ-подразделения и ближе именно их потребности.
При этом из виду упускается интеграция информационной безопасности как в разработку и в ИТ, так и в бизнес-процессы компании и сами ИТ-специалисты оказываются вне контура понимания проблематики информационной безопасности:
При этом из виду упускается интеграция информационной безопасности как в разработку и в ИТ, так и в бизнес-процессы компании и сами ИТ-специалисты оказываются вне контура понимания проблематики информационной безопасности:
“
«Есть системная проблема. Мы приходим к ИТ, начинаем общаться на тему рисков, но понимаем, что у них нет знаний о последствиях отказа или сбоя их систем». — рассказал эксперт.
Другой собеседник указывает на еще один аспект — что «слабину» могут давать даже, казалось бы, вполне подготовленные люди и специалисты:
“
«Мы сами у себя проводим такие обучения регулярно. Иногда на условные атаки (в рамках обучения) попадаются айтишники, которые должны понимать, как работают технологии. Но они все равно попадались на удочку. Подумав задним числом и поняв, что это была атака, они начинают разбирать инцидент». — объяснил эксперт.
По мнению эксперта, это верный индикатор, что отношения ИТ и ИБ не выстроены и не интегрированы в бизнес-процессы. В основе проблемы оказывается неспособность или неготовность руководителей служб ИБ вовлекать топ-менеджмент в вопросы информационной безопасности, развивать их понимание стратегических задач в этой области, систематически создавать основу для эффективной и успешной деятельности.
Барьер No 2. Интеграция в бизнес
Второй тип барьеров проистекает из недостатка бизнес-интеграции. Характер бизнеса сильно изменился и постоянно меняется под влиянием экономической конъюнктуры, международного сотрудничества, развития цифровых сервисов. Прежний функционал служб ИБ уже совершенно недостаточен и не отвечает требованиям времени. Опираясь на совокупное мнение экспертов, можно составить «чек-лист» барьеров этого типа.
- Невовлеченность ИБ в бизнес-процессы, неумение/нежелание разбираться в бизнес-процессах компании.
- «Самоизоляция» служб ИБ, когда сотрудники и руководитель искусственно ограничивают свой функционал только сюжетами compliance — в ущерб динамике бизнес-задач.
- Неумение видеть тематику ИБ в бизнес-процессах, понимать потребности бизнеса, экономику рисков, контексты бизнес-процессов.
- Неумение видеть экономику в вопросах информационной безопасности и, как следствие, неумение описывать и оценивать свою эффективность в бизнес-показателях, обосновывать требующиеся ресурсы (бюджеты и специалистов), оценивать необходимость аутсорсинга и лизинга оборудования.
- Прежний подход к угрозам (реагирование и расследование инцидентов) не отвечает требованиям эффективности, сейчас требуется предвидеть угрозы и упреждать инциденты.
- ИБ не умеет донести до руководителей важность задачи развивать культуру кибербезопасности сотрудников, принимать траты на их обучение.
Главный вызов для служб ИБ — категорическая необходимость стать частью всех значимых для безопасности бизнес-процессов
Главный вызов для служб ИБ — категорическая необходимость стать частью всех значимых для безопасности бизнес-процессов
Конечно, самоизолироваться («отрыть окоп и обеспечить периметр», как сформулировал наш собеседник) можно разными способами, но это заведомо ослабляет позиции ИБ в компании и одновременно создает напряжение для взаимодействия с руководителями. Один из способов самоизоляции — ограничить себя только лишь работой с требованиями регулятора.
“
«Комплаенс — это беда для ИБ. Особенно для России, где излишнее число регулирующих требований. А многие сотрудники ИБ считают, что должны выполнять все требования законодательства. Поэтому они и жили в своем мире нормативных требований и борьбы часто с мифическими угрозами, которые не имели никакого влияния на бизнес-показатели. Так было в огромном числе случаев до кризиса. А тут безопасникам сказали: „ребята, у меня задача сохранить бизнес вне зависимости от выполнения требований регулятора; займитесь тем, что важно для спасения“. Это заставляет пересмотреть приоритеты деятельности. Пандемия показала, что можно жить, не выполняя и иногда даже нарушая комплаенс». — отметил эксперт.
Невовлеченность в бизнес-процессы и неумение говорить на языке бизнеса становится, как бы парадоксально это ни звучало, причиной непрофессионализма и низкой эффективности служб ИБ
Невовлеченность в бизнес-процессы и неумение говорить на языке бизнеса становится, как бы парадоксально это ни звучало, причиной непрофессионализма и низкой эффективности служб ИБ
“
«Руководство не понимает, зачем нужна ИБ, зачем такие бюджеты и специалисты. Тогда тот, кто отвечает за безопасность, вынужден выбирать между тремя ИБ-системами, тогда как нужны все три». — рассказал эксперт.
Сотрудники ИБ должны разбираться в сути процессов, которые защищают, и понимать, какое событие в этих процессах является рабочим, штатным, а какое — инцидентом или атакой. Они должны понимать стратегию развития бизнеса и предлагать необходимые решения и продукты для обеспечения безопасности.
“
«Цифровая трансформация глубоко входит в бизнес-процессы, и любой бизнесмен, и CDO или CDTO обязан понимать в цифровой трансформации уровень рисков, которые она несет, как эти риски нивелировать и принимать. А это уже часть понимания безопасности. А безопасность не умеет оценивать и объяснять свою эффективность с точки зрения бизнеса и учитывать стратегию развития бизнеса в своей деятельности. Сколько потерь предотвращено, сколько денег сохранено, на сколько наши сервисы позволили сократить время сделки, насколько сократился цикл вывода продукта на рынок и т. д. Для этого ИБ должны идти в бизнес и разбираться в бизнес-процессах, тогда роль безопасности сильно поднимется». — объяснил эксперт.
Еще одна опасность слабой интеграции в бизнес — недостаточное влияние на развитие культуры кибербезопасности в компании и ограниченные возможности делать это грамотно, системно и удобно для сотрудников (и что не менее важно — для руководителей).
Мы можем добавить от себя, что именно от руководителей служб зависит понимание топ-менеджментом важности этой задачи:
Мы можем добавить от себя, что именно от руководителей служб зависит понимание топ-менеджментом важности этой задачи:
“
«Отношение сотрудников к задачам ИБ — вопрос не к исполнителям, а к руководству. Если бизнес поймет, что через обучение сотрудников он сможет спать спокойно, то заставит специалистов на местах выполнять правила, учиться, расширять свои знания. А если бизнесу это не нужно, а нужно только ИБ — работать ничего не будет». — отметил эксперт.
Требование «понимать бизнес», сформулированное практически всеми участниками исследования, означает, что руководитель службы ИБ должен внедрять и развивать модель бизнес-партнерства, наподобие HR бизнес-партнера
Требование «понимать бизнес», сформулированное практически всеми участниками исследования, означает, что руководитель службы ИБ должен внедрять и развивать модель бизнес-партнерства, наподобие HR бизнес-партнера
Нынешнее время настоятельно диктует необходимость осмыслить круг функциональных обязанностей этой (относительно) новой задачи для руководителя ИБ. В дополнение к этому, возникают и совершенно иные требования к профессиональным качествам и компетенциям сотрудников служб безопасности.
Барьер No 3. Профессиональные компетенции
Третий тип барьеров — недостаток профессиональных компетенций, что вызвано изменившимися запросами к роли и функционалу служб ИБ в компаниях. Наиболее существенными барьерами с точки зрения опрошенных экспертов оказались следующие:
- Условия, при которых сформировались профессиональные навыки прежней генерации специалистов ИБ, мешают им адаптироваться к сегодняшней постоянно меняющейся среде.
- Сложность в развитии и поддержке на актуальном уровне «hard skills».
- Катастрофическая нехватка «soft- skills», отвечающих за гибкость, поддержку инициатив, умение договариваться о партнерстве и кросс-функциональном сотрудничестве, умение находить компромиссы.
- Отсутствие у СБ желания и/или возможности профессионально развиваться — бесплатная информация не ценится, а на платную необходимо добывать бюджеты.
- Отсутствие умения и зачастую готовности обучать, проводить занятия и тренинги для сотрудников, развивать и проводить исследования культуры кибербезопасности, выстраивать партнерство с HR для решения этих задач.
- «Естественная» установка сотрудников ИБ сохранять статус-кво, тогда как более плодотворной является стратегия на критическую оценку устоявшегося, постоянное тестирование имеющихся решений с точки зрения актуальных угроз и рисков.
Общее мнение экспертов — сфера информационной безопасности стоит на пороге смены генерации безопасников
Общее мнение экспертов — сфера информационной безопасности стоит на пороге смены генерации безопасников
“
«СБ/ИБ трудно менять свое мышление. Чаще всего это модели „обороны от врагов“ и „лояльность регулятору“. Необходимость смены генераций назрела давно, но идет сложно» — рассказал руководитель крупной российской ИТ-компании.
Речь идет не о возрасте, а об образе мышления и о наборе «hard» и «soft» компетенций, без которых сотруднику безопасности трудно соответствовать требованиям развивающегося или выживающего в кризис бизнеса.
“
«Надо признать, что в массе своей они консерваторы. Исключения есть, но в основном — это безопасники предыдущего поколения. Они получали образование в то время, когда не только про цифровую трансформацию было непонятно, об информатизации мало кто говорил. Они в основном занимались борьбой с техническими разведками, защитой государственных тайн. Они, обладая колоссальным опытом в этой сфере, не могут адаптироваться под новые реалии, под цифровую трансформацию, под гибкий бизнес, под международное сотрудничество, да и просто под открытие периметра с другими компаниями. А бывшие сотрудники регуляторов — тем более. Должно смениться поколение сотрудников безопасности прежде, чем они смогут поменять свою роль в организации, и понимать, что не они диктуют, а бизнес диктует подход — что они должны учитывать стратегию развития бизнеса в своей деятельности». — объяснил эксперт.
Одним из важных «поколенческих» индикаторов является установка на обучение, повышение квалификации и актуализацию своих профессиональных знаний
Одним из важных «поколенческих» индикаторов является установка на обучение, повышение квалификации и актуализацию своих профессиональных знаний
Один из наших собеседников предостерегал нас от наивного доверия рассказам о трудностях и барьерах, о которых ему постоянно приходится слышать. Очень часто за разговорами о недостатке ресурсов, о непонимании со стороны бизнеса лежит собственная не- готовность развиваться:
“
«Есть категория, „ИБ-нытики“. Они всегда говорят про ресурсные ограничения. Им надо просто учиться. Развиваться, выходить за рамки, переформатировать себя. Либо ты просто в коробочке сидишь». — отметил эксперт.
Отчасти задачи поддержки профессиональных компетенций и получения новых знаний решаются неформальной поддержкой коллег — через профессиональные «клубы» и профильные сообщества, сети знакомств и личные образовательные инициативы кого-то из экспертов. Однако это не отменяет необходимости в специализированной образовательной среде, которая бы решала эти задачи на регулярной и систематической основе и имела бы достаточно сильную репутацию как среди специалистов, так и среди руководителей компаний.
В завершение второй статьи данного цикла публикаций хотим заметить, что кризис безусловно обострил запрос на «новое поколение» специалистов и в области ИБ, и в сфере корпоративной безопасности в целом — не в смысле возраста, а в плане «образа мышления». Очевидно, что традиционное прочтение ролей и функций ИБ и набор существующих компетенций не отвечает требованиям сегодняшнего времени. На каждый приведенный выше барьер индустрии ИБ придется в той или иной найти ответ, и, а на каждое назревшее изменение — подобрать подходящий способ решения.
Именно поэтому, в следующем выпуске цикла мы расскажем об изменении в функционале и статусе ИБ в российских компаниях, перспективах развития бизнес-компетенций в индустрии ИБ, о репрофессионализации деятельности специалистов по кибербезопасности и о многом другом. До новых встреч на страницах журнала «Директор по безопасности»!
В завершение второй статьи данного цикла публикаций хотим заметить, что кризис безусловно обострил запрос на «новое поколение» специалистов и в области ИБ, и в сфере корпоративной безопасности в целом — не в смысле возраста, а в плане «образа мышления». Очевидно, что традиционное прочтение ролей и функций ИБ и набор существующих компетенций не отвечает требованиям сегодняшнего времени. На каждый приведенный выше барьер индустрии ИБ придется в той или иной найти ответ, и, а на каждое назревшее изменение — подобрать подходящий способ решения.
Именно поэтому, в следующем выпуске цикла мы расскажем об изменении в функционале и статусе ИБ в российских компаниях, перспективах развития бизнес-компетенций в индустрии ИБ, о репрофессионализации деятельности специалистов по кибербезопасности и о многом другом. До новых встреч на страницах журнала «Директор по безопасности»!
Авторы: Руслан Юсуфов, управляющий партнер MINDSMITH, Иван Климов, управляющий партнер Social Business Group, к.соц.н., доцент факультета социальных наук НИУ ВШЭ. Материал опубликован в Журнале «Директор по безопасности», выпуск 1 (январь), 2021 г.
Авторы выражают признательность редакции журнала и лично главному редактору Николаю Дворецкому за возможность донести результаты исследования до широкого круга профессионалов в области безопасности.
Авторы выражают признательность редакции журнала и лично главному редактору Николаю Дворецкому за возможность донести результаты исследования до широкого круга профессионалов в области безопасности.
О MINDSMITH
MINDSMITH фокусируется на комплексных исследованиях, интенсивных тренингах и стратегическом консалтинге в области высоких технологий. Компания была основана в 2018 году в формате технологического аналитического центра.
Мы говорим на языках бизнеса и технологий. И умеем переводить с одного на другой. Так мы решаем самые сложные головоломки. Собственный отдел аналитики и доступ к необходимой экспертизе по всему миру для индивидуальных решений в каждом конкретном случае.
MINDSMITH фокусируется на комплексных исследованиях, интенсивных тренингах и стратегическом консалтинге в области высоких технологий. Компания была основана в 2018 году в формате технологического аналитического центра.
Мы говорим на языках бизнеса и технологий. И умеем переводить с одного на другой. Так мы решаем самые сложные головоломки. Собственный отдел аналитики и доступ к необходимой экспертизе по всему миру для индивидуальных решений в каждом конкретном случае.
Обсудим?
Оставьте свои данные, и мы свяжемся с вами
Заполнение формы означает ваше согласие с нашей Политикой обработки персональных данных.