12 ноября состоялся прямой эфир AM Live, посвящённый теме «Стратегия информационной безопасности». Эксперты ведущих компаний обсудили функции и роль ИБ-стратегии, риски её отсутствия и этапы её утверждения, взаимодействие представителей различных подразделений компании для разработки стратегии, разделение ответственности за защиту инфраструктуры между бизнесом, ИТ и ИБ, а также метрики, KPI и кибериспытания в рамках ИБ-стратегии.
Компания Cloud Networks была представлена в лице директора департамента консалтинга Алексея Воронцова.
Эксперт поделился своим опытом работы в американской компании, с первых минут обсуждения обозначив проблему «нормальности», общепринятости и степени разработанности ИБ-стратегии в России.
Отдельным предметом обсуждения стала роль информационной безопасности в бизнесе. «ИБ не зарабатывает денег», - объяснил Алексей, - «в большинстве случаев она является обслуживающим подразделением для бизнеса и ИТ, главной задачей которого является уменьшение рисков». Стратегия же выступает в качестве ключевого инструмента фиксации «правил игры» обеспечения безопасности и развития бизнеса. По сложившейся традиции ИБ-стратегия сейчас разрабатывается на период от 3 до 5 лет, тогда как само её создание и синхронизация с другими стратегиями (бизнеса, ИТ, компании в целом) занимает около полугода. В современных условиях быстрой смены трендов и ситуации на мировом рынке именно такие временные рамки оказываются наиболее удобными и практичными.
В ходе эфира были также приведены результаты опроса аудитории о среднестастическом состоянии ИБ-стратегий: в то время как у 37% участников стратегия утверждена и реализуется, у 26% её нет и даже не предвидится. Тем не менее, как отметил эксперт Cloud Networks, данная картина может быть не совсем применима ко всему отечественному рынку: в опросе, приуроченном к эфиру, приняли участие специалисты, так или иначе связанные с ИБ и консалтингом, поэтому тот факт, что у большинства стратегия есть, довольно предсказуем. Наличие или отсутствие стратегии зависит не столько от уровня зрелости компании, сколько уровень развития её ИБ-департамента.
Что же касается степени разработки самой ИБ-стратегии, она тоже может быть различной – либо своеобразной «миссией видения» (тогда она может быть представлена на одном слайде), либо полноценным планом, основным документом стратегии, включающим в себя также направление, в котором будет развиваться бизнес, бюджеты, KPI, общий зафиксированный объём работы (в таком случае мы говорим уже о 10-20 слайдах). Таким образом, от стратегии зависит и самоопределение, самоощущение ИБ-департамента компании.
Ещё одним важным дискуссионным вопросом стала взаимосвязь ИБ-стратегии со стратегией цифровой трансформации компании. Эксперты пришли к выводу о том, что вторая больше привязана к ИТ (а развитие ИТ в целом благоприятно влияет на развитие ИБ, поскольку они дополняют друг друга).
Эксперты также обсудили проблему прозрачности страхования рисков информационной безопасности. Алексей отметил, что на Западе этот аспект развит сильнее, поскольку развита оценка ущерба, когда чётко рассчитывается стоимость каждого элемента, массива данных в целом. У нас же страхование предполагает, скорее, избежание последствий инцидента и распределение ответственности в случае его возникновения. Судебные практики в РФ также развиты несколько меньше несмотря на существование сейчас тех же оборотных штрафов. Некоторым компаниям рассчитывать риски легче – это, например, банки или страховые организации. У них есть конкретные метрики, с которыми они работают постоянно.
В конце эфира эксперты затронули вопрос важности изменения ландшафта киберугроз, а также взаимосвязи этих сдвигов с развитием ИИ и других ИТ-трендов. Алексей отметил, что, если происходит серьёзный сдвиг в ИБ от комплаенса к практической безопасности, как это случилось в 2022 году, когда не просто появляется новая технология, но происходит нечто, что меняет всю жизнь страны, подобные изменения, конечно, придётся учитывать на уровне стратегии. Предсказать такие события невозможно, но не отразиться в стратегии они не могут.
В конце эфира экспертам предложили спрогнозировать наиболее возможные перспективы развития ИБ в 2030 году. Алексей отметил, что особенных нововведений и изменений в области ИБ не ожидает: на протяжении 25 лет работы в этой сфере ему пришлось увидеть очень многое и заниматься ИБ с каждым годом становится всё интереснее, однако глобальных сдвигов в принципах работы не было.
Напомним, что посмотреть эфир полностью можно на разных платформах:
· в Rutube
· в VK Видео
· и в YouTube