Pages - Menu

Страницы

8.6.20

Что больше нужно предприятию - служба ИБ или функция ИБ?

В мире ИБ существует много мифов и заблуждений, часть которых появилось очень давно и тогда они еще были правдой, но со временем ситуация поменялась кардинальным образом, но миф или заблуждение продолжают жить и только укрепляются в умах специалистов, которым не преподавали в ВУЗах критическое мышление и поэтому они часто плывут по течению, скользят по накатанной плоскости вместо того, чтобы остановиться и подумать, туда ли они движутся. Одно из таких заблуждений связано с тем, кто должен обеспечивать информационную безопасность на предприятии.

Пару недель назад я участвовал в закрытой дискуссии по результатам одного опроса, посвященного вопросам ИБ в России после пандемии коронавируса. В нем, среди прочего, возникла тема смены роли ИБ после самоизоляции, и я смог наконец-то сформулировать, пропустив через себя, то, о чем Дима Мананников говорит уже давно на своих выступлениях. Речь идет о том, что ИБ в нормальной жизни давно уже вышла за пределы выделенного подразделения ИБ и рассматривать ее необходимо как самостоятельную функцию в рамках всего предприятия.

Попробую пояснить на простом визуальном примере. Если мы посмотрим на большинство стандартов, best practices, приказов регуляторов и т.п., то мы увидим, что все они исходят из простой парадигмы - кибербезопасностью должна заниматься отдельная служба кибербезопасности (или ИБ, или ЗИ). Это стало "аксиомой" и чем серьезнее защищаемая система, тем больше она, по мнению авторов лучших практик, нуждается в отдельном подразделении. И, как следствие, многие продолжают эту мысль и считают, что вся ИБ должна быть сосредоточена в службе ИБ. Поэтому и тема персональных данных у нас часто попадает в руки безопасников; хотя в Европе, согласно тому же GDPR, этой темой занимаются совсем другие люди, далекие от ИБ и вообще ИТ. Многие ИБшники свою деятельность видят вот так:  


Есть отдельные подразделения, которые занимаются бизнесом, и есть служба ИБ, которая, как шериф на диком Западе, защищает бизнес от плохих парней, покушающихся на него. Как только возникает такая картинка, сразу всплывают вопросы, на которых традиционный безопасник не может дать ответа. Кто должен заниматься борьбой с мошенничеством (часто антифрод находится в руках отдельных людей)? Кто должен мониторить даркнет (часто это вешают на PR-службу)? Кто должен заниматься мониторингом использования ваших доменов (часто это вешают на digital marketing)? Кто должен заниматься повышением осведомленности персонала (часто это вешают на HR)? Кто должен заниматься обеспечением бесперебойной работы сайта (часто это вешают на ИТ)? Кто должен заниматься повышением продуктивности пользователей, тратящих время на чтение спама (часто это вешают на operations)? Кто должен заниматься управлением уязвимостями (часто это вешают на ИТ)? И т.д. По сути, у безопасников в руках остаются только вещи, которые прописаны в нормативных документах, то есть они занимаются так публично нелюбимой ими же (но так желаемой по ночам) бумажной безопасностью. А все потому, что они мыслят в терминах подразделений, отделов, служб, у которых есть свои полномочия, свой бюджет, свои ресурсы...

Но ИБ давно вышла за рамки того, что придумают ФСТЭК, ФСБ или Роскомнадзор, жестко ограниченные рамках положений о них, и определяющих сферы их компетенций. ИБ на современном предприятии - это то, что пронизывает абсолютно все сферы деятельности компании. ИБ превратилась (хотя, наверное, она всегда была такой) из набора задач, выполняемых службой ИБ, в функцию, которая должна быть обеспечена... и не так важно кем обеспечена. Если координацию реализации этой функции не может взять на себя служба ИБ, ее передадут другим подразделениям, а точнее раздербанят между ними, что негативно скажется на общем состоянии ИБ предприятия, которая будет следовать поговорке "у семи нянек дитя без глаза".


В итоге служба ИБ будет прозябать, руководство будут рассматривать службу ИБ как центр затрат и вериги на ногах у бизнеса, безопасники будут все больше требовать от регуляторов усиления контроля, параллельно кляня их за излишний надзор и регуляторику... Вот так и живем :-(

7 комментариев:

  1. А если заменить информационную безопасность на пожарную безопасность, логика рассуждений останется той же?

    ОтветитьУдалить
  2. Точнее логика да, а вот результат нет

    ОтветитьУдалить
  3. Да уж, со временем интуитивные представления превращается в конкретное понимание. А вот как его довести до ЛПР, отдельный вопрос :)

    ОтветитьУдалить
  4. Этот комментарий был удален администратором блога.

    ОтветитьУдалить
  5. Этот комментарий был удален автором.

    ОтветитьУдалить
  6. Этот комментарий был удален администратором блога.

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.