Кризисные ожидания оказывают пагубное влияние на непрерывность бизнеса в целом.

До недавнего времени только незначительная часть рисков, исходящих от угроз в области информационной безопасности, влияла на непрерывность бизнеса. «Я лично таких примеров не знаю, как правило, они никогда не приводят к потере бизнеса», — рассказывает руководитель департамента информационной безопасности компании «ВымпелКом» Дмитрий Устюжанин. Кризисные ожидания способны изменить это представление об угрозах.

«Наступило время считать каждый вложенный рубль, поэтому все пути экстенсивного развития бизнеса оказались практически заблокированными. Другими словами, новые закупки, прием на работу новых работников — ныне это исключение, а не правило, — считает старший консультант по информационной безопасности компании Sysnet Алексей Гребенюк. — Рано или поздно в компаниях вспоминают, что информационная безопасность хотя и не приносит прибыль, но сохраняет инвестиции, поэтому вопрос соответствия стандартам безопасности ставится очень серьезно. К тому же правильно выстроенные процедуры безопасности помогают не только сохранить ресурсы, но и упорядочить бизнес-процессы».

«Вопросам непрерывности бизнеса в российских компаниях и до кризиса не уделялось большого внимания. Немало специалистов до сих пор путают понятия “непрерывность бизнеса” и “восстановление после сбоев”, представляют непрерывность бизнеса как набор в основном технических мер, позволяющих восстановить информационные системы, а не бизнес. При таком подходе, безусловно, основные мероприятия находятся в области деятельности и ответственности ИТ-подразделений. Между тем непрерывность бизнеса должна предусматривать вовлечение в проект основных бизнес-подразделений, общее понимание продуктов и услуг организации, угроз, способных повлиять на достижение целей компании, и т. д. Учитывая все это, я бы не связывал кризисные влияния на информационную безопасность с кризисными влияниями на непрерывность бизнеса», — говорит Александр Невский, начальник управления информационной безопасности банка «Ренессанс Капитал», эксперт комитета информационной безопасности Ассоциации российских банков.

На важность рассматриваемых вопросов именно в период кризиса обращает внимание Алексей Чеканов, генеральный директор компании «Алмитек»: «Информационная безопасность в условиях кризиса, как это ни печально, оказалась между двух огней. С одной стороны, бюджеты расходов снижаются по всем направлениям, и в редких компаниях информационная безопасность становится исключением. С другой стороны, из-за складывающейся обстановки в мире возрастает серьезность различного рода угроз — от желания отомстить со стороны увольняемых сотрудников до активизации действий киберкриминала. Еще один момент, связанный с кризисом, — общая нервозность и более пристальный интерес к состоянию компаний со стороны их клиентов, партнеров, конкурентов. Чтобы не вызвать у рынка сомнений в устойчивости и надежности, компании во время кризиса должны уделять даже большее внимание вопросам непрерывности бизнеса, чем ранее. Что очень важно, эти вопросы надо рассматривать комплексно, не ограничиваясь контекстом ИТ и информационной безопасности».

Эту точку зрения поддерживает CIO компании Aladdin Леонид Корох: «Сегодня информационная безопасность воспринимается как инструмент управления репутационными рисками. Если до кризиса об этом задумывалась лишь прогрессивная часть бизнес-сообщества, то в нынешних условиях этот аспект важен для всех. Снижение уровня доверия к компании вследствие реализации угроз безопасности (например, утечки данных) в условиях кризиса может стать фатальным для бизнеса, тем более что рост нелояльности сотрудников (уволенных — из-за обид на работодателей, оставшихся в штате — из-за «срезания» бонусов) и повышение конкуренции на рынке труда создают благодатную почву для воплощения этих самых угроз. В этих условиях информационную безопасность следует рассматривать и как превентивную меру для обеспечения стабильной и бесперебойной работы бизнеса в сложных экономических условиях».

Однако нельзя исключать, что при угрозе потери бизнеса из-за финансовых проблем руководство может отсечь все затратные функции. «В таких условиях неумелое управление информационной безопасностью и настаивание на бюджетных проектах без соответствующего очень серьезного анализа реальных рисков, понятных высшему руководству компании, может привести к ликвидации самой функции информационной безопасности», — предупреждает Устюжанин.

Что делать?

В идеале план обеспечения непрерывности бизнеса должен быть разработан и периодически обновляем независимо от макроэкономических явлений. Однако на практике дело обстоит несколько иначе.

«Действовать нужно последовательно. Для начала следует наметить первоочередные задачи и действия рабочей группы по налаживанию работы системы. Затем детально продумать сценарии от простоя до полного восстановления деятельности компании при наступлении кризисной ситуации (это желательно делать методом «мозгового штурма»). Кризисные ситуации необходимо описать и ранжировать по типам возможных сбоев, аварий и атак. Важно продумать создание не только ресурсов немедленной доступности на период устранения проблемы, но и резервных, «запасных» ресурсов, которыми можно будет воспользоваться в случае, если основных ресурсов в период восстановления окажется недостаточно или их будет невозможно использовать», — рекомендует Корох.

Невский настроен более пессимистично: «В условиях сокращения бюджетов и численности сотрудников говорить об обеспечении сохранности необходимого уровня информационной безопасности не приходится. Увольнение одного ценного специалиста может остановить работы по целому спектру направлений. Отсутствие средств на приобретение или поддержку программного и аппаратного обеспечения заставляет искать альтернативные, например бесплатные, решения. Как правило, эффективность последних существенно ниже, чем коммерческих, да и времени на их внедрение требуется больше. Таким образом, приходится оценивать риски и отказываться от сервисов информационной безопасности, которые с точки зрения бизнеса могут выглядеть необязательными».

Кризис может продлиться год, а при плохом раскладе и несколько лет. Сегодня, считает Чеканов, стоит уделять большее внимание проектам, которые способны принести отдачу уже в среднесрочной перспективе. «В условиях дефицита бюджета может помочь переход от покупки готовых решений (будь то оборудование или лицензии) к приобретению того же самого в форме услуги от производителя. Это позволит не только избежать крупных единовременных вложений, но и передать часть работы квалифицированному персоналу поставщиков услуг».

В условиях, когда бурное развитие компании в ближайшем будущем видится маловероятным, возможно, было бы уместно повысить отдачу от уже внедренных решений в области непрерывности бизнеса и задействовать часть резервов для повышения эффективности работающих бизнес-приложений. По мнению Дмитрия Устюжанина, «сейчас удобное время для того, чтобы проанализировать влияние на бизнес основных процессов и совместно с руководством спланировать действия по поддержанию компании на плаву с минимальными возможными ресурсами. Кризис, как лакмусовая бумажка, позволяет выделить действительно критичные бизнес-функции и определить минимально допустимые конфигурации поддерживающих бизнес ИТ-систем и технологической инфраструктуры. Сейчас нелишним будет проверить состояние ключевых поставщиков услуг и контрагентов, от которых зависит бизнес компании, и рассказать руководству о выявленных рисках, а также вариантах контрмер. В качестве сценариев возможных чрезвычайных ситуаций надо рассмотреть и описать потерю персонала, в том числе и ключевого».


Конфликт интересов CIO и CISO

Взаимоотношения ИТ-директора (CIO) и руководителя, отвечающего за информационную безопасность (CISO), даже в «мирное время» не всегда носили безоблачный характер. Между ними шла борьба за бюджеты, сферы ответственности, кадры и пр. Экономический кризис может заметно обострить эти проблемы.

По мнению Леонида Короха, наличие или отсутствие конфликтных ситуаций между топ-менеджментом в компании — это вопрос корпоративной культуры и четкого разделения обязанностей: «Есть два подхода к определению ролей CIO и CISO. Один из них предполагает подчинение CISO ИТ-директору, а второй — разделение их полномочий с подчинением обоих напрямую генеральному директору компании. В зависимости от выбранного подхода можно говорить о природе конфликтов между ними. В первом случае, если в период кризиса оба специалиста со своими подчиненными не попали под сокращение, это уже неплохо. Скорее всего, силы обоих будут направлены на профилактику существующих систем и обеспечение стабильности их функционирования, этой же цели будут подчинены и бюджеты. Серьезных противоречий между CIO и CISO тут быть не должно. А вот во втором случае конфликты могут иметь место, прежде всего из-за бюджетных предпочтений руководства. И выход тут, на мой взгляд, один: оба специалиста должны понимать, что в сложных экономических условиях вопрос «кто главнее» должен отойти на второй план. Нужна выработка совместной стратегии, подчиненной общим целям выживания бизнеса и минимизации издержек. Это объединение, кстати, может быть еще одним дополнительным пунктом антикризисного плана действий».

Александр Невский полагает, что кризис не влияет на эти взаимоотношения: «Оптимальным является одинаковый уровень позиций CIO и CISO в иерархии управления, а также их прямое подчинение одному из старших менеджеров. Такая система минимизирует интриги и игры. Если CISO находится в подчинении у CIO, у последнего велик соблазн решать возникающие вопросы и проблемы в пользу доступности и удобства ИТ-услуг и в ущерб их безопасности».

«Конфликт может проявиться там, где происходит подмена понятий, — информационная безопасность ассоциируется с безопасностью информационных технологий. Это не одно и то же, но вполне может стать тем оселком, на котором проверяется зрелость соответствующих менеджеров», — считает Алексей Гребенюк.

А вот Дмитрий Устюжанин проблему взаимоотношений CIO и CISO видит под другим углом: «На мой взгляд, в период кризиса, наоборот, происходит консолидация всех реальных сил, и вектор их применения очень четко направлен в сторону повышения эффективности компании в целом, а не на перетягивание канатов между отдельными функциями».