В любой компании, где есть информационные технологии (ИТ) и информационная безопасность (ИБ), рано или поздно возникает напряжение. Одни отвечают за скорость и доступность, другие — за контроль и снижение рисков. Когда баланс не выстроен, страдает бизнес: процессы замедляются, потери растут, а угрозы увеличиваются.
Главный вопрос здесь не в том, кто важнее, а в том, как организовать их совместную работу.
Разные цели — разная логика
ИТ и информационная безопасность смотрят на бизнес с противоположных сторон. Суть информационной безопасности часто сводится для ИТ-специалиста к лишним согласованиям, хотя на самом деле это управление рисками. Понятие информационной безопасности включает три базовые цели: конфиденциальность, целостность и доступность. Если обеспечение информационной безопасности начинает мешать доступности, возникает конфликт.
ИТ-специалисты мыслят категориями доступности и непрерывности. Им важно, чтобы серверы не падали, сайт работал быстро, а сотрудники получали доступ к ресурсам в минимальные сроки. Их главные метрики — скорость и стабильность. Сфера информационных технологий для них — это развитие, внедрение современных инструментов, автоматизация бизнес-процессов.
ИБ же мыслит категориями рисков. Область информационной безопасности охватывает не только цифровые активы, но и процессы, персонал, физическую защиту. Поэтому каждый новый доступ или изменение в инфраструктуре они рассматривают как потенциальную угрозу безопасности информационной системы. Их задача — не допустить реализации этой угрозы.
Кейс: ввод нового сотрудника
В компании, где взаимодействие между отделами не выстроено, процесс выглядит так: кадровик направляет запрос в ИТ, специалист создает учетную запись и выдает доступ ко всем общим ресурсам, чтобы не задерживать работу. Сотрудник приступает к обязанностям.
Обеспечение информационной безопасности в такой схеме отсутствует или сводится к формальностям. Не применяются меры информационной безопасности, которые должны начинаться еще до выдачи доступа. Политика информационной безопасности не разделяет, к каким данным имеет доступ каждая должность. Требования информационной безопасности не соблюдаются, а безопасность данных информационных систем не контролируется.
Когда ИТ и информационная безопасность действуют разрозненно, возникают реальные угрозы: утечка баз, несанкционированный доступ, удаление критических данных. Безопасностьсистем держится на энтузиазме, а не на системных мерах.
Грамотный подход предполагает параллельную работу, где подразделения ИТ и ИБ действуют по единому регламенту:
1. ИТ получает заявку от кадровиков.
2. Специалист по ИБ проверяет, соответствуют ли запрашиваемые доступы должностным обязанностям сотрудника
3. Применяются средства информационной безопасности (DLP-система и матрица доступов) начинают контролировать действия новичка, особенно на испытательном сроке.
4. Юридические обязательства (например, NDA) фиксируются заранее.
Конфликт снимается не победой одной из сторон, а наличием правил, утвержденных бизнесом.
Три модели ИТ и ИБ
То, как выстраиваются отношения между ИТ и информационной безопасностью, напрямую зависит от организационной структуры.
ИБ в составе службы безопасности (СБ)
Классическая модель, где информационная безопасность подчиняется руководителю, отвечающему за физическую безопасность и пропускной режим.
● Плюс: жесткая вертикаль и дисциплина.
● Минус: непонимание технологической специфики.
Требования формулируются на языке «запретить и не пускать», что вызывает сопротивление ИТ. Безопасность информационной инфраструктуры страдает от разрыва между режимными мерами и техническими возможностями, которые зачастую приходится подстраивать под появившиеся задачи, что и влечет за собой огромный пласт нарушений в сфере информационной безопасности.
ИБ внутри ИТ
В этом случае отдел безопасности встроен в службу информационных технологий.
● Плюс: безопасники начинают учитывать технологические сроки, проще договариваться о патчах и обновлениях.
● Минус: информационная безопасность не может сказать «нет» своему руководству.
При конфликте между сроками запуска и защитой приоритет отдается скорости. «Запустим, потом защитим» — типичное решение, ведущее к рискам штрафов и утечек. Развитие информационных технологий ускоряется, но нарушение требований к информационной безопасности влечет за собой все более вероятные риски для бизнеса.
ИБ как отдельная вертикаль
Наиболее сбалансированный вариант: информационная безопасность и ИТ находятся на одном уровне и подчиняются первому лицу или совету директоров
● Плюс: независимая оценка рисков, возможность отклонять опасные изменения.
● Минус: при отсутствии выстроенных процессов ИТ и ИБ, четкого регламента взаимодействия между отделами и готовых ролевых моделей ИТ и ИБ подразделений возникает риск эскалации конфликта до полной остановки бизнес-процессов.
Кто принимает решение при разногласиях?
Когда позиции ИТ и информационной безопасности расходятся, арбитром выступает держатель активов — бизнес. Это не абстрактная формула, а конкретный механизм принятия решений.
Пример: компания разработала новый сайт с личным кабинетом. Ожидаемая прибыль от запуска — 10 миллионов рублей. ИТ готовы к запуску, все настроено. Информационная безопасность требует остановиться: сайт не проходил проверку на уязвимости, нет гарантий защиты персональных данных. Потенциальные потери при утечке — 100 миллионов рублей с учетом штрафов и репутационного ущерба.
ИТ аргументируют: каждый день отсрочки обходится в 100 тысяч упущенной прибыли. Они готовы проверять безопасность уже после запуска, в рабочем режиме.
В этой ситуации ни ИТ, ни ИБ не могут навязывать свое решение. Их задача — предоставить бизнесу аргументы за и против, а владелец оценивает риски и принимает взвешенное решение. Например, запустить сайт с условием, что все уязвимости фиксируются и устраняются без остановки сервиса, а ИБ переходит в режим непрерывного мониторинга. Угроза безопасности информационной системы может реализоваться в любой момент, но именно бизнес определяет баланс между потенциальной прибылью и возможными потерями.
Цена бездействия
Среди владельцев малого и среднего бизнеса распространено убеждение: «нас не взломают» или «сначала сделаем, потом наймем безопасника». Это ложное чувство безопасности. Когда компания растет, а процессы не выстроены, стоимость последующего внедрения защиты оказывается многократно выше.
Штрафы от регуляторов (ФСТЭК, Роскомнадзор) за утечку персональных данных или несоответствие требованиям информационной безопасности по 152-ФЗ и 149-ФЗ могут достигать миллионов. А репутационные потери после утечки часто несоизмеримы с любыми прямыми затратами.
Проактивная безопасность, которую внедряет СофтБаланс строится на принципе параллельной работы, а не противостояния ИТ и ИБ. Аудит безопасности информационной структуры проводится до того, как возникли проблемы. Специалист по информационной безопасности анализирует инфраструктуру, проверяет политики и организационно-распорядительные документы (ОРД), оценивает соответствие требованиям, которые предоставляет законодательство, и лучшим практикам рынка.
Для службы информационных технологий такой аудит дает ясную картину:
● какие объекты информационной безопасности защищены недостаточно,
● какие средства защиты информации (иначе СЗИ) требуют донастройки,
● где технически инфраструктура находится на должном уровне.
● Специалисты ИТ и ИБ структур и их процессы начинают работать по единым правилам.
Развитие информационной безопасности становится не статьей расходов, а инвестицией в стабильность. А информационные технологии в профессиональной деятельности получают пространство для развития без постоянных аварийных остановок.
Как выстроить взаимодействие
Чтобы конфликт ИТ и информационной безопасности не мешал бизнесу, необходимы три условия.
1. Четкие границы ответственности
В компании должен действовать регламент взаимодействия подразделений ИБ и ИТ. В нем фиксируется, на каком этапе создания продукта подключается безопасность, какие документы требуются для согласования, кто принимает итоговое решение по тем или иным вопросам. Процессы ИТ и ИБ становятся предсказуемыми для всех участников.
2. Независимая оценка
Когда ИБ находится внутри ИТ, объективная оценка рисков невозможна. Самый эффективный способ — вывести информационную безопасность в отдельную параллельную вертикаль, с аналогичным выходом до уровня первых лиц, которые и должны принимать итоговое решение. Специалист по информационной безопасности из сторонней организации не участвует во внутренних противоречиях и дает объективные рекомендации, понятные и бизнесу, и ИТ.
3. Единые стандарты работы
Инструменты вроде CIS Controls, методологии MITRE ATT&CK, OWASP, PTES позволяют говорить на одном языке. Они упрощают внедрение и подходят для бизнеса любого размера.
Команда sbsecurity специализируется на внедрении таких подходов без потери гибкости бизнеса. Наш подход основан на международных стандартах и адаптирован под российский бизнес:
● Надзор в сфере информационных технологий перестает быть проблемой и становится управляемым процессом.
● Департамент информационных технологий получает свободу для развития.
● Информационная безопасность из источника конфликтов превращается в инструмент устойчивости.
Вместо заключения
Вопрос «кто главный» в паре ИТ и ИБ — это ловушка. Если главный ИТ, бизнес работает быстро, но постоянно рискует утечками и штрафами. Если главный ИБ, бизнес задыхается в запретах и теряет гибкость.
Главный — это бизнес. Но не в том смысле, что он может отдать команду и разойтись, а в том, что он создает среду, где информационные технологии и информационная безопасность не конкурируют, а дополняют друг друга. Безопасность встраивается в процессы на этапе проектирования, а не на этапе «все сломалось». Для владельцев малого и среднего бизнеса это означает: не нужно выбирать между скоростью и защитой, достаточно выбрать партнеров, которые умеют обеспечивать и то, и другое одновременно.