Хабрчане, доброго дня!
Хочу поделиться небольшой историей — скорее размышлением о боли современного безопасника.
Свою карьеру я начал около 15 лет назад на крупном предприятии из госсектора. Ожидаемо, стартовая позиция была уровня «принеси-подай», что сегодня принято называть «джуном». Однако джуном в классическом понимании меня было назвать сложно - из образования, помимо девяти классов, у меня был техникум IT-профиля и служба в рядах вооружённых сил по линии спецсвязи, где худо-бедно удалось познакомиться с основами криптографии.
В области информационной безопасности я тогда был практически ноль, но обладал общими знаниями в IT на уровне «уверенный любитель». Путём проб и ошибок я достаточно быстро понял, что ИБ - это моё, и начал целенаправленно строить карьеру именно в этом направлении. Год за годом, реализуя локальные проекты, я пришёл к выводу, что без системного образования дальше двигаться сложно. Цель была поставлена - цель достигнута.
Повышая квалификацию и закрывая пробелы в понимании процессов, я последовательно дорос сначала до лида, а затем и до позиции CISO. В настоящее время руководящего опыта у меня более 9 лет, и за это время у меня сложилось достаточно чёткое представление о том, что такое информационная безопасность в прикладном, а не теоретическом смысле.
Для себя я формулирую это так:
Информационная безопасность - это направление деятельности, ориентированное на сокращение финансовых потерь бизнеса путём минимизации рисков, связанных с информационными активами, а также на обеспечение выполнения требований законодательства.
Если приземлить это определение на практику, то ИБ включает в себя:
бизнес-анализ и поиск «дыр» в бизнес-процессах (где делаем неправильно - там теряем деньги);
физическую безопасность объектов;
безопасность ИТ-архитектуры и технологического стека;
наличие релевантной документации и прохождение проверок надзорных органов;
регулярные приседания по поводу тестирования корректности реализованных мер.
И здесь возникает первый вопрос, который меня искренне обескураживает: в какой момент появилось понятие «кибербезопасность» и когда его начали отождествлять с информационной безопасностью в целом?
Типовая ситуация HH: инвайт, скрининг, тех. интервью по кейсам, финальное интервью с директором по ИТ. Обсудить нам есть что, но довольно быстро становится понятно, что безопасность в таком формате воспринимается исключительно как часть ИТ.
При этом безопасность - это существенно более широкое понятие. Не каждый CTO или CIO погружён в вопросы видеонаблюдения, СКУД, физической охраны (в том числе вооружённой), проверки контрагентов, бизнес-аналитики, исследования каналов утечек и множества других аспектов, напрямую влияющих на риски бизнеса.
Как известно, рынок сейчас переживает очередную волну кризиса. Я, как и многие, тоже её ощутил. Бизнес всё чаще перестаёт понимать, что такое информационная безопасность, зачем она нужна и где проходят границы её ответственности.
Идея «давайте запихнём ИБ под ИТ-директора» выглядит удобной и логичной, но на практике там, где применяется такой подход, полноценной безопасности не будет никогда. Даже если говорить исключительно про IT-безопасность, мы неизбежно сталкиваемся с конфликтом интересов.
Безопасность по своей природе влияет на бизнес негативно - она ограничивает, замедляет, усложняет. В то время как решения, принимаемые на уровне ИТ-директора, почти всегда направлены на обеспечение бизнес-процессов максимально эффективно и быстро. При этом собственник или топ‑менеджмент зачастую даже не осведомлены о наличии альтернативных, более корректных с точки зрения безопасности вариантов.
К каким выводам я в итоге пришёл и к каким хотел бы подвести читателя:
ИБ — это не только про «айтишку»;
подчинение ИБ ИТ — это конфликт интересов;
информационная безопасность должна подчиняться генеральному директору или собственнику бизнеса.
Финализирую свой спич старой доброй шуткой:
— Шэф, у нас дыра в безопасности!
— Ну хоть что‑то у нас в безопасности...
Так всё‑таки, товарищи, вам нужен кибербез или ИБ?
Настоящий пост не является криком души и не преследует цели уличить кого‑то в некомпетентности. Он — попытка призвать к более конструктивному и осознанному подходу к роли безопасности в компании.
