Информационная безопасность во время и после пандемии
Исследование роли и проблем служб информационной безопасности во время пандемии. По данным 35 интервью с руководителями и директорами по безопасности российских компаний: 10 ключевых направлений развития профессии, 6 векторов грядущей трансформации и задач для профессионального сообщества, 4 модели оценки зрелости службы информационной безопасности, универсальный чек-лист для внутрикорпоративной оценки зрелости системы информационной безопасности
Ключевые выводы
1. Важность популяризации культуры ИБ среди сотрудников организации
Для того, чтобы эффективно обеспечить работу функции информационной безопасности в компании, принципы безопасной работы должны быть включены в корпоративную культуру организации. Новому поколению представителей информационной безопасности необходимо стать евангелистами данных принципов, обучая и донося простым языком необходимые знания и регламенты до всех сотрудников организации.2. Необходимость интеграции ИБ в бизнес-процессы компании
Одним из ключевых факторов, мешающих эффективной работе служб ИБ, стало отсутствие понимания среди представителей профессии бизнес-повестки и стратегии компании. Зачастую, работа ИБ воспринимается как ограничитель роста бизнеса, не влияющий на результаты работы. Для того, чтобы повысить значимость информационной безопасности в компании, функции ИБ должны работать по принципу бизнес-партнерства с руководством организации, участвуя в ключевых мероприятиях по определению повестки и стратегии развития в целом.3. Развитие навыков коммуникации и переговоров у представителей ИБ
Для обеспечения бизнес-интеграции функции ИБ, представители безопасности должны научиться общаться с руководством и менеджерами организации на одном языке. Важно научиться вести переговоры, обосновывать требования и необходимые задачи, опираясь на бизнес в целом, для того, чтобы сохранить целостность картинки и непосредственную связь между задачами ИБ и другими бизнес-процессами компании.4. Изменение подхода от универсальных решений к ситуативным
Компании сегодня существуют в мире постоянных изменений. Изменения стремительно происходят извне: меняется рыночная ситуация, потребитель и контрагенты. Но еще более стремительная трансформация происходит внутри организаций и служб информационной безопасности: меняется поколение сотрудников, на работу выходят представители поколения Z, к которым необходимы новые, более гибкие подходы. Сегодня невозможно создавать универсальные решения, которые будут работать на длительном промежутке времени. Представителям профессии необходимо развивать критическое мышление, адаптивность и гибкость к предлагаемым решениям.5. Развитие профессиональных и специальных навыков и компетенций
Угрозы информационной безопасности также постоянно меняются. Старое поколение представителей ИБ зачастую оказывается не готовым получать новые знания об актуальных угрозах и методах предотвращения атак. Это вызвано закостенелостью сотрудников, а также страхом показаться некомпетентными в своей профессиональной области. Представителям информационной безопасности необходимо изменить подход к обучению и инициировать получение новых знаний и навыков, связанных непосредственно с их областью деятельности.Благодарности
Мы выражаем глубочайшую благодарность нашим собеседникам и экспертам за оказанное доверие и уделенное время, а также друзьям и коллегам за поддержку, наставления, идеи и критику. Сожалеем о невозможности поблагодарить экспертов адресно ввиду анонимности условий проведения исследования.
Это исследование не состоялось бы без поддержки наших партнеров. Мы выражаем нашу признательность за оказанное доверие:
ЮБИКС, одной из ведущих компаний по предоставлению услуг на аутсорсинге в сфере экономической, кадровой и пожарной безопасности, реализовавшей более 1500 проектов, связанных с безопасностью российских и иностранных компаний.
Клубу СПЕКТР, закрытому сообществу более 2000 руководителей служб безопасности ведущих банков и корпораций России, и лично Максиму Мельничуку.
Союзу руководителей служб безопасности бизнеса.
Форуму «Безопасность бизнеса», проходящему в 2020 году в юбилейный десятый раз, и лично Константину Сергееву.
Как проводилось исследование?
Характер исследования
Исследование носит поисковый характер, направленный на выявление проблематики в сфере информационной безопасности и описание механизмов возникновения этих сложностей. Основной инструментарий – личное полуструктурированное интервью с поисковыми задачами в сценарии, проведенное в период с 20 апреля по 20 мая.
Первая серия интервью
Целевая группа – руководители и топ-менеджмент крупных и средних российских компаний. Фокус интервью был на сложностях и барьерах при переходе на удаленную работу, рисках информационной безопасности и взаимодействии со службой безопасности. Отбор компаний производился по принципу доступных случаев с соблюдением отраслевого разнообразия. Для анализа отбирались случаи с описанием конкретных трудностей в сфере ИБ.
Вторая серия интервью
Целевая группа – эксперты в области информационной безопасности и руководители служб ИБ. Критерии отбора экспертов включали: вовлеченность в актуальную практику компании, возможность сравнивать ситуацию с ИБ в нескольких компаниях, наличие уникальной экспертизы для анализа темы под специфическим углом.
Экспертная панель
Для обсуждения и уточнения предварительных итогов и выводов была проведена экспертная панель с участием 8 человек — руководителей служб ИБ и экспертов в области кибербезопасности.
Состав участников
В исследовании приняли участие: 25 руководителей крупных и средних российских компаний из различных индустрий (финансы, телеком, IT, ритейл, фармацевтика, транспорт, промышленность и др.), 5 руководителей служб ИБ, 4 руководителя ИТ-подразделений, 6 экспертов в области ИБ включая специалиста по страхованию кибер-рисков.
При поддержке
