Ассоциация “DLP-эксперт”, объединяющая специалистов по защите информации, провела круглый стол, посвященный актуальной теме “Эффективное управление информационной безопасностью”.
Участники дискуссии неожиданно подняли не запланированный к обсуждению вопрос об отношении руководителей компаний высшего звена к состоянию корпоративной ИБ и их влиянии на ее обеспечение. Если судить по количеству инициированных этим вопросом реплик, то он стоит остро и сильно беспокоит корпоративных ИБ-специалистов.
Участниками круглого стола было отмечено, что в государственных и частных предпринимательских структурах топ-менеджеры ранжируют бизнес-риски, связанные с ИБ, исходя из принципиально разных приоритетов, которые во многом определяются тем, какие отношения собственности выстроены у них к структурам, где они работают. Так, для владельцев частных компаний важнейшим мерилом успешности или неуспешности являются денежные прибыли и потери.
Что же касается наемного менеджмента, то он весьма озабочен имиджевыми рисками, прежде всего персональными. Особенно ярко для сотрудников ИБ-служб видны различия в приоритетах отношения к ИБ-рискам со стороны руководителей, когда те из разряда наемных работников переходят в совладельцы или наоборот — из владельцев становятся наемными работниками на том предприятии, где были хозяевами. Если вчерашний владелец считал каждую копейку, то сегодня, превратившись в наемного управленца, он готов идти не только на пересмотр приоритетов ИБ-метрик, но даже на сокрытие от собственника бизнеса ущербов, лишь бы не страдала его “репутация”.
Рассказывая об аспектах общения корпоративных ИБ-специалистов с бизнес-руководителями, директор по развитию бизнеса компании Pointlane Павел Мельников упомянул, что для руководства одним из сильных стимулов внедрения в компаниях средств защиты корпоративных информационных систем от привилегированных пользователей является закрытие с помощью этих средств доступа для системных администраторов к данным о зарплате топ-менеджеров. При этом, по словам г-на Мельникова и некоторых других участников круглого стола (сославшихся на собственный опыт), топ-менеджеры нередко требуют от ИБ-службы, чтобы она вообще избавила их от какого-либо контроля со своей стороны.
Переводя себя в положение ИБ-неприкасаемых, эта категория сотрудников сильно осложняет работу ИБ-специалистов, сводит на нет результаты работы средств ИБ-защиты, вынуждает ИБ-службы фальсифицировать ИБ-отчеты и в итоге разрушает систему корпоративной ИБ. В результате ИБ-пирамида, подразумевающая более высокую ответственность за информационную безопасность у тех, кто располагает более высокими привилегиями доступа к ресурсам, в нашей стране нередко оказывается перевернутой с ног на голову.
Присутствовавшие на заседании ИБ-эксперты с опытом работы в иностранных компаниях, представляющих страны с развитой экономикой, такое положение дел с корпоративной ИБ рассматривают как российскую специфику. По их мнению, она постепенно изживается, и тем успешнее, чем ощутимее становятся потери компаний от ИБ-рисков, трансформированных в риски бизнеса, и соответственно чем более образованными становятся российские ИТ-пользователи в области ИБ.
Согласно оценке ведущего эксперта по ИБ группы компаний InfoWatch Андрея Прозорова, уровень зрелости в области информационной безопасности в большинстве российских компаний достиг по общемировой шкале некоторого среднего положения, который характеризуется если и не практической реализацией централизованного управления корпоративной ИБ, то внутренней готовностью к этому процессу.
Характерно, что нынешняя стадия ИБ-зрелости, с одной стороны, ставит корпоративных ИБ-специалистов (в первую очередь руководителей ИБ-служб) в разряд заложников и страдальцев, все еще готовых претерпеть от руководства (например, за предоставленный ему отчет по тесту на проникновение, который четко показал, что бреши в защите ИТ-периметра компании находятся как раз в среде топ-менеджмента), а с другой — дает им возможность выступать ИБ-культуртрегерами, способными своей просветительской деятельностью поднимать авторитет ИБ-службы и повышать корпоративную ИБ-культуру. Стадия эта требует от руководителя ИБ-службы уже не просто понимания специфики бизнес-проблем компании, в которой он работает, но заставляет его подниматься по должностной лестнице до уровня директора по информационной безопасности, что все больше погружает его в аспекты психологии деловых отношений топ-менеджмента.