Усилить роль ИБ на предприятии задача непростая, но вполне реальная. Как это сделать на примере собственной организации рассказал директор по кибербезопасности «Сегежа групп» Максим Королев в рамках конференции IT Security Day 2021.
«Доля информационного безопасника в промышленной компании резко отличается от участи в финансовом секторе, потому что наша деятельность практически не регламентирована. Поэтому безопаснику приходится доказывать необходимость своего существования достаточно жестко», — отметил Максим Королев.
Чтобы понять, как нужно отвоевывать свое «место под солнцем» спикер предложил взглянуть на главных действующих лиц в этой ситуации. И первый важный человек — это руководитель компании. Для него являются важными семь факторов: производительность, удовлетворенность, прибыльность, качество, инновации, развитие организации, развитие сотрудников. Как видно, информационной безопасности в этом списке нет.
Второй человек в схеме — руководитель ИТ-подразделения. Помимо вышесказанного для него являются важными следующее: цифровизация, ИИ, машинное обучение, компьютерное зрение, роботизация, беспроводные технологии, гетерогенные среды, эффективная аналитика, интернет вещей. Информационной безопасности здесь также нет.
Что является головной болью информационного безопасника? Это рост количества кибератак, рост количества уязвимостей, так как появляется все больше информационных систем, рост количества атак нулевого дня, которые гарантированного не защищаются текущими средствами защиты, и значительный рост атак на объекты АСУ ТП, если у вас индустриальное предприятие.
«Мы видим, что векторы зрения и развития ИБ и ИТ разнонаправленные, поэтому если информационная безопасность находится под управлением директора или вице-президента по ИТ, то ее участь незавидна. Поэтому эффективно разместиться в смежном подразделении, желательно, чтобы это было достаточно весомое политически подразделение. Например, в нашей компании мы подчиняемся вице-президенту по безопасности. Это имеет свою специфику, но в общем-то достаточно хорошо», — сказал Максим Королев.
Но как повысить значимость ИБ для руководителя компании и ИТ-подразделения? По словам спикера, в случае с руководителем компании поможет риск-менеджмент. «В принципе для любого руководителя понятно, что после успешной атаки шифровальщиков простой может составлять неделю-две. А простой в неделю — это потеря 2% времени на основные бизнес-процессы и как минимум 1% от оборота. В качестве примеров можно показать Maersk, который в 2017 году был атакован, его ущерб составил 300 млн долларов, или Garmin, который в прошлом году атаковали шифровальщики, ущерб 10 млн долларов. То есть для любого руководителя это цифры имеют значение», — пояснил эксперт.
Второй момент — это нарушение законодательства и штрафы. Если вы работаете в Евросоюзе или у вас работают граждане Евросоюза, то вы обязаны соблюдать GDPR. Штраф за его нарушение может составлять до 4% от оборота компании. Яркие примеры это в 2019 году Google был оштрафован на 50 млн евро, в 2020 году — это H&M на 35 млн евро. Цифры понятные любому руководителю.
«Утечка конфиденциальной информации — тут сугубо индивидуально, у любого руководителя есть чувствительная информация, он понимает, что будет, если она окажется в ненужных руках. Также это поддается оцифровке, но более сложно. То есть у нас пример есть, когда работник, который планировал увольняться, из проектного института скопировал себе свои наработки, пытался их унести. Их можно было оцифровать, посчитать трудоемкость их создания, то есть несколько миллионов рублей, но все же», — рассказал Максим Королев.
После того, как руководство компании на вашей стороне, переходим к ИТ. «Чтобы понимать, чем ИТ планирует заниматься, делать это на ранних стадиях, мы должны встроиться в основные процессы принятия решений — это согласование инвест-проектов и согласование договоров. На этом этапе у нас должен быть блокирующий голос и без ИБ-шной составляющей эти проекты не должны двигаться дальше. После того встраиваемся в еще ряд процессов. После того, как мы это сделали, мы обладаем информацией — теперь нужно продемонстрировать свои, скажем так, силовые возможности», — поделился спикер.
По его словам, здесь ИТ должно понимать, что невыполнение требований информационной безопасности повлечет однозначно за собой какие-то последствия. Поэтому можно выносить предписания и требовать их устранения — если этого не происходит, нужно выходить на уровень руководителя компании и объяснять, что риски могут реализоваться.
«После этого ИТ видят в нас значимую фигуру. И мы добавляем туда такую вишенку на тортик — мы становимся им помощником в их процедурах, так как в информационной безопасности по сути работают специалисты, которые являются профессионалами в ИТ-области. И так как нехватка ресурсов есть как и у нас, так и у ИТ-шников, в какие-то форс-мажорные моменты мы подключаемся и помогаем им в рамках решения таких вопросов. После этого ИТ видит в нас партнера. И наиболее значимым будет являться то, что ИТ (вице-президент по ИТ или кто-то отвечающий) придет к нам и еще заблаговременно начнет обсуждать какие-то инновации», — заключил Максим Королев.
BIS Journal — информационный партнёр конференции IT Security Day 2021.
