Автоматизация или риски: вечный конфликт ИБ и ИТ-специалистов
Информационные технологии и информационная безопасность — важнейшие компоненты успешной работы абсолютно любой организации. И даже несмотря на то, что подразделения ИТ и ИБ объединяет общая цель — предоставление услуг или продуктов, которые помогут решить бизнес-задачи организации, не добавив при этом рисков — между ними наблюдается некое противоборство, столкновение интересов.
Одной из задач ИТ является автоматизация бизнес-процессов/производства, в том числе под этим понимается ускорение и упрощение многих процедур и процессов в организации. При этом подразделение ИБ несёт ответственность за то, чтобы внедрение передовых информационных технологий не привело к существенным угрозам для бизнеса и утечкам конфиденциальной информации. Поэтому рано или поздно возникает вопрос: как разделить и одновременно согласовать действия данных служб?
Нередко проблема взаимодействия ИТ и ИБ-специалистов кроется в неправильно выстроенной организационной структуре. Конфликт обостряет не только вопрос подчинения и «решающего слова», но и бюджетирование. Существует 3 способа организации подчинения, каждый из которых имеет свои преимущества и недостатки.
Специалисты информационной безопасности — часть службы информационных технологий
Лучшее, что можно и нужно вынести из этой структуры — это тесная интеграция и мгновенная реализация в рамках ИТ-проектов вопросов безопасности. При таком раскладе требования безопасности могут учитываться напрямую в концепции развития ИТ и в планировании отдельных проектов.
Однако при таком подходе специалисты информационной безопасности, как правило, работают в «консультационном» режиме, поэтому вопросы безопасности снова отходят на второй план. Еще один недостаток — отсутствие «комплексного» подхода к обеспечению безопасности: нередко у безопасников из службы ИТ возникают трудности с выстраиванием организационных мер защиты информационных ресурсов и непосредственной работой с пользователями.
Подразделение информационной безопасности подчиняется общей службе безопасности
Часто руководители служб комплексной безопасности недостаточно осведомлены в технических вопросах ИБ. Лучшее, что можно и нужно вынести из этой структуры — это интеграция между информационной, экономической, физической безопасностью, а также лёгкая реализация обучения и контроля за пользователями.
При таком подходе также возникает ряд проблем, например, усложнение работы с ИТ-службой и бюджетирование по остаточному принципу.
Оба подразделения подчиняются первому лицу или куратору
ИБ подчиняется первому лицу, либо же назначается общий куратор для ИТ и ИБ от руководства компании, который будет обладать достаточными полномочиями и следить за соблюдением баланса интересов. При таком подходе ИБ становится важной составляющей, нацеленной на развитие бизнеса. Если ИБ — это обособленная структура, то можно построить полноценную систему управления подразделением, взаимодействуя с другими службами. Данный вариант подходит для крупных организаций.
Часто проблема отсутствия сотрудничества кроется в том, что в компании нет документально зафиксированных (на уровне политики) требований безопасности к ИТ-инфраструктуре. Более того, в разработке этих требований обе службы должны участвовать с равной степенью вовлеченности и ответственности. Споры в такой ситуации способствуют поиску решений поставленных задач и вопросов по проектам. Так будут учтены все практические тонкости и выполнены зафиксированные требования. Качественные изменения в ИТ-инфраструктуре также должны согласовываться со службой ИБ.
Руководству компании необходимо утвердить разработанную специалистами политику ИБ и ИТ, разграничивающую функционал и ответственность подразделений. Помимо этого, важно оценить всевозможные риски, а также своевременно проводить аудит систем управления.
В качестве еще одного решения конфликта можно рассмотреть перевод части сервисов на аутсорсинг или внешнее облако, то есть обеспечить наличие третьей стороны. Организациям следует идти по пути новейших технологий, подходов и концепций развития, которые стирают грань между предоставлением сервиса и его защитой, предлагая надежные системы и средства, способные эффективно решать задачи ИТ. И не стоит забывать, что сейчас есть NGFW, DevSecOps и другие технологии, которые помогают интегрировать информационную безопасность на начальных этапах разработки и внедрения бизнес-сервисов и приложений.
Для каждой стороны будет полезно повышать свои знания в вопросах оппонента. Таким образом ИТ-специалисты поймут, что ИБ — это, в первую очередь, «инструмент» для обеспечения непрерывности бизнеса. А безопасники исключат распространенное убеждение «нет информационных систем — нет угроз ИБ» и смогут адекватно понимать возможные векторы атак, чтобы предложить эффективный подход по обеспечению информационной безопасности. Не блокировать проекты и процессы, а предлагать альтернативные варианты их реализации. На такой подход бизнес реагирует более чем положительно.
Материал подготовлен совместно с ГК InfoWatch