Проблема взаимоотношений отделов и служб ИТ и ИБ может вылиться в серьезную конфронтацию этих подразделений, что при любом исходе только ослабляет компанию. Вопрос не надуман и не материализовался сам собой из воздуха. Корни этого, на самом деле очень давнего, явления лежат в психологической плоскости и основаны на инстинкте самосохранения.
Итак, до определенного момента не было никаких отделов ИБ. Выделенные специалисты в вопросах информационной безопасности постепенно появлялись в отделах ИТ из-за стремительного увеличения количества и повышения сложности задач, вроде бы относящихся к ИТ, но имеющих специфику ИБ. Кстати, во многих организациях началось все как раз с антивирусов и брандмауэров. Сначала кто-то из инженеров ИТ получил антивирусное хозяйство в свое ведение, затем жизнь стала усложняться, появлялись разные новшества вроде ЭЦП, системы электронной отчетности с криптографией, системы контроля и наблюдения, DLP и т. д. Очередной волной пришли персональные данные. На разных этапах появления этих новшеств в каждом конкретном случае «терпение заканчивалось», и сотрудник выделялся в отдельное подразделение со своим бюджетом, штатом специалистов и влиянием. И сначала начальники служб ИТ были этому рады. Еще бы — целый пласт головной боли снимался. Любой будет рад, когда часть ответственности перекладывают на другого. Айтишники часто поддерживали эту идею и даже становились инициаторами ее реализации. Ведь руководство наконец получало кого-то, кто персонально несет ответственность за инциденты в области информационной безопасности.
Кто кому подчиняется?
Но вот в чем заключалась основная проблема: руководство компании ощущало важность дел, связанных с безопасностью, чаще всего настолько сильно, что в корпоративной иерархии безопасникам позволялось «подмять» айтишников. Очень часто в связке ИБ и ИТ начальник и подчиненный менялись местами. И вот тут начинались чудеса. Например, вдруг переставали быть доступными или значительно уменьшались мелкие радости начальника всея ИТ — закупки ПО и оборудования у своих поставщиков. Теперь эти вопросы необходимо было согласовывать с безопасниками. Часто требования специалистов из отдела ИБ тихо саботируются: имитируется бурная деятельность, не приводящая к достижению результатов. Дополнительная сложность может наблюдаться в случаях, когда уровень компетенции команды ИБ заведомо не дотягивает до уровня ИТ-шников. Шишки сыпятся на безопасников, вынужденных работать на инфраструктуре, за которую отвечают их коллеги. Кстати, саботаж не обязателен. Порой достаточно простого бездействия. В процессе такой скрытой войны часто обнаруживаются тонкие проблемные места в сфере, относящейся к компетенции противника, но информация эта складывается в ящик (в папку с компроматом) до лучших времен. Вместо того чтобы сообща решать проблемы, противоборствующие стороны занимаются подковерной борьбой и интригами. В отделах ИТ принято считать деятельность специалистов или подразделений ИБ вторичной. Логику эту понять легко: мы внедряем нечто новое, а они пытаются это новое защитить. По сути, отделы должны выполнять эту работу совместно, начиная еще на этапе планирования. На практике ИТ передает ИБ объект защиты. Безопасников не устраивает такая практика. Их логика несколько иная: безопасность данных и систем их обработки — превыше всего, а подсобная работа должна быть выполнена коллегами из ИТ. Пусть прокладывают кабели и прикручивают полочки, на которых мы разместим оборудование.
Война — значит война
В нашей отрасли, кстати, приходилось сталкиваться с ситуациями, когда безопасники рекомендуют антивирусное ПО, убедившись в его надежности, но служба ИТ дает заключение: софт не совместим в полной мере с использующимся в сети сторонним программным обеспечением, что не обеспечит надежность функционирования сетевой инфраструктуры. Естественно, если безопасники в этом случае продолжат настаивать на выбранном решении, они вынуждены будут не только взять на себя профильную ответственность, но и сдерживать удары от возможных реальных и ложных сбоев в сети. А уж имитировать такие сбои — дело несложное. На войне все средства хороши.
Естественно, не везде и не всюду айтишники насмерть стоят в боях с врагами из отдела ИБ. Конечно, мы приводим в пример только случаи крайнего помешательства, но они дают понять, что явление имеет место быть и степень его опасности нельзя недооценивать. Все, кто считает его надуманным, могут отнести себя к счастливым людям, живущим спокойной мирной жизнью. И пусть таких людей становится все больше и больше.
Если проблема пускается на самотек, а волевого решения не последует, со временем остаются только радикальные меры решения вопроса — увольнение одного из вождей воюющих армий.
Государство поддерживает ИБ-отделы
И вот в этот интересный момент одну из сторон решило поддержать государство. Закон, призванный регулировать вопросы, связанные с защитой персональных данных, в отличие от остального цивилизованного мира, вместо юридического пути избрал путь технический. И наступила эта ИБ. Закон, так или иначе, затрагивает большинство юридических лиц, а значит, практически все ИБ-отделы страны будут вовлечены в этот процесс. Вопрос однозначно из серии ИБ, очень недешевый и довольно резонансный. Основная масса специалистов получила задачу минимизировать затраты на выполнение требований закона. И вот здесь жизнь покажет, кто ест хлеб заслуженно, а кого кормить не стоит. Кстати, именно закон № 152-ФЗ даст этот самый хлеб многим защитникам информации. Работы будет много: возможен возврат на пару шагов назад, частичное изменение законодательства, появление новых нормативных актов и документов. Это неизбежно ввиду сырости и поверхностности принятого закона. И, разумеется, на каждый из этих шагов надо будет реагировать. На аутсорсинге при такой заботе со стороны государства можно будет и разориться. А это значит, что на рынке труда вырастет спрос на специалистов ИБ, что заставит многих айтишников сменить сферу деятельности, а компании, не имевшие раньше отделов ИБ или выделенных офицеров ИБ, обзаведутся ими. Нас ожидает очередная перегруппировка войск на компьютерно-кадровом фронте.
Причины кадрово-военных операций
Но из-за чего вообще весь этот сыр-бор?! За что воюем? Так вот, все дело… в бюджетах. Как и любая другая война в нашем мире, внутреннее противостояние ИТ и ИБ является битвой за ресурсы или, в нашем случае, за бюджет. Если раньше выделялся общий бюджет на все «компьютерные дела», а распорядителем назначался руководитель департамента/службы/отдела ИТ, то с появлением независимой ИБ-структуры в лице одного-двух или даже большего числа специалистов начинается передел пирога. Безопасники легко могут доказать руководству, что их вес должен быть значительно более заметен в общей структуре расходов на информационные технологии в компании. Особенно сегодня, когда после вступления в силу закона «О персональных данных» даже за покупку «правильного» ПО отвечает уже не ИТ-, а ИБ-служба. Сотрудники ИТ-служб сопротивляются нововведениям по мере сил, но все это напоминает борьбу рабочих со станками во времена технической революции — абсолютно бесполезная деятельность.
Перцу добавляют службы безопасности компаний, если отделы ИБ являются их частью. Некоторые наши клиенты при приобретении антивирусной лицензии обращаются к поставщику дважды: одно обращение от службы ИТ, и отдельно от службы ИБ. Какое-то время нам приходится общаться с двумя контактными лицами, независимо друг от друга обсуждающими основные моменты. В процессе общения каждый из них пытается выторговать более привлекательные условия, чтобы в лучшем свете преподнести их руководству, демонстрируя радение за интересы компании.
Как избежать военных действий в офисе? В итоге грамотный руководитель всегда сумеет по-родительски примирить враждующие стороны и объединить их для решения общих задач. Коллеги научатся работать в команде. Но еще лучше, если руководитель компании, понимая возможные последствия, выстроит систему взаимоотношений таким образом, чтобы вовсе не допустить возникновения конфликта.
Больше «информационная» или больше «безопасность»?
Сергей Кирюшин,
заместитель генерального директора ФГУП «Почта России»Для решения вопросов информационной безопасности безусловно требуются высокопрофессиональные ИТ-навыки. Также требуется знание бизнес-процессов компании, технологии выполнения, например, операций по платежам и пр. Однако при выявлении случаев мошенничества или нарушений информационной безопасности компании необходимо подключение специалистов по «физической» безопасности для организации борьбы с данными мошенниками, и это больше прерогатива службы безопасности компании. Поэтому возможны два варианта:
- подразделение информационной безопасности создается в рамках ИТ-службы;
- подразделение информационной безопасности создается в рамках службы безопасности.
Следует отметить, что в обоих случаях необходимы четкая регламентация взаимодействия служб и построение хороших рабочих отношений.
Вместе с тем я считаю, что формирование подразделения информационной безопасности в рамках ИТ-службы более эффективно, так как основной объем работы подразделения связан с решением технологических вопросов и проблем. Однако есть ряд успешных примеров применения второй модели. При этом, как правило, уровень ИТ-компетенции людей, работающих в подразделении ИБ, довольно высок.
Вопрос структуры подчиненности
Сергей Чучаев,
главный специалист по ИБ Службы корпоративной защиты ООО «Газпром развитие»Действительно, с каждым днем накал взаимоотношений между службами ИТ и ИБ только возрастает. Виной этому повышение роли ИБ в нашей жизни. Очередная информационная революция принесла новые возможности и новые угрозы. И с каждым днем их число возрастает. Это и угрозы персональным данным, и угрозы для систем ДБО и SCADA. Вот уже на вполне серьезном государственном уровне заговорили о концепциях кибервойн.
Вместе с тем в статье скрыт интересный вопрос: о разделении полномочий и сфер. Выделение отдельной структуры ИБ из ИТ, а уж тем более переподчинение их разным руководителям высшего звена в любом случае привнесут проблемы в управление компании. Ведь в этом случае фактически два подразделения, подчиненные двум различным руководителям, будут вынуждены заниматься одним и тем же. В современных ИТ-технологиях очень трудно отделить «ИТ-настройки» от «ИБ-настроек». Когда необходимо выделить специалистов по управлению ИБ из структуры ИТ, это должно носить «технический аспект», то есть фактически укрупнять структуру ИТ с четким разделением полномочий и подчинением единому руководителю, в том числе высшего звена. И бюджет этой структуры должен формироваться и представляться генеральному директору как единое целое, а управляться он должен все тем же руководителем «укрупненной структуры», на основе его опыта и компетенций.
В случае же отнесения подразделения ИБ к службе безопасности необходима кардинальная смена функций такого подразделения. Это должны быть контрольно-ревизионные и методические функции. А никак не функции по установке, настройке и управлению средствами защиты.
Таким образом, на мой взгляд, самая большая проблема здесь скрыта не в психологическом или ресурсном аспекте противостояния, а в управленческих ошибках, допущенных при таком формировании структур ИТ и ИБ. И грамотность руководителя должна быть направлена не на искоренение последствий в виде «примирения враждующих сторон», а на снятие причин этого противостояния.
Избежать «военного конфликта»
Алексей Затопляев,
директор по информационным технологиям управляющей компании «Бауцентр Рус»Могу себя считать счастливым исключением, до реальной войны в моей практике пока никогда не доходило.
В общем-то, вопрос взаимодействия ИТ- и ИБ-направлений даже не в дележе бюджета, как пишет автор, хотя при определенных обстоятельствах этот фактор тоже нельзя сбрасывать со счетов, а скорее вообще в принципиальном выделении средств на эту работу, в сумме этих средств. Корень вопроса лежит в возможности и способности руководителя (собственника, первого лица) оценить потенциальную степень угрозы для своего бизнеса и найти тот разумный компромисс, который позволит максимально снять угрозу для обрабатываемой компанией информации при минимальных вложениях в средства предотвращения такой угрозы. 100%-ных инструментов защиты не бывает. Про это мы читаем практически каждый день в Интернете, когда в результате сбоев, ошибок или не до конца продуманных мероприятий страдает репутация компаний с мировым именем. Если на ваше авто кто-то положил глаз, то никакая охранная система не поможет. Это давно уже доказал гражданин Деточкин.
Уверен, что дополнительный повод для возможной войны двух служб друг с другом возникает из-за перекоса в подходах к созданию такой системы. Любой дисбаланс выпячивает лишь одну сторону проблемы. И тут надо признать, что гораздо лучше и убедительнее это получается у «безопасников». Во-первых, они зачастую «ближе к телу», во-вторых, их доводы гораздо эмоциональнее, а значит, понятнее, поскольку не страдают техническими подробностями. И в-третьих, практически всегда предполагается, что реализовывать «фантазии» не придется самостоятельно, поэтому никакие внутренние ограничения не останавливают эти фантазии в полете. Работа будет поручена ИТ-специалистам, с которых «потом и спросим». А если что-то с чем-то где-то там вступает в конфликт — это уже не наша проблема.
Еще раз подчеркну, что без глубокого понимания вопроса руководителем, стоящим над потенциально враждующими сторонами, конфликт не разрешить. Хотя на самом деле решение само по себе очень простое — проект должен реализовываться совместно, а ответственность за результат должна быть обоюдной.