«Во взаимодействии с бизнесом подразделению ИБ важно уметь себя "продать"»

BIS Journal №3(50)2023

27 июля, 2023

«Во взаимодействии с бизнесом подразделению ИБ важно уметь себя "продать"»

Общее количество киберинцидентов в России, по данным компании Positive Technologies, в 2022 году увеличилось на 21%. Это связано как с возросшим напряжением в киберпространстве, ростом рынка киберпреступности, так и с активизацией хактивистов. Компании всех отраслей экономики и государственные организации в целях защиты от киберугроз данных и средств своих клиентов вынуждены наращивать вложения в инфраструктуру информационной безопасности (ИБ). Однако специалистам в области ИБ из-за специфики своей работы не всегда удаётся доступно донести информацию о киберрисках и обосновать выделение бюджетов на минимизацию угроз. О том, как построить эффективное сотрудничество между бизнесом, службами ИТ и ИБ, в интервью нашему изданию рассказала директор департамента развития технологий банковских процессов ИТ-дирекции Московского кредитного банка (МКБ) Рамиля Яруллина.

 

О СПЕЦИФИКЕ РАБОТЫ ДЕПАРТАМЕНТА

— Расскажите, пожалуйста, что входит в задачи вашего подразделения и как строится взаимодействие ИТ с подразделением информационной безопасности?

— В основные задачи моего департамента входит реализация стратегических проектов и взаимодействие с сервисными подразделениями. Моя команда работает на стыке различных бизнесов банка и дирекции информационных технологий (ДИТ). Мы выявляем потребности бизнес-заказчиков, формируем функциональные команды, осуществляем мониторинг и контроль оптимального использования ресурсов ДИТ, стоимости команд, доработок, а также учитываем планируемые и выполненные доработки, осуществляем план-факт-анализ и контролируем выполнение KPI’s. 

ДИТ и департамент информационной безопасности (ДИБ) в МКБ — это два различных самостоятельных подразделения. Все без исключения бизнес-проекты банка проходят экспертизу на соответствие требованиям в области информационной безопасности и запускаются только после одобрения коллег из ДИБ. При этом мы тесно сотрудничаем с коллегами из ДИБ, много общаемся, прекрасно понимаем особенности работы друг друга.

— Какие, на ваш взгляд, наиболее специфичные моменты в работе служб информационной безопасности?

— В первую очередь это закрытость и непрозрачность, что вполне понятно и обоснованно. Но именно это и является ключевым препятствием для того, чтобы бизнес-подразделения выделяли требуемые средства на обеспечение информационной безопасности. Поэтому бизнес-заказчику важно раскрыть данные о том, какие структуры информационной безопасности надо будет привлечь, трудоёмкость процессов и процедур. Где и какие риски существуют при реализации данного проекта или выводе продукта, какие будут последствия в случае реализации этих рисков. Причём показать надо на жёстких жизненных примерах, а затем всё это оцифровывать, перевести в деньги.

Рамиля Яруллина, директор департамента развития технологий банковских процессов ИТ-дирекции Московского кредитного банка (МКБ)

 

КАК ЛУЧШЕ РАССКАЗАТЬ ОБ ИБ БИЗНЕСУ

— Мне казалось, что сегодня уже никому не надо доказывать необходимость внедрения механизмов информационной защиты…

— Верно, но бизнес есть бизнес: его задача — снизить издержки и максимизировать прибыль, а задача служб информационной безопасности — минимизировать риски взломов, утечек и т. п. Поэтому таким службам тоже важно уметь себя продавать. Я начинаю с того, что рассказываю о себе в формате: кто мы такие, чем занимаемся и за что отвечаем, в чём конкретно заключается наша работа. Прекрасно работает геймификация, когда раскрывают в кейсах, на живых примерах, как происходят те или иные негативные события и почему. 

Важно погрузить бизнес-заказчиков в метрики информационной безопасности. Бизнес, конечно, больше всего интересует вопрос: мы вложили в это деньги, и что? Ничего не случилось, значит, можно на этом в следующий раз сэкономить? Нельзя. Почему? Обо всём этом надо терпеливо рассказывать, потому что, как бы ни был высок авторитет вашей службы информационной безопасности, бизнес-заказчики абсолютно не знают специфики этой работы, её кропотливости и масштабов. 

— Какие ещё усовершенствования вы бы порекомендовали внедрить в работу служб информационной безопасности для упрощения?

— Я рекомендую обязательно включать менеджеров в команду службы информационной безопасности. Это должны быть не аналитики и не специалисты в области инфобеза, а именно управленцы, которые будут выстраивать проектные команды, планировать бюджет и контролировать его выполнение, а также контролировать сроки и метрики выполнения определённых задач. 

 

КАК ВЫСТРОИТЬ ВЗАИМОДЕЙСТВИЕ

— Как в вашем банке строится взаимодействие служб ИТ, ИБ и различных бизнес-направлений?

— У нас уже пятый год работает следующая схема взаимодействия ИТ с бизнес-блоками: к каждому блоку прикреплён ИТ-бизнес-партнёр, который выстраивает абсолютно все коммуникации между ДИТ и бизнес-подразделениями банка. По такой же модели в последние годы идёт и взаимодействие с ДИБ: в его структуре появились ИБ-бизнес-партнёры. 

ИБ-бизнес-партнёры анализируют бизнес-процессы курируемых подразделений, дают рекомендации, что и как можно улучшить с точки зрения информационной безопасности, получают обратную связь от бизнесов. Кроме того, участвуют во всех рабочих группах для того, чтобы оперативно предоставлять свои комментарии по тем или иным инициативам бизнес-заказчиков, находить оптимальные решения в сложных и спорных ситуациях. 

— Правильно понимаю, что ИБ-бизнес-партнёр является как бы связующим звеном между бизнес-блоками и службой информационной безопасности?

— Верно, ИБ-бизнес-партнёры, вникая во все проблемы и боли бизнесов, не только доносят их до коллег из ДИБ и выстраивают обратную связь, но и координируют работу узкопрофильных специалистов ДИБ, расставляют приоритеты и контролируют сроки выполнения задач, а также метрик эффективности.

 

О КАРЬЕРЕ

— Расскажите, пожалуйста, о себе, давно ли работаете в ИТ-сфере, как складывался ваш путь в профессию?

— Я окончила Финансовый университет при Правительстве РФ по специальности «финансовый менеджмент» и МГУ им. М. В. Ломоносова по специальности «психофизиология». Карьеру начала, ещё будучи студенткой. В банках работаю с 2013 года. В банке «Открытие» вела крупные проекты по автоматизации требований регулятора, юридическому объединению двух банков, ИТ-интеграции финансовых организаций. Затем руководила направлением развития бизнес-процессов и технологий. В начале 2018 года стала директором департамента координации и анализа бизнеса в банке ВТБ, а в декабре 2018-го присоединилась к команде МКБ в должности директора департамента развития технологий банковских процессов на задачи по трансформации ИТ.

 

Беседовала Оксана Дяченко

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

22.04.2024
Фишеры предлагают отменить «заявку на удаление Telegram»
22.04.2024
В Минпромторге обсуждают возможные субсидии для российских вендоров
22.04.2024
Уникальный международный технологический форум THE TRENDS 2.0 поднимает флаг инноваций «снизу»
22.04.2024
Мишустин дал старт эксперименту с е-студенческими и е-зачётками
22.04.2024
Россия экспортирует «пластик» в Иран
22.04.2024
Proton Mail найдёт вас в даркнете. Но не бесплатно
19.04.2024
Банкиры просят продлить сроки импортозамещения «инософта»
19.04.2024
Россияне смогут получить ЭП за пределами страны
19.04.2024
В России появится консорциум по кибербезопасности ИИ
19.04.2024
Сразу несколько мессенджеров пропали из китайского App Store

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных