В основе политики информационной безопасности должны лежать интересы бизнеса. Поэтому специалистам по ИТ-безопасности, чтобы добиться понимания со стороны менеджмента, нужно изучать бизнес предприятия — т. е. клиента и экономику, а также накапливать опыт вместе с бизнесом.
Введение
Непонимание между безопасниками и менеджментом компаний — явление известное. И те и другие, как правило, считают, что знают, какие меры защиты интересов компании в области информации необходимы и достаточны. К сожалению, плодотворного диалога между первыми и вторыми пока не получается…
Стартовая позиция
Прежде всего следует понять, где начинается и как проходит путь специалиста по информационной безопасности.
Выпускник учебного заведения в области ИБ имеет теоретическое представление о законотворчестве, математике защитных механизмов, а также о некоторых базовых технологиях, таких как межсетевые экраны, антивирусы, операционные системы, защита от несанкционированного доступа, криптосредства и т. п. Чаще всего опыт внедрения и практика работы у таковых специалистов отсутствует.
Ведущие образовательные учреждения в отрасли ИБ усиливают программу курсами от производителей решений, а также преподавателями из реального сектора экономики. Глубокое понимание инфраструктурных технологий и сертификация, подтверждающая квалификацию, почти всегда появляются благодаря индивидуальной инициативе студента, уже устроившегося на работу. И здесь заслуга работодателя, но не учебного заведения.
Зная эти особенности, работодатели готовы на протяжении нескольких лет вкладывать в новобранцев такие дисциплины, как системное представление об архитектурах информационных систем, о вертикально и горизонтально интегрированных решениях производителей, о подходах к проектированию и построению ИТ-систем, о перипетиях обеспечения работоспособности ИТ, об экономике ИТ-инфраструктуры и так далее. Ограничены эти вложения в той мере, в какой развит ИТ-ландшафт организации. Пять-восемь лет постоянной работы — и специалист может стать экспертом.
Это абсолютно нормальный процесс. В ряде западных стран в рамках образовательного бюджета даже принята официальная государственная политика поддержки стажировки на предприятиях, целью которой является воспитание квалифицированных инженеров.
И только одному не учат «растущих специалистов» — как наладить нормальный диалог, партнерство с бизнесом, если интересы бизнеса остаются невидимыми для специалистов по ИБ. Ведь в основе политики информационной безопасности должны лежать именно интересы
Разберем несколько ситуаций.
Ситуация 1: разработка программного обеспечения
Один ИТ-безопасник пожаловался мне, что в его организации программисту платят в три раза больше, чем ему — сисадмину. Я поинтересовался, в какой они работают отрасли; оказалось, что разрабатывают ПО на заказ. Понятно, что заказное программное обеспечение нужно разрабатывать с высоким качеством, компетенцией и в срок — за это фирма получает деньги. А вот насколько безопасна ИТ-инфраструктура компании, бизнесу, как выясняется, не столь и важно — достаточно начальной квалификации «выпускника»!
Ситуация 2: крупное производственное предприятие
ИТ-безопасники одной крупной производственной организации, работающей на конкурентном рынке, рассказали, что они три года занимались инвентаризацией и консолидацией информационных ресурсов только для того, чтобы понять, что именно следует защищать. Изначально задача стояла так: «ценная информация везде, и защищать нужно всё — рабочие места, серверы, периметры, принтеры и т. п.» Когда безопасники пришли к выводу, что самое ценное — это проекты, которые ведутся в топ-менеджменте, и финансовая аналитика, оказалось, что это давно уже было известно менеджменту предприятия!
Ситуация 3: менеджмент в области персональных данных
Тематика персональных данных — одна из самых популярных среди ИБ-специалистов, поскольку является драйвером отрасли, а также неким маячком, позволяющим ИТ-подразделениям и безопасникам обратить на себя внимание. Однако это ничуть не помогает решать обозначенную выше проблему, на что указывает наше исследование.
В ходе работ в данной сфере мы получили статистику того, как в действительности обстоят дела в организациях по этому вопросу. Цифры говорят о следующем:
- 3–5% руководителей компаний занимаются вопросом лично (из собственного интереса);
- 40% предприятий постоянно находятся в фазе «на пути к организации обработки персональных данных»;
- 50% компаний думали об этом, но не проводили мероприятий по организации обработки персональных данных;
- 10% в той или иной степени организовали эту работу;
- 30% сделали её один раз — в далеком 2010 году;
- 60% не знают, что работа эта должна проводиться постоянно, а контроль должен быть регулярным;
- в 80% случаев лицом, ответственным за организацию обработки персональных данных, назначается, причем зачастую неформально, рядовой исполнитель из юристов, кадровиков или ИТ-специалистов.
Время идет, и нетрудно представить, что реестр операторов персональных данных Роскомнадзора, охватывающий всего 5% реально существующих таких операторов, стремительно стареет, поскольку записи от 2010 и даже 2012 года уже нельзя считать актуальными.
Ситуация 4: необходимость квалифицированного обслуживания ИТ-системы
Руководители одной организации — заказчика комплексной системы информационной безопасности попросили оценить стоимость ее обслуживания. Из подготовленной сметы специалисты компании вычеркнули многие виды работ, необходимых для поддержания ИТ-системы в рабочем состоянии. Единственным верным шагом в этой ситуации с их стороны было бы взять данные работы на себя, но они этого не сделали, поскольку не обладают нужной компетенцией. Руководство компании требовало обеспечить эффективную эксплуатацию системы, в которую вложены немалые средства, и поступило в данном случае правильно: смета была подписана со всеми работами, предложенными подрядчиком.
Оставьте первый комментарий к "Сергей Городилов: в основе информационной безопасности должны лежать интересы бизнеса. Ещё раз об отношениях безопасников и менеджмента"