По прогнозам Андрея Курило, заместителя начальника главного управления безопасности и защиты информации Банка России, последствия кризиса не обойдут отрасль информационной безопасности стороной. Однако он полагает, что безопасность имеет уже самостоятельную ценность. А поскольку рано или поздно кризис закончится, то на старте нового экономического подъема организации, сохранившие структуры информационной безопасности, будут иметь большие преимущества.
Начальник отдела информационной безопасности управляющей компании «Металлоинвест» Евгений Климов свое выступление посвятил рассмотрению вариантов подчиненности департамента информационной безопасности. По большому счету, основных вариантов три: генеральном директору либо совету директоров, департаменту ИТ или же департаменту безопасности.
В первом случае достоинством будет общение напрямую с первым лицом. Тогда все решения, которые принимаются по вопросам информационной безопасности, будут независимыми от интересов других подразделений. Эффективность принятия этих решений также будет высока. Но к минусам стоит отнести неготовность менеджмента к управлению безопасностью. С первым лицом, которое занимается решением совсем других задач, крайне сложно обсуждать антивирусную защиту, внутренние угрозы, сетевые атаки и тому подобные вопросы.
В случае подчинения ИТ-департаменту придется столкнуться с похожей проблемой. По словам Климова, ИТ-директора — это скорее технические специалисты, не обладающие достаточной финансовой квалификацией. Но в этом случае можно добиться высокой эффективности от взаимодействия департаментов по причине того, что информационная безопасность логично вписывается в услуги, представляемые ИТ-департаментом. Специалисты по безопасности будут участвовать в инфраструктурных проектах и, соответственно, будут хорошо разбираться в ИТ-системах компании. Кроме того, когда информационная безопасность является составной частью информационных сервисов, то образуется единый центр ответственности. К минусам стоит отнести зависимость от ИТ-руководства. Если в ходе внедрения системы выдвигаются требования с позиций безопасности, то ИТ-директор может не принять их во внимание, ссылаясь на сжатые сроки проекта и ограниченный бюджет. Сомнительным в этом случае будет выглядеть и контроль внутренних угроз, так как они, по мнению Климова, не относятся к сфере деятельности ИТ.
В случае подчинения информационной безопасности подразделению физической и экономической безопасности обеспечивается наиболее комплексный подход. Например, при внедрении решения, контролирующего запись на внешние носители, которое позволяет оперативно выявить инцидент, не возникает никаких проволочек для задержания того или иного сотрудника. Кроме того, это означает независимость от ИТ-департамента в принятии управленческих решений. Плюс достигается наиболее эффективный контроль внутренних угроз, потому что это непосредственная задача любой службы безопасности. Но не все руководители служб безопасности готовы к такому сотрудничеству, поскольку они тоже мыслят иными категориями. Могут возникнуть и проблемы с точки зрения разделения ответственности между подразделениями ИТ и информационной безопасности.
В 2005 году в России в 30% случаев служба нформационной безопасности подчинялась департаменту ИТ. В 18% — департаменту по безопасности. В мире все было наоборот. Превалировало подчинение первому лицу компании или совету директоров. И лишь в 9% служба информационной безопасности была в подчинении у департамента безопасности. Но в отчете за 2008 год PricewaterhouseCoopers обозначена тенденция многоуровневого подчинения службы информационной безопасности — сразу нескольким подразделениям.
Вопросы законодательного регулирования информационной безопасности участники форума комментировали по-разному. С одной стороны, законотворческая деятельность даже в условиях кризисной экономики будет вынуждать предприятия оставаться в рамках законов, а для этого — внедрять и сертифицировать различные решения. С другой стороны, они признавали и то, что для бизнеса основной закон это бизнес. Консультант по безопасности компании Cisco Алексей Лукацкий считает, что наличие закона — это скорее подспорье для поиска работы: «Если специалисты по информационной безопасности не смогут объяснить руководству свою важность помимо того, что они должны следить за соблюдением закона, то в перспективе таких специалистов будет немного».