CISO Форум о внутренней кухне ИБ: практика, бизнес, законы и «облака»
Высокий сезон конференций по ИБ завершается и апрельский CISO Форум можно рассматривать как своеобразную отчётную конференцию. Его гости встретились с более чем полусотней экспертов из банковской сферы, промышленности, торговли, из отечественных компаний и российских представительств компаний иностранных, с теми, кто «под санкциями», и с теми, кому ещё предстоит попасть в этот переплёт, с операторами персональных данных и с теми, кто таковыми себя не считают.
На CISO Форум 2019 руководители-«безопасники» отвечали на вопросы экспертов на панельных дискуссиях и «круглых столах», эксперты произносили доклады и проводили мастер-классы для руководителей службы ИБ и их подчинённых, а участники выставочной экспозиции рассказывали, что эффективнее купить, как приобретённое быстро и правильно развернуть и успешно использовать.
Сухой остаток от услышанного и от увиденного не слишком оптимистичен. Импортозамещение пробуксовывает, отечественные средства ИБ сыроваты, по-настоящему закрыться от киберугроз исключительно российским щитом не удаётся. Тем более, что внутри периметра – зарубежный «офис» и сотрудники, чью тщательно взращиваемую корпоративную киберпаранойю успешно «лечат» внешние рекламные посулы «цифровой экономики», призывающие работать в один клик.
Российский рынок ИБ – это единицы процентов от зарубежного, что плохо для отечественных вендоров.
Психология же бизнеса такова, что угроза ИБ с вероятностью менее 100% рассматривается ЛПРом как угроза с вероятностью «орёл/решка», а значит «пока гром не грянет, …». В результате в стране проекты по информационной безопасности зачастую конкурируют за бюджет не между собой, с бизнес‐проектами. Поэтому одной из центральных тем на форуме был рассказ о продажах ИБ-проектов внутри компании. А эта тема сопровождалась консультациями о том, как вырастить в себе руководителя-«безопасника» и эффективно искать работу, в том числе за рубежом.
Центральной правовой темой стало обсуждение «комплаенса» в связи с 152-ФЗ, ведь каждая компания имеет кадровую службу и сайт. Мастер-класс Алексея Плешакова из Газпромбанка вылился в информативный интерактив с аудиторией и обмен «премудростями» касательно реагирования на недомолвки законодательства о персональных данных.
На одном из потоков довольно ожидаемо обсуждались нашумевшие кибератаки последних лет и рецепты, позволившие эти угрозы преодолеть. Столь же предсказуемым был интерес к мастер-классу Алексея Лукацкого, проведённому в формате киберучений.
Темой, давно интересной бизнесу и пока не получившей внятной оценки со стороны, являются «облачные» технологии ведения дел. Публичные и гибридные «облака» позволяют существенно повысить эффективность бизнеса. Однако даже при наличии классического периметра современная мобильность сотрудников и дистанционные технологии общения с клиентами доставляют массу забот «безопасникам». На форуме эта тема была раскрыта в контексте опыта компании Check Point, предлагающей платформу Check Point Infinity и сервисы CloudGuard для безопасного освоения «динамичных ИТ‐сред». Из сказанного ясно, что при работе с «облаками» проблемы «общей ИБ» могут тесно переплетаться с проблемами импортозамещения, для решения которых пора сформулировать внятную технологическую программу со сроками и ответственными. Так считают многие участники форума.
.jpg)
.jpg)
