Гармония противоположностей

Логотип компании
Гармония противоположностей
Cоздание отдельного департамента, занимающегося вопросами информационной безопасности, оправданно всегда, если речь идет о крупных корпорациях
Информационные технологии и информационная безопасность, как инь и ян, де-факто являются взаимодополняющими сторонами работы с информацией. Однако если важность развития ИТ большинству компаний уже объяснять не надо, то необходимость серьезного подхода к обеспечению безопасности работы с информацией пока что осознают далеко не все. 

Тот факт, что многие компании до сих пор не придают серьезного значения задачам в области информационной безопасности, достаточно наглядно иллюстрирует распределение ресурсов между ИТ и ИБ. «В среднем, если брать общий срез клиентов по всему миру, расходы на ИБ в ИТ-бюджетах компаний составляют примерно 5% и постепенно увеличиваются. В России эта цифра пока все еще значительно ниже — около 1,5%, но также растет, хотя и меньшими темпами», — подчеркивает менеджер по развитию бизнеса «Лаборатории Касперского» Кирилл Керценбаум. По оценке Алексея Лукацкого, бизнес-консультанта по безопасности компании Cisco, средний уровень затрат на информационную безопасность составляет от 8 до 11% ИТ-бюджета.

По словам Светланы Максименко, генерального директора компании «М-СТАНДАРТ холдинг», такое распределение объясняется прежде всего тем, что ИТ обеспечивает и развивает бизнес, тогда как информационная безопасность — вынужденная мера предосторожности. Генеральный директор компании «Аванпост» Андрей Конусов отмечает, что бюджеты на ИТ существуют практически в любых, даже самых небольших организациях, тогда как бюджет на информационную безопасность может и полностью отсутствовать. «Безусловно, все компании приобретают некоторые программные продукты, связанные с ИБ, — например, антивирусы, но эти затраты обычно проходят в рамках бюджета ИТ-подразделения. Есть и исключения: обычно это представители отраслей, в которых требования к ИБ очень высоки, а бюджеты, выделяемые на их исполнение, значительны — в частности, банки и госсектор, в котором главным стимулом развития ИБ являются требования регуляторов», — поясняет Андрей Конусов.

Гармония противоположностей. Рис. 1
Андрей Конусов, генеральный директор компании «Аванпост»:
«Для развития компании необходимо постоянно находить баланс между удобством и безопасностью, а это возможно, только когда в компании есть два отдельных подразделения со своими руководителями, напрямую подчиняющимся кому-то из первых лиц компании».
********************************************
По оценке Алексея Лукацкого (Cisco), в инновационных отраслях с активным применением ИТ затраты на ИБ выше, чем в отраслях реального сектора экономики (в промышленности или нефтегазе), где процент автоматизации ниже, а число сотрудников, занятых в процессах информатизации, может на порядок отличаться от общей численности компании. При этом очевидно, что выделенная служба ИБ, подчиняющаяся непосредственно руководству компании, финансовому директору, директору по рискам или директору по общей безопасности, получает больше ресурсов, чем подразделение ИБ, являющееся неотъемлемой частью ИТ. «Информационная безопасность многогранна и призвана решать не только ИТ-задачи. Поэтому в зрелых компаниях это направление черпает средства для своей деятельности не только из ИТ-бюджета, но и из бюжета HR, юристов, внутреннего контроля и так далее. В таких случаях доля ИТ-затрат на ИБ меньше, чем если вся ИБ дотируется от ИТ-бюджета, но в абсолютных цифрах бюджет на ИБ может быть на порядки выше», — уточняет Алексей Лукацкий.

Гармония противоположностей. Рис. 2
Алексей Лукацкий, бизнес-консультант по безопасности компании Cisco:
«ИБ и ИТ являются функциями бизнеса, направленными на достижение общих бизнес-задач разными методами. При этом задачи ИТ и ИБ настолько тесно переплетаются, что сложно отделить одно направление от другого».
*********************************************

Однако в целом, исходя из опыта компании HID Global, информационная безопасность остается одним из самых быстрорастущих и устойчивых сегментов российского ИТ-рынка. «Бюджеты на защиту от информационных угроз продолжают увеличиваться. Безусловно, цифры пока еще не столь велики, как в Европе, но с каждым годом уровень инвестиций повышается, что говорит о положительной динамике», — сообщила Катажина Хоффманн-Селицка, менеджер по продажам компании HID Global в Восточной Европе. 

Разделение труда

Теоретически положение информационной безопасности как блока задач в оргструктуре предприятия должно определяться многими факторами, среди которых не последнее место занимает специфика деятельности. Так, по словам Светланы Максименко («М-СТАНДАРТ холдинг»), если предприятие работает с информацией, требующей повышенных мер безопасности (например, со сведениями, составляющими государственную тайну), то выделение информационной безопасности в отдельное структурное направление может быть предписано требованием регуляторов. 

Гармония противоположностей. Рис. 3
Светлана Максименко, генеральный директор компании «М-СТАНДАРТ холдинг»:
«Если ИТ и ИБ решают единую задачу развития бизнеса, то никаких противоречий между ними быть не может в принципе, а если они есть, то это повод задуматься об эффективности структуры и менеджмента в компании».
********************************************

Однако в реальности подход к распределению зон ответственности между ИТ и ИБ, как правило, зависит лишь от размаха бизнеса конкретно взятой компании. По мнению Катажины Хоффманн-Селицкой (HID Global), создание отдельного департамента, занимающегося вопросами информационной безопасности, оправданно всегда, если речь идет о крупных корпорациях, где обязательно должно быть разделение ИТ-задач и мероприятий по безопасности. В крупных организациях, в особенности в госсекторе, а также финансовых и нефтегазовых компаниях ИБ-подразделение должно разрабатывать комплексную политику безопасности, обеспечивать соответствие регулирующим стандартам, отслеживать и предотвращать внешние и внутренние информационные угрозы. За эти задачи не могут и не должны отвечать ИТ-специалисты, поскольку рост числа атак на корпоративные системы и повышение их сложности требует комплексных и многоуровневых мер защиты. А значит, необходимо привлекать экспертов, которые будут заниматься работой исключительно в данном направлении. В компаниях же малого и среднего бизнеса выделение информационной безопасности в самостоятельное направление, по мнению Катажины Хоффманн-Селицкой, не столь приоритетно.

Гармония противоположностей. Рис. 4
Катажина Хоффманн-Селицка, менеджер по продажам компании HID Global в Восточной Европе:
«Если процедуры безопасности слишком сложны, пользователи либо перестают им следовать, либо не могут понять, как правильно работать в той или иной системе».
**********************************************

С этой точкой зрения согласен Кирилл Керценбаум («Лаборатория Касперского») По его словам, в идеале подразделения, ответственные за ИТ и информационную безопасность, должны существовать внутри компании хоть и в параллельных, но все же разных вселенных. Несмотря на то, что они занимаются схожими задачами, а в некоторых случаях даже могут «сталкиваться лбами» (например, при разрешении дилеммы о том, кто должен управлять антивирусной защитой — айтишники или безопасники), их деятельность имеет очень четкие границы. «Конечно, оба направления должны в равной мере подчиняться задачам бизнеса и преследовать общие цели повышения эффективности, конкурентоспособности и прибыльности компании. Однако данное утверждение нельзя назвать тождественным для компании любого размера и любой сферы деятельности. Большинство представителей малого и среднего бизнеса не имеют даже полноценного ИТ-подразделения, а располагают лишь одним или несколькими ИТ-сотрудниками», — отмечает Кирилл. 

Гармония противоположностей. Рис. 5
Кирилл Керценбаум, менеджер по развитию бизнеса «Лаборатории Касперского»:
«Бизнес должен четко формулировать задачи перед службами ИТ и ИБ и принимать в расчет аргументы, которые исходят от обеих сторон».
*********************************************

Размер имеет значение

Так и происходит на практике. ИТ-директор ЗАО «Ридан» Андрей Федоров констатирует, что в небольших компаниях очень непросто выделить сотрудников исключительно для решения задач в области ИБ. Это связано с тем, что фонд оплаты труда таких специалистов с лихвой перекрывает масштабы потенциального ущерба. Поэтому у представителей малого и среднего бизнеса ответственность за информационную безопасность зачастую возлагается на ИТ-департамент. «Если потенциальный ущерб от нарушения информационной безопасности незначителен, то ни к чему и огород городить. Тем более что усиление мер ИБ зачастую отрицательно сказывается на производительности работы сотрудников и приводит к дополнительным расходам для компании», — уверен Андрей Федоров. 

Гармония противоположностей. Рис. 6
Андрей Федоров, ИТ-директор ЗАО «Ридан»: 
«В небольших компаниях очень непросто выделить отдельных сотрудников для решения исключительно задач в области ИБ. Это связано с тем, что фонд оплаты труда таких специалистов с лихвой перекрывает масштабы потенциального ущерба».
*********************************************

Крупные же предприятия могут себе позволить более взвешенный подход к ИБ. Так, ОАО «Газпром нефть», по словам руководителя направления по управлению проектами Юрия Шойдина, располагает выделенными блоками, ответственными за ИТ и безопасность, при этом у каждого из них есть свои головные подразделения в вышестоящих организациях. А внутри блока, ответственного за безопасность, существует группа сотрудников, занятых исключительно проблемами в области ИБ. «Большое количество наших задач в области ИБ диктуется вышестоящей организацией и требованием внутренних стандартов. При этом блок безопасности и его структурная единица, ответственная за ИБ, по сути являются заказчиками ИТ-сервисов, за предоставление которых отвечает блок ИТ», — уточняет Юрий Шойдин. 

По мнению Алексея Лукацкого (Cisco), вопросы эксплуатации средств защиты вполне могут возлагаться на ИТ-службу, которая даже работает на аутсорсинге. А вот создание политик безопасности и их контроля — всегда внутреннее дело компании, и эту задачу целесообразно возлагать на специалиста или подразделение, не входящее в состав ИТ-департамента. «Такое деление правильно: не может контролируемый и контролирующий быть в подчинении друг у друга. Но статистика неумолима: в половине случаев служба ИБ является составной частью ИТ-подразделения», — констатирует Алексей Лукацкий.

Андрей Конусов («Аванпост») уверен, разделение направлений ИТ и ИБ внутри любой компании целесообразно всегда, поскольку у них диаметрально противоположные цели и нельзя эффективно решать поставленные задачи в рамках одного подразделения. «Для развития компании необходимо постоянно находить баланс между удобством и безопасностью, а это возможно, только когда в компании есть два отдельных подразделения со своими руководителями, напрямую подчиняющимся кому-то из первых лиц компании. Подчинение же руководителя направления информационной безопасности ИТ-директору может нарушить данный баланс и привести к серьезному снижению уровня защищенности информации внутри компании. Более того, любой организации весьма желательно иметь независимого контролера за деятельностью самих ИТ-специалистов: ведь именно они, имея полный доступ ко всем информационным системам, способны совершать особенно трудно выявляемые преступления, направленные против своей компании», — убежден Андрей Конусов. 

Газ и тормоз

Одно из ключевых противоречий между айтишниками и безопасниками кроется во влиянии их задач на автоматизацию и информатизацию бизнеса: информационные технологии, бесспорно, выступают двигателями этого процесса, тогда как информационная безопасность, напротив, его сдерживает. По словам Андрея Федорова (ЗАО «Ридан»), главная задача ИТ — обеспечить максимальную эффективность работы сотрудников с информацией, тогда как ИБ в угоду защите эту работу всячески ограничивает. И потому внедрение любых процедур в рамках реализации политики информационной безопасности, как правило, сказывается на производительности компании в худшую сторону.  

«Основная функция ИТ — автоматизировать производство и бизнес-процессы, в том числе ускоряя и упрощая многие процедуры в организации, тогда как подразделение ИБ в силу специфики деятельности часто становится тормозом и автоматизации, и компьютеризации. Это происходит не потому, что отдел информационной безопасности выполняет чуждые бизнесу функции, а потому, что его задача предотвратить потерю информации и тем самым избежать краха бизнеса», — поясняет Кирилл Керценбаум («Лаборатория Касперского»).

Как считает Катажина Хоффманн-Селицка (HID Global), если процедуры безопасности слишком сложны, пользователи либо перестают им следовать, либо не могут понять, как правильно работать в той или иной системе. Кроме того, часто появление дополнительных уровней контроля и мониторинга замедляет работу корпоративной сети. «В целом безопасность — это всегда компромисс между защитой, эффективностью и удобством», — подчеркивает Катажина Хоффманн-Селицка.

Сила противоречия

Несмотря на то что разница в функциях ИТ и ИБ может восприниматься как неразрешимый конфликт, эксперты рекомендуют не относиться к этому как к проблеме, а напротив, рассматривать данное явление как залог гармоничного развития компании. «Восприятие задач ИТ и ИБ может быть действительно диаметрально противоположным. Одни хотят дать больше свободы, вторым, наоборот, нужно «закрутить гайки», да пожестче. В зрелой же компании вопрос вообще не стоит подобным образом, потому что ИБ и ИТ являются функциями бизнеса, направленными на достижение общих бизнес-задач разными методами. При этом задачи ИТ и ИБ настолько тесно переплетены, что сложно одно направление отделить от другого», — рассуждает Алексей Лукацкий (Cisco). По его мнению, если ориентировать такие задачи именно на бизнес, то никакого противоречия между ними быть не должно, а вот если во главу угла ставить, к примеру, требования регуляторов и нормативных актов, противоречие может быть очень сильным. 

Гармония противоположностей. Рис. 7
Юрий Шойдин, руководитель направления по управлению проектами «Газпром нефть»:
«Информационная безопасность — это стык между двумя изначально противоположными процессами — развития и защиты. Без грамотного компромисса будет или конфликт, или существенные трудности в работе персонала».
**********************************************

«При более глубоком анализе становится очевидно, что задачи ИТ и ИБ не противоречат друг другу. Целью деятельности любого подразделения безопасности является защита и сохранение, а основной метод их обеспечения — это всегда ограничения. Деятельность же ИТ, обратная по своей природе, заключается в том, чтобы делать все доступнее, соответственно, и метод обеспечения — открытость и мобильность, что в корне противоречит целям и методам безопасности. В этой ситуации ИБ как раз и находится на стыке между ними и призвана решать в том числе компромиссные задачи. Жаль, что это не все понимают», — сетует Юрий Шойдин («Газпром нефть»).

Светлана Максименко («М-СТАНДАРТ холдинг») также убеждена, если ИТ и ИБ решают общие задачи развития бизнеса, то никаких противоречий между ними быть не может в принципе, а если они есть, то это повод задуматься об эффективности структуры и менеджмента в компании. Андрей Конусов («Аванпост») уточняет, что специалисты с обеих сторон должны находиться в постоянном диалоге и отыскивать приемлемые решения вопросов, поставленных бизнесом — как с точки зрения удобства, так и с точки зрения безопасности, то есть, если следовать мудрой философии Сократа, истина должна рождаться в споре.

Новые вызовы

Взаимопонимание между ИТ и ИБ особенно важно в свете трендов развития высоких технологий, которые в ближайшем будущем поставят перед бизнесом новые задачи в области информационной безопасности. По мнению Катажины Хоффманн-Селицкой (HID Global), в первую очередь это количественный и качественный рост различных облачных сервисов. По мере развития данного тренда все больше будет возрастать необходимость обеспечения безопасности при доступе к данным, хранящимся в облаке, поскольку с облачными вычислениями связаны как традиционные, так и новые угрозы. Вот почему одной из первоочередных проблем для организаций, пользующихся подобными сервисами, станет защита данных в облаке и выбор соответствующих решений. 

Другой не менее важный тренд — стремительное развитие корпоративной мобильности. «Угрозы для мобильных платформ растут в геометрической прогрессии, особенно это касается открытой и популярной платформы Android, и это коррелирует с экспоненциальным ростом продаж смартфонов и планшетов во всем мире. И если обычные пользователи еще не привыкли к тому, что на смартфоне или планшете антивирус также необходим, как на их ноутбуке или ПК, то корпоративный сектор уже видит в бесконтрольной мобилизации угрозу для безопасности периметра корпоративной сети», — подчеркивает Кирилл Керценбаум («Лаборатория Касперского»). «По нашим прогнозам это явление будет определять вектор развития технологий информационной безопасности в 2014 году. Использование личных мобильных устройств сотрудниками потребует от компании серьезного продумывания, оценки системы защиты данных пользователей и модернизации ИТ-инфраструктуры», — прогнозирует Катажина Хоффманн-Селицка.

Также Кирилл Керценбаум обращает внимание на развитие инструментов для работы с Big Data. По его мнению, сегодня успешными могут быть лишь компании, которые имеют возможность собирать и анализировать большие объемы информации. При этом доступ к такой информации или нарушение ее целостности может стать целью для конкурентов, а потому обеспечение безопасности «больших данных» становится крайне важной и непростой задачей для многих компаний, особенно в финансовом секторе и секторе розничных продаж.

Помимо перечисленного Катажина Хоффманн-Селицка (HID Global) особо выделяет специфический, характерный для российского рынка драйвер развития информационной безопасности: новые требования регулирующих органов. К ним, в частности, относится закон «О национальной платежной системе», а также постоянно развивающийся и видоизменяющийся закон «О персональных данных». Любые инициативы регуляторов прежде всего отражаются на государственных организациях, в которых требования к безопасности четко регламентированы.

«Каждая из этих тем требует создания целого комплекса новых защитных мер. Чтобы все это охватить, о каждом из вышеперечисленных трендов можно написать целую книгу или стандарт. Чем, собственно, и занимается сообщество ИБ», — отмечает Андрей Конусов («Аванпост»). По его мнению, все это приводит к тому, что для многих организаций вопросы информационной безопасности становятся уже не просто одной из множества рутинных задач, а темой, определяющей дальнейшее существование и развитие компании. Информационные технологии развиваются так стремительно, что обеспечить соответствующий уровень защиты информации очень непросто. Именно поэтому необходимо регулярно заниматься изучением новых передовых методов защиты, отслеживать информацию об актуальных угрозах и способах борьбы с ними, а также взять за правило с четко заданной периодичностью проводить оценку уровня информационной безопасности в компании и реализовывать планы по его повышению.


Опубликовано 05.03.2014

Похожие статьи