Тектонические сдвиги форматов ведения бизнеса, спровоцированные «пандемией удаленки», драматическим образом повлияли на ускорение цифровой трансформации информационных потоков современного бизнеса и сформировали новые источники рисков, уязвимостей, атак и отказов систем. Подавляющее большинство компаний внезапно осознало, что стратегии обеспечения корпоративной киберустойчивости являются не вариантом развития бизнеса, а жизненной необходимостью. Недавнее исследование «Информационная безопасность во время и после пандемии», подготовленное компанией MINDSMITH и социологической службой Social Business Group по результатам интервью с десятками руководителей и директоров служб ИБ российских компаний, также продемонстрировало большой набор вызовов для индустрии информационной безопасности, связанных с переоценкой роли и проблем служб ИБ в условиях новой нормальности.
Юбилейный десятый Форум «Безопасность бизнеса» не мог обойти стороной назревшие изменения в индустрии информационной безопасности. В рамках панельной дискуссии «Стратегии кибербезопасности 2021», модератор Руслан Юсуфов, управляющий партнер MINDSMITH, обсудил с экспертами отрасли значимые вопросы трансформации профессии и проблемы ИБ, актуализированные пандемией. В обсуждении приняли участие:
- Борис Юдин, Руководитель направления Департамента безопасности ПАО МОСКОВСКИЙ КРЕДИТНЫЙ БАНК;
- Виталий Терентьев, Директор департамента специальных проектов HeadHunter;
- Георгий Гусляев, Начальник управления защиты информационных ресурсов Группы ЧТПЗ;
- Максим Мельников, Руководитель отдела информационной безопасности СберМаркет;
- Наталья Коптева, Руководитель Дирекции режима и региональной безопасности Почта Банка.
Пандемия COVID-19 вскрыла сразу несколько пластов проблем, актуализированных массовым переходом на удаленные формы работы. С началом пандемии резко выросло число точек доступа, находящихся вне защищенного контура компании. Многие решения пришлось принимать в экстренном порядке, не считаясь с чрезмерными затратами на реализацию. Более того, пересборка бизнес-процессов зачастую происходила в ущерб вопросам безопасности. Некоторые службы ИБ сумели успешно «достать из стола» антикризисные планы и оперативно адаптироваться к новым условиям, в других же компаниях ИБ стала «бутылочным горлышком» адаптации. Комментируя данную проблему, Виталий Терентьев, Директор департамента специальных проектов HeadHunter, пояснил, что те компании, где служба безопасности была глубоко и комплексно интегрирована в бизнес, умела разговаривать с бизнесом на его языке и находить комплексные совместные решения бизнес-задачам, показали взрослое отношение к происходящему. У таких компаний антикризисные планы были продуманы и согласованы заранее. Эксперт обратил внимание, что ИТ-сектор по понятным причинам пострадал меньше всех, в отличие от, например, производственных и государственных компаний. Одним из факторов успеха компаний с современным подходом к ИБ является постоянная отработка подобных сценариев. Эксперт также отметил, что сутью комплексной безопасности в компании является успешное встраивание соответствующих департаментов во все бизнес-процессы организации, от финансовых до производственных. А корень проблем состоит в том, что службы безопасности сами допускают информационных разрыв во взаимодействии и работу с проблемами постфактум.
С другой стороны, службы информационной безопасности зачастую рассматриваются исключительно как затратное мероприятие, занятое важными, но все-таки второстепенными задачами, а бюджеты на обучение оказываются темой, требующей со стороны руководителей ИБ дополнительной активности. Более того, в кризис на все подобные траты распространился режим жесткой экономии — как раз тогда, когда увеличились риски внешних и внутренних угроз, и когда знания об угрозах и способах их предотвращения оказались как никогда важны. Георгий Гусляев, Начальник управления защиты информационных ресурсов Группы ЧТПЗ, комментируя проблему низкой готовности служб ИБ к произошедшему кризису, уточнил, что одной из наиболее важных задач служб является повышение осведомленности коллег о возможных угрозах и ответах на них. Кроме того, эксперт отметил, что с точки зрения специалистов по информационной безопасности, ключевой задачей также является самообучение, поддержание информационного тонуса и понимания общей картины происходящего. А самообразование, при прочих равных, является главным способом эффективно доносить до коллег, как обезопасить себя и на что необходимо обращать внимание в каждой конкретной ситуации.
Безусловно, пандемия стала катализатором стремительного ускорения цифровизации многих бизнес-процессов, а развитие и внедрение информационных технологий значительно повлияло на ситуацию с финансовой безопасностью граждан. Наталья Коптева, Руководитель Дирекции режима и региональной безопасности Почта Банка, поддержала данное мнение и уточнила, что не только Почта Банк, но и кредитные организации по всей стране за последнее время стремительно активизировали внедрение различных мониторинговых, антифрод-систем и внедрение биометрии. Эксперт заметила, что в этом году наблюдался огромный всплеск атак путем социальной инженерии, и, к сожалению, под удар попали наиболее незащищенные слои населения. Стратегии мошенников адаптировались к пандемии безукоризненно быстро, и в этом смысле организациям следовало бы перенять их опыт в контексте повышения скорости реагирования.
Другим краеугольным камнем трансформационных процессов профессии специалиста информационной безопасности стал сакральный треугольник «ИТ-департамент — Служба безопасности — Служба ИБ», который всегда был местом кровавых баталий, приводящих к ущемлению одной из сторон. Конфликт интересов существенно обострился в период коронакризиса, и сценарии выхода из этой ситуации не были очевидны. Одни эксперты сообщали о необходимости выхода ИБ на совет директоров, другие — о повышении вовлеченности ИБ в бизнес-процессы, развитии «soft-skills» и выстраивании правил взаимодействий в конфликтном треугольнике. Максим Мельников, Руководитель отдела информационной безопасности СберМаркет, заметил, что решение данной проблемы сильно зависит от точки приложения усилий. Однако, по заявлению эксперта, главный фокус всегда находится на бизнес-процессах компании. Один из самых трудозатратных векторов обеспечения равновесия является подбор кадров не только с достаточным уровнем технических знаний, но и развитыми soft-skills и навыками взаимодействия. Комментируя модель взаимодействия, сложившуюся в компании СберМаркет, эксперт отметил, что служба информационной безопасности способна крайне эффективно помогать службе безопасности решать вопросы, связанные и ИТ, анализом и предоставлением информации, а также выступать соединительным мостиком как между службой безопасности и и ИТ-департаментом, так и между органами внутренних дел и компанией.
Действительно, набор бизнес-требований к представителям служб информационной безопасности стремительно расширяется. Многие эксперты ИБ сообщают, что на сегодняшний день главный вызов для служб ИБ — это необходимость стать частью всех значимых для безопасности бизнес-процессов компании. Вероятно, требование «понимать бизнес», означает, что руководителям служб ИБ следует внедрять и развивать модель бизнес-партнерства, наподобие HR бизнес-партнера. Соединение контуров традиционной корпоративной безопасности и ИБ также требует развития «soft-skills», а экономическое образование и МВА, видимо, могут оказаться полезными для выстраивания профессиональной деятельности. Так, Борис Юдин, Руководитель направления Департамента безопасности ПАО МОСКОВСКИЙ КРЕДИТНЫЙ БАНК, отметил, что подобная концепция в МКБ эффективно реализована уже более года назад и сумела доказать свою эффективность. Иллюстрируя формат реализации данной концепции, эксперт пояснил, что в компании изначально была создана матрица функционального кураторства по всем основным аспектам бизнеса как по направлению классической, так и информационной безопасности. А у коллег были успешно созданы рабочие группы, в рамках которых внедрения новых решений рассматриваются одновременно всеми профильными подразделениями.
Форум «Безопасность бизнеса», прошедший в 2020 году в юбилейный десятый раз, дал уникальную возможность обсудить с признанными экспертами сообщества давно назревшие вопросы оценки зрелости служб информационной безопасности и трансформации роли ИБ в постковидном мире, нашедшие отражение в упомянутом исследовании компании MINDSMITH «Информационная безопасность во время и после пандемии». Подобное исследование не могло состояться без широкой поддержки экспертного сообщества. Авторы исследования искренне благодарят собеседников и экспертов, а также Союз руководителей служб безопасности бизнеса и Форум «Безопасность бизнеса», компанию ЮБИКС, клуб СПЕКТР, и лично Максима Мельничука и Константина Сергеева. Предлагаем ознакомиться с исследованием, перейдя по ссылке: https://mindsmith.io/pandemic-security/
