In English

Метод двух ключей, или Как распределить функции между ИТ-директором и «главным по безопасности»

12.03.2012, Яппаров Тагир
Ссылка на запись:
http://i-business.ru/blogs/18096

Метод двух ключей, или Как распределить функции между ИТ-директором и «главным по безопасности» Одним из главных итогов 2011 года стала не только ощутимая активизация киберпреступников, но и «смена вех» на рынке информационной безопасности. Причины известны. Если прежде злоумышленники использовали скорее «веерный» метод, то в прошлом году мы стали свидетелями нескольких точечных, сфокусированных атак, когда под ударом оказывались совершенно конкретные объекты в разных странах. В том числе объекты стратегического значения.
Все это вызвало бурную дискуссию о поисках средств противодействия новым угрозам. Одна из довольно популярных ныне идей — совмещение функций «шефа» по информационной безопасности (CSO, chief security officer) и руководителя ИТ-службы (CIO, chief information officer) с перспективой формирования новой высокопоставленной фигуры в корпоративных иерархиях — CISO (chief information & security officer).
Так стоит ли объединять функции «главного безопасника» и «главного компьютерщика»? Эта тема в значительной степени выходит за пределы внутриотраслевого обсуждения. Уязвимость ИТ очевидна, как очевидна и необходимость все более грамотной, качественной защиты периметра (в том числе, учитывая нарастающий тренд к консьюмеризации корпоративных ИТ на волне массового распространения планшетов и других мобильных устройств, используемых сотрудниками в качестве рабочих станций). Но главное, обсуждаемый вопрос волнует уже не только акционеров и управляющих крупнейших предприятий. Если раньше мы говорили об информационной безопасности как о проблеме, актуальной преимущественно для государственных организаций и крупных рыночных игроков, то теперь об этом задумываются и в средних, и даже в совсем небольших компаниях.

Не думаю, что решение лежит в элементарном совмещении задач CIO и CSO в рамках одной должностной позиции. Скорее, следует говорить о том, каковы взаимные полномочия, «вес» и круг компетенций ИТ-директора и «главного по безопасности». А это не так просто, поскольку придется как-то совместить «коня и трепетную лань» — задачи обеспечения безопасности с требованиями развития бизнеса.

Характерный пример — упомянутый конфликт между консьюмеризацией ИТ и требованиями обеспечения ИБ. Бизнес хочет использовать планшеты, интегрированные в корпоративные ИТ-системы, чтобы добиться большей гибкости и мобильности. А службы безопасности видят в этом дополнительные угрозы и новые уязвимости, а потому предлагают стандартный ответ «не пущать»!

Если право решающего голоса будет у ИТ-директора, задачи развития могут начать решаться за счет ослабления «обороны». Если последнее слово останется за «безопасниками», предприятие или организация скорее всего окажется в отстающих, с точки зрения перехода на новые технологии.

Где выход? Скорее всего, в уравнивании соответствующих полномочий CIO и CSO при одновременном росте компетенций в вопросах, решаемых партнером (ведь в высшем смысле CIO и CSO — именно партнеры, а не «враги»).

Почему бы не совместить эти функции в одном лице? На мой взгляд, делать этого не следует хотя бы потому, что «интегрированный» управляющий постоянно будет находиться в состоянии внутреннего конфликта. Кроме того, полезно обратиться к опыту военных. В том числе — к практике управления средствами доставки ядерных зарядов.

Для пуска ракеты нужны два ключа, находящихся в разных руках. Так и в случае с информационными системами: один «ключ» (в руках CIO) — это «ключ развития». Второй — «ключ защиты» — находится в руках «главного по безопасности». А четко прописанные корпоративные политики должны описывать все ситуации, когда принятие и реализация того или иного решения требуют использования обоих ключей.

Понятно, что и корпоративным «офицерам по безопасности» и «информационным офицерам» придется существенно измениться. И прежде всего — научиться находить идеальный баланс. На мой взгляд, современный специалист в сфере информационно безопасности — не тот, кто в ответ на любое предложение говорит «нет» и возводит укрепления, препятствующие не только злоумышленникам, но и эффективной работе сотрудников, менеджмента. «Безопасник» должен уметь предлагать свои решения (технологические, организационные — любые), позволяющие, с одной стороны, решить задачи бизнеса, а с другой — обеспечить требуемый уровень защиты.

Конечно, все это потребует дополнительных усилий и вложений. Но другого выхода я не вижу. Поэтому, когда сегодня говорят о необходимости дополнительных инвестиций в информационную безопасность, следует понимать: речь идет не только о средствах, направляемых на строительство новых крепостных стен. Речь идет прежде всего о глубоком погружении «главного по безопасности» в систему стратегических целей, интересов и бизнес-процессов предприятия. Это требует высокой квалификации. Вот в нее и следует инвестировать прежде всего.

Успех будет зависеть от того, насколько и CIO, и CSO включены в решение задач бизнеса. Они союзники. Но при этом эффективно уравновешивают друг друга благодаря политике использования «двух ключей». Это разумный способ добиваться результатов, двигаться вперед, а попутно — минимизировать риски и управлять ими.

Хочу сделать еще одно замечание. Мне кажется, что должны измениться и формулировки, описывающие функционал «главного по безопасности». Это не автор препятствий на пути развития ИТ, а профессионал высокого уровня, использующий весь доступный арсенал технологий и подходов в сфере ИБ во имя достижения организацией поставленных целей. Проще говоря, CSO точно так же, как и CIO, должен быть нацелен на решение задач развития. Как раз это и делает его не «противником», а партнером CIO.

На рынке уже достаточно много примеров гармоничного сочетания задач развития в сфере ИТ и требований обеспечения безопасности. Один из них — проект, реализованный «Альфа-Банком» в сфере дистанционного банковского обслуживания (ДБО). Авторы этой системы не только опередили многих других игроков банковского рынка, но и тем самым помогли финансово-кредитному учреждению нарастить клиентскую базу, повысить ее лояльность. Одновременно сделав все, чтобы свести риски к управляемому минимуму.

Кстати, когда в нашей компании внедрялся карточный «зарплатный» проект, я выступил инициатором перехода из банка, который обслуживал нашу компанию прежде, — в «Альфа-Банк». И как раз потому, что развитый инструментарий интернет-банкинга в системе «Альфа-Клик» оказался очень удобным не только для меня, но и для всех сотрудников.

Я понимаю, что «безопасники» «Альфа-Банка» сумели решить очень сложную задачу. Причем, не в духе запретов и противодействия внедрению новой услуги, а — путем успешного поиска ИТ-решений, позволяющих реализовать очень важную с точки зрения развития бизнеса инициативу.

Думаю, именно так и следует использовать метод «двух ключей».

Центральный федеральный округ