Конструктивный антагонизм — так можно описать баланс отношений, к которому должны стремиться подразделения организаций, чьи цели и задачи отчасти пересекаются, но отчасти противоречивы. Например, службы ИТ и ИБ обречены на сотрудничество, поскольку работают над общим направлением. Но нередко их интересы расходятся настолько, что выливаются в конфликты, скрыть которые уже не удается.
«В некоторых социальных сетях можно указать такой статус отношений с другим пользователем — «все сложно». Это как раз про нас», — говорит Владимир Наймарк, старший менеджер по информационной безопасности компании PwC в России. За пять лет совместной работы руководители служб ИТ и ИБ этой компании научились понимать друг друга и, несмотря на серьезные противоречия, находить взаимоприемлемые решения по ключевым вопросам. «Задача менеджеров двух служб — договориться друг с другом. Если они не могут этого сделать, руководителю придется вмешаться, при этом менеджеры обеих сторон заметно потеряют в оценках, которые им дает их общий начальник», — уверен Дмитрий Иншаков, директор по ИТ компании PwC в России. Непосредственным начальником Иншакова и Наймарка является ИТ-руководитель компании, курирующий регион EMEA. Таким образом, модель отношений служб ИТ и ИБ в PwC в России, с одной стороны, напоминает схему, при которой ИБ подчиняется ИТ, с другой — реализуется как диполь или тандем, в котором участники взаимодействия не находятся в подчинении друг у друга, а потому вынуждены сотрудничать по ключевым вопросам.
«Служба ИБ чаще всего является частью ИТ-подразделения, — поясняет Сергей Панов, технический директор компании «ЭЛВИС-Плюс». — С одной стороны, это упрощает согласование бюджетов и документации, с другой — механизмы независимого контроля в этом случае отсутствуют. Есть организации, в которых службы ИТ и ИБ разделены. Если руководство бизнеса поддерживает здоровую конкуренцию между службами — замечательно, они честно борются за бюджет и стремятся делать свою работу более эффективно с точки зрения использования ресурсов, финансов и т. д.».
Вопрос независимого контроля служб ИТ и ИБ в PwC решается благодаря хорошо развитой службе внутреннего аудита. «В компании практикуется внутренний аудит, который проводит одно из глобальных подразделений компании, — продолжает Наймарк. — Службы ИТ и ИБ выступают единым фронтом перед аудиторами, поскольку неудачный внутренний аудит в области ИТ или ИБ бросает тень на обе наши службы».
По словам Евгения Климова, менеджера PwC, президента Ассоциации профессионалов в области информационной безопасности RISSPA, в крупных компаниях, где действуют комитеты по ИТ, в их работе регулярное участие принимают представители служб ИБ, подключаясь к новым проектам уже на самых ранних этапах. В компаниях поменьше порядок взаимодействия служб ИБ и ИТ и сферы ответственности между ними иногда регулируются регламентами, которые утверждает первое лицо организации. «Чем хуже службы взаимодействуют между собой, тем выше потребность в регламентах», — отмечает Климов.
«В любой компании третьей стороной в отношениях служб ИТ и ИБ выступает бизнес, поскольку деятельность обеих этих служб ориентируется именно на его интересы. Ответ на ключевой вопрос, который решается в рамках обеспечения ИБ, — что делать с информационными рисками? — тоже остается за бизнесом — за теми, кто им управляет», — считает Иншаков. «Тем, кто отвечает за разработку политик безопасности, необходим постоянный диалог с бизнесом, чтобы своевременно приводить их в соответствие с его реальными потребностями, — убежден Наймарк. — Такие вещи, как, например, появление электронной почты на личных устройствах пользователей, наверняка потребуют пересмотра политик, и здесь без диалога с бизнесом обойтись невозможно».
Цели и взаимные ожидания
Наймарк уверен, что бизнес ожидает от служб ИБ и ИТ совместного, скоординированного решения проблем, связанных с рисками информационной безопасности, и не стремится выступать в роли судьи, разрешающего конфликты между этими службами. «По большому счету не так важно, как и кому подчиняются эти службы, важно другое — насколько их работа скоординирована», — поясняет Наймарк.
Цель сотрудничества двух служб — взаимная помощь в решении общих задач по созданию эффективных и безопасных информационных систем для бизнеса. «Меня не устроит новое ИТ-решение, если оно окажется небезопасным», — говорит Иншаков. «Без помощи со стороны ИТ-службы достижение моих целей невозможно в принципе», — продолжает Наймарк.
Иншаков ожидает от своих коллег, что решение вопросов информационной безопасности станет важным дополнением деятельности в области ИТ в части реализации потребностей бизнеса и не станет при этом тормозить ИТ-проекты. Оптимальный подход здесь, по его мнению, — поиск разумного компромисса между функциональностью, безопасностью, затратами и сроками реализации. Наймарк ожидает обязательного совместного участия служб ИБ и ИТ как в проектах, так и в операционной деятельности друг друга.
«Внедряя очередную функцию или ИТ-сервис, сотрудники ИТ-подразделения обязательно должны думать и об информационной безопасности этой функции или сервиса и ИТ-системы в целом, — считает Иншаков. — В свою очередь, сотрудники службы ИБ должны иметь ясное представление о том, как политики и регламенты в области ИБ влияют на бизнес и его ИТ. К сожалению, во многих компаниях они нередко оказываются тормозом для развития бизнеса, который сегодня ожидает от служб ИТ и ИБ заметно большей гибкости».
По наблюдениям Наймарка, снижение скорости реализации ИТ-проектов, связанное с необходимостью решать вопросы ИБ, наблюдается в случаях, когда службы ИБ и ИТ не координируют работу в проекте с самого начала. В компаниях России службу ИБ нередко подключают не на этапе проработки его плана и проектной документации, а гораздо позже, когда часть изменений в ИТ уже реализована. В результате возникают затруднения и задержки, причина которых не только в том, что аспекты ИБ не были изначально предусмотрены в ходе подготовки проекта, но и в том, что план проекта не учитывал время, необходимое для решения вопросов ИБ.
Координация усилий
Вместо того чтобы искать оправдания, почему не можем сделать, службам ИТ и ИБ совместно с бизнесом нужно найти возможности, чтобы сделать то, что хочет получить бизнес, — такой позиции придерживаются Иншаков и Наймарк. Ярким примером их сотрудничества стал реализованый полтора года назад проект по интеграции мобильных устройств в среду корпоративных ИТ, в ходе которого службы ИБ и ИТ вместе искали взаимоприемлемые варианты интеграции.
По наблюдениям Панова, наибольших усилий со стороны руководителей ИТ и ИБ требуют вопросы на стыке их служб: решение проблем, связанных с функционированием систем (прежде всего — с доступностью информации), и расследования инцидентов ИБ. «Здесь необходима взаимная помощь и четкая регламентация, чтобы выйти на источник угрозы и предотвратить атаки (или ошибки персонала) в будущем», — поясняет Панов. Особое внимание нужно уделять защите информации, требования к которой определены законодательными актами. И служба ИБ в этом вопросе должна выступать ключевым консультантом как для ИТ, так и для бизнеса.
В PwC координация усилий подразделений ИТ и ИБ начинается с разработки ИТ-стратегии (она готовится на основе стратегии развития бизнеса) — в ее подготовке принимают участие оба подразделения. После того как ИТ-стратегия утверждена, службы ИТ и ИБ вместе участвуют в проработке своих проектов и их согласовании с бизнесом.
«Служба ИБ старается «внедряться» во все процессы, которые могут обусловить появление новых информационных систем, ИТ-сервисов и пр., — рассказывает Наймарк. — Выделенный менеджер службы ИБ очень плотно работает с входящей в ИТ-подразделение группой, отвечающей за разработку приложений, — он участвует во всех проектах по созданию и развертыванию приложений, которые ведутся в регионе, и оценивает риски, уязвимости, организацию тестов на проникновение и пр. Перед установкой систем в ЦОД компании они проходят процедуру «очищения» — комплекс проверок ИБ. Все крупные технологические изменения также проходят проверки ИБ. Кстати, при принятии решений о сотрудничестве с подрядчиками, перспективы работы с которыми рассматривает PwC, учитывается и то, как подрядчики решают вопросы обеспечения своей информационной безопасности».
По словам Иншакова, в его компании обе службы стремятся к взаимной прозрачности, чтобы ясно представлять, что делают коллеги. Когда проводятся регулярные аудиоконференции с участием руководителей служб ИТ региональных офисов, в них обязательно участвуют менеджеры, отвечающие за ИБ. Это дает возможность узнать, где какая работа в области ИТ ведется, и оперативно обсудить возникающие вопросы. В свою очередь, на внутренние встречи службы ИБ обязательно приглашают и представителей ИТ-департамента. Популярны и такие формы взаимодействия, как личные встречи, презентации решений и проектов, специально проводимые службами для своих коллег.
Сложности в отношениях
Поскольку интересы служб ИТ и ИБ заметно различаются, сложности нередки. В российском филиале PwC наиболее остро, как отмечает Иншаков, стоит проблема ресурсов, поскольку работы в области ИБ, как правило, требуют от ИТ выделения дополнительных ресурсов. Еще один сложный момент — распределение ответственности при решении вопросов, находящихся на стыке ИТ и ИБ. По словам Наймарка, у служб ИТ и ИБ сильно различаются оценки различных информационных рисков, что обусловлено разным опытом. Между тем им приходится искать компромиссную оценку, которую можно представить бизнесу. «Чтобы преодолеть все эти разногласия, службам ИТ и ИБ следует глубже вникать в деятельность друг друга», — убежден Наймарк.
Как видим, ИТ и ИБ вполне могут плодотворно сотрудничать. Ключевые факторы здесь — взаимопонимание и координация усилий. Когда они достигаются, очень многие сложности отступают перед синергией служб ИТ и ИБ.