Интервью с Андреем Арефьевым, директором по инновациям ГК InfoWatch
Даже самая современная и передовая система защиты данных в компании требует участия человека, а как следствие — диалога между высшим менеджментом организации. Важно, чтобы CISO (Chief Information Security Officer) — ответственный за ИБ человек — находился на «одной волне» с руководством компании. О том, как CISO выстроить свою работу и не стать раздражающим фактором рассказывает Андрей Арефьев — директор по инновациям ГК InfoWatch.
У топ-менеджмента компаний часто возникает неприязнь к тем решениям, которые продвигает CISO. Часто это происходит из-за непонимания, зачем это нужно. Расскажите, как лучше наладить системный и понятный диалог между ИБ, ИТ и топ-менеджментом?
Действительно, порой возникает сложность в коммуникации, в основе которой лежит непонимание. Чтобы ответить на вопрос как сделать правильно, следует понять первопричину непонимания. Она фундаментальна и состоит в том, что CISO защищает цифровой мир, который интуитивно большинству людей непонятен, а правила поведения в нем неясны. Владение и оперирование цифровыми активами сильно отличаются от нашего жизненного опыта с материальными носителями, отсюда и берутся проблемы.
Например, разработчики стремятся сделать цифровой продукт максимально удобным для пользователя и интегрировать его с другими ресурсами. Однако на этом стыке возникают серьезные ИБ-угрозы. Может показаться, что специалист по безопасности намеренно хочет усложнить процесс разработки и тормозит внедрение, тогда как на практике он стремится защитить данные и бизнес.
У любого человека, который занимается ИБ, возникают сложности в том, чтобы донести опасности и угрозы до «обычного» мира. Я бы сравнил CISO со сталкером из одноименного фильма Геннадия Тарковского, который проводит людей через сложный и непонятный им лабиринт.
И этот сталкер постоянно сталкивается с конфликтами. Какие самые типичные?
Самый стандартный — управленческий. Если у ИТ- и ИБ-служб нет единого начальника, они борются за одни и те же ресурсы. Полноценная служба ИБ не может существовать без поддержки ИТ.
Другой конфликт — с топ-менеджментом. Например, директор говорит: «Раньше я мог скопировать файлы на флешку, а теперь не могу. Почему? Это же было удобно!». Или, например, бизнес хочет быстро выпустить новый сервис, а ИБ говорит: «Подождите, давайте проверим риски». Возникает диссонанс между скоростью бизнеса и необходимостью обеспечить безопасность.
CISO должен понять, какие риски несет новый сервис, сформулировать минимальные меры защиты, чтобы можно было его быстро выпустить, а потом доделать безопасность. Это ничем не отличается от стартапа: у тебя есть идея и ограниченные ресурсы, и ты должен достичь понятных целей в конкретное время. CISO должен быть бизнес-ориентированным. Но таких людей мало, потому что они должны думать и со стороны бизнеса, и со стороны ИБ. Они и есть те самые сталкеры.
Какие вы можете отметить типичные ошибки в работе CISO?
Попытка вводить ограничения, не объясняя, зачем. Это похоже на маму, которая говорит «нельзя» и не объясняет почему. Основная ошибка — отсутствие диалога, объяснения «почему» и потенциальных последствий. Это касается не только топ-менеджмента, но и работы с рядовыми сотрудниками.
С чего CISO следует начать развитие коммуникации?
Грамотный CISO должен начинать с понимания бизнеса. Понять, какая доля бюджета на ИБ не нанесет ущерб компании. Не нужно пытаться сразу защитить абсолютно все, достаточно защитить то, что повлечет остановку бизнес-процессов. Надо составить матрицу угроз и оценить вес каждой из них. Звучит формально, но это позволяет аргументированно объяснить бизнесу, почему то или иное действие нужно сделать прямо сейчас. «Смотрите, если случится это, у вас все встанет, и этот простой будет стоить столько-то».
Существует тренд на аутсорсинг ИБ, особенно в небольших компаниях. На ваш взгляд, какие задачи можно передавать на сторону, а какие нельзя?
Важно понимать: передавая что-то на аутсорсинг, вы не снимаете с себя обязанность выстраивать процессы взаимодействия. Например, можно отдать на аутсорс SOC (Security Operation Center). Но когда потребуется, например, установить антивирус, компании все равно придется потратить на это свой ресурс.
Есть функции, которые очень сложно отдать на атусорс. Например, DLP-системы — развернувший их подрядчик получит доступ ко всей информации заказчика. Или управление правами доступа — это прямая функция «инхаус» ИТ, ведь подрядчик не может знать, какие права нужны каким сотрудникам для выполнения их служебных обязанностей.
Вопрос аутсорсинга — это вопрос договоренностей и оценки рисков. Чтобы аутсорсинг не стал слабым звеном, нужно выстроить четкие процессы взаимодействия, как при найме сотрудника.
Как, по-вашему, изменилась роль CISO сегодня? Должен ли он быть частью топ-менеджмента?
Я считаю, что CISO должен быть полноценным топ-менеджером, который принимает активное участие в бизнес-решениях. Его роль должна быть возведена настолько высоко, чтобы он реально влиял на управление бизнесом. Для этого обязательны широкий кругозор, понимание ИТ-технологий, рисков и способов их снижения.
Идеальный CISO, помимо мощного технического бэкграунда, будет способен взаимодействовать с бизнесом, понимать его суть и нести ответственность. Ответственность — это синоним полномочий.
Что вы можете посоветовать ИБ-специалистам в целом и CISO в частности?
Залог успеха современного CISO — это, с одной стороны, умение понимать структуру и суть бизнеса, а с другой — сохранять навыки познания и продолжать изучать этот цифровой мир, интуитивно непонятный для большинства. Быть сталкером в хорошем смысле этого слова — проводником бизнеса через все сложности цифрового мира.