Общее количество киберинцидентов в России, по данным компании Positive Technologies, в 2022 году увеличилось на 21%. Это связано как с возросшим напряжением в киберпространстве, ростом рынка киберпреступности, так и с активизацией хактивистов. Компании всех отраслей экономики и государственные организации в целях защиты от киберугроз данных и средств своих клиентов вынуждены наращивать вложения в инфраструктуру информационной безопасности (ИБ). Однако специалистам в области ИБ из-за специфики своей работы не всегда удаётся доступно донести информацию о киберрисках и обосновать выделение бюджетов на минимизацию угроз. О том, как построить эффективное сотрудничество между бизнесом, службами ИТ и ИБ, в интервью нашему изданию рассказала директор департамента развития технологий банковских процессов ИТ-дирекции Московского кредитного банка (МКБ) Рамиля Яруллина.
О СПЕЦИФИКЕ РАБОТЫ ДЕПАРТАМЕНТА
— Расскажите, пожалуйста, что входит в задачи вашего подразделения и как строится взаимодействие ИТ с подразделением информационной безопасности?
— В основные задачи моего департамента входит реализация стратегических проектов и взаимодействие с сервисными подразделениями. Моя команда работает на стыке различных бизнесов банка и дирекции информационных технологий (ДИТ). Мы выявляем потребности бизнес-заказчиков, формируем функциональные команды, осуществляем мониторинг и контроль оптимального использования ресурсов ДИТ, стоимости команд, доработок, а также учитываем планируемые и выполненные доработки, осуществляем план-факт-анализ и контролируем выполнение KPI’s.
ДИТ и департамент информационной безопасности (ДИБ) в МКБ — это два различных самостоятельных подразделения. Все без исключения бизнес-проекты банка проходят экспертизу на соответствие требованиям в области информационной безопасности и запускаются только после одобрения коллег из ДИБ. При этом мы тесно сотрудничаем с коллегами из ДИБ, много общаемся, прекрасно понимаем особенности работы друг друга.
— Какие, на ваш взгляд, наиболее специфичные моменты в работе служб информационной безопасности?
— В первую очередь это закрытость и непрозрачность, что вполне понятно и обоснованно. Но именно это и является ключевым препятствием для того, чтобы бизнес-подразделения выделяли требуемые средства на обеспечение информационной безопасности. Поэтому бизнес-заказчику важно раскрыть данные о том, какие структуры информационной безопасности надо будет привлечь, трудоёмкость процессов и процедур. Где и какие риски существуют при реализации данного проекта или выводе продукта, какие будут последствия в случае реализации этих рисков. Причём показать надо на жёстких жизненных примерах, а затем всё это оцифровывать, перевести в деньги.
Рамиля Яруллина, директор департамента развития технологий банковских процессов ИТ-дирекции Московского кредитного банка (МКБ)
КАК ЛУЧШЕ РАССКАЗАТЬ ОБ ИБ БИЗНЕСУ
— Мне казалось, что сегодня уже никому не надо доказывать необходимость внедрения механизмов информационной защиты…
— Верно, но бизнес есть бизнес: его задача — снизить издержки и максимизировать прибыль, а задача служб информационной безопасности — минимизировать риски взломов, утечек и т. п. Поэтому таким службам тоже важно уметь себя продавать. Я начинаю с того, что рассказываю о себе в формате: кто мы такие, чем занимаемся и за что отвечаем, в чём конкретно заключается наша работа. Прекрасно работает геймификация, когда раскрывают в кейсах, на живых примерах, как происходят те или иные негативные события и почему.
Важно погрузить бизнес-заказчиков в метрики информационной безопасности. Бизнес, конечно, больше всего интересует вопрос: мы вложили в это деньги, и что? Ничего не случилось, значит, можно на этом в следующий раз сэкономить? Нельзя. Почему? Обо всём этом надо терпеливо рассказывать, потому что, как бы ни был высок авторитет вашей службы информационной безопасности, бизнес-заказчики абсолютно не знают специфики этой работы, её кропотливости и масштабов.
— Какие ещё усовершенствования вы бы порекомендовали внедрить в работу служб информационной безопасности для упрощения?
— Я рекомендую обязательно включать менеджеров в команду службы информационной безопасности. Это должны быть не аналитики и не специалисты в области инфобеза, а именно управленцы, которые будут выстраивать проектные команды, планировать бюджет и контролировать его выполнение, а также контролировать сроки и метрики выполнения определённых задач.
КАК ВЫСТРОИТЬ ВЗАИМОДЕЙСТВИЕ
— Как в вашем банке строится взаимодействие служб ИТ, ИБ и различных бизнес-направлений?
— У нас уже пятый год работает следующая схема взаимодействия ИТ с бизнес-блоками: к каждому блоку прикреплён ИТ-бизнес-партнёр, который выстраивает абсолютно все коммуникации между ДИТ и бизнес-подразделениями банка. По такой же модели в последние годы идёт и взаимодействие с ДИБ: в его структуре появились ИБ-бизнес-партнёры.
ИБ-бизнес-партнёры анализируют бизнес-процессы курируемых подразделений, дают рекомендации, что и как можно улучшить с точки зрения информационной безопасности, получают обратную связь от бизнесов. Кроме того, участвуют во всех рабочих группах для того, чтобы оперативно предоставлять свои комментарии по тем или иным инициативам бизнес-заказчиков, находить оптимальные решения в сложных и спорных ситуациях.
— Правильно понимаю, что ИБ-бизнес-партнёр является как бы связующим звеном между бизнес-блоками и службой информационной безопасности?
— Верно, ИБ-бизнес-партнёры, вникая во все проблемы и боли бизнесов, не только доносят их до коллег из ДИБ и выстраивают обратную связь, но и координируют работу узкопрофильных специалистов ДИБ, расставляют приоритеты и контролируют сроки выполнения задач, а также метрик эффективности.
О КАРЬЕРЕ
— Расскажите, пожалуйста, о себе, давно ли работаете в ИТ-сфере, как складывался ваш путь в профессию?
— Я окончила Финансовый университет при Правительстве РФ по специальности «финансовый менеджмент» и МГУ им. М. В. Ломоносова по специальности «психофизиология». Карьеру начала, ещё будучи студенткой. В банках работаю с 2013 года. В банке «Открытие» вела крупные проекты по автоматизации требований регулятора, юридическому объединению двух банков, ИТ-интеграции финансовых организаций. Затем руководила направлением развития бизнес-процессов и технологий. В начале 2018 года стала директором департамента координации и анализа бизнеса в банке ВТБ, а в декабре 2018-го присоединилась к команде МКБ в должности директора департамента развития технологий банковских процессов на задачи по трансформации ИТ.
Беседовала Оксана Дяченко
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных