В марте состоялся 1-й российский съезд директоров по информационной безопасности. Событие, безусловно, знаковое, свидетельствующее о том, что достигнута “критическая масса” в организации национального сегмента ИБ. Ярких новостей саммит не принес, но обсуждение злободневных проблем участниками было довольно горячим.
Если судить по реакции зала, наиболее важными для российских руководителей службы ИТ-безопасности (CSO) являются проблемы, связанные с их статусом внутри компании, а также с построением эффективной корпоративной стратегии ИТ-безопасности. Правда, решают их компании по-разному, прежде всего исходя из степени своей зрелости.
В этом смысле в саммите принимали участие совершенно разные компании. Наиболее внушительно выглядели представители банков. Можно сказать, что “безопасники” из финансовой области находятся сегодня в привилегированном положении по отношению к своим коллегам из других отраслей, поскольку и бизнес у них более зрелый, да и регулятор в лице Центробанка РФ заставляет банкиров держать направление ИБ в центре внимания.
Не менее серьезно выстраивают информзащиту своих предприятий специалисты по ИБ из сферы телекома — руководствуясь процессным подходом к управлению ИБ и реализуя лучшие мировые практики и стандарты. Во всяком случае, именно так они рекомендуют подходить к разработке и реализации корпоративной стратегии ИБ своим коллегам.
Вместе с тем немалому числу руководителей направления ИТ-безопасности приходится наряду с профессиональными проблемами решать еще и задачи “внутриполитические”. Эту особенность нынешнего положения российского CSO член программного комитета съезда, заместитель коммерческого директора НИП “Информзащита” Михаил Емельянников охарактеризовал следующим образом: “Как ни стараются российские компании регламентировать свои бизнес-процессы, в работе руководителей служб ИБ по-прежнему многое зависит от личных отношений [как по вертикали, так и по горизонтали]”. Такое положение дел свидетельствует о недостаточной зрелости большинства наших компаний.
Серьезным негативным следствием упрощенного подхода к вопросам безопасности, считает начальник отдела дирекции информационной безопасности “ТрансТелеКома” Дмитрий Соболев, может оказаться то, что реальная стратегия ИБ предприятия переориентируется с декларированных и записанных в корпоративных документах целей на совсем другие, ориентированные в первую очередь вовсе не на безопасность бизнеса, а на карьерный рост и увеличение зарплаты руководителя направления ИБ.
Кадровый голод стимулирует консолидацию участников российского рынка ИБ. Так, на съезде наряду с представителями финансовой сферы, телекомоператоров, промышленности и пищевого производства, транспорта, торговли, ИТ-интеграторов, вендоров продуктов ИБ присутствовали преподаватели вузов, имеющих кафедры, занимающиеся подготовкой инженеров по специальностям, связанным с защитой информации. Они хотят быть в курсе актуальных потребностей рынка, хотят готовить практиков, которые будут востребованы и которых работодателям не нужно будет переучивать, а лишь доучивать в соответствии с реальными потребностями бизнеса. У вузовских сотрудников живой интерес к опыту выполнения реальных проектов. Возможно, он будет учтен организаторами прошедшего мероприятия и найдет отражение в формате следующих съездов, необходимость которых не оспаривал никто из участников.
Программному комитету предстоит непростая работа по выбору самых важных тем, которые можно успеть обсудить за ограниченное время форума, и найти экспертов, способных их раскрыть. Актуальных направлений в ИБ сегодня очень много, и сосредоточиться на самых острых из них совсем не просто вследствие большой разницы в уровне зрелости российских предприятий и организаций, а также из-за различия в отраслевых требованиях к ИБ.
По мнению коммерческого директора компании Aladdin Алексея Сабанова, 1-му съезду российских CSO недоставало участия представителей регуляторов рынка ИБ. Хотя с этим выводом согласны далеко не все эксперты. Оппоненты г-на Сабанова полагают, что позиция регуляторов широко отражается на других мероприятиях по ИБ, вроде Инфофорума, и их присутствие на съезде CSO может оказаться уже излишним. Главная задача съезда руководителей направлений ИБ, как подчеркнул г-н Емельянников, “услышать именно друг друга”.
Интересным было краткое выступление под занавес форума председателя программного комитета Russian CIO Summit, президента “Руссофта” Валентина Макарова, у которого за плечами шестилетний опыт проведения съездов отечественных ИТ-руководителей. Он обратил внимание участников на то, что формирование российского сообщества директоров ИБ можно прогнозировать на примере развития в нашей стране института ИТ-директоров. Из этого примера прежде всего следует, что желание вендоров превратить подобные мероприятия в еще один канал сбыта своих продуктов и услуг оказывается неуместным, в чем, к сожалению, нам дали возможность убедиться и на 1-м съезде российских CSO: провально выглядели попытки некоторых представителей вендоров следовать этим путем.
Похоже, что участники съезда пришли к пониманию того, что у них есть общие проблемы, а у проблем есть решения, находить которые проще в среде коллег-профессионалов. Задача организаторов — помогать им в этом, т. е. выстраивать мероприятие не под интересы вендоров, а под потребности руководителей предприятий направления ИБ, которым их, в свою очередь, должен диктовать бизнес.