Однажды за чашкой чая друг поделился болью. Он работает в крупной финансовой компании. Его команда запускала новый продукт — мобильное приложение для клиентов. Всё было готово: интерфейс, код, тесты пройдены. Осталось последнее — согласование с департаментом информационной безопасности.
И тут началось то, что я называю «танцы с бубнами вокруг священных тотемов ИБ».
Сначала им вернули документы с комментарием: «Недостаточно проработаны аспекты защиты». Какие именно? «Все». После двух недель уточнений выяснилось, что разработчики должны подготовить документацию по 14 дополнительным пунктам, большинство из которых относились к гипотетическим угрозам с вероятностью реализации около 0,001%.
«Вы понимаете, что задержка запуска на месяц обойдётся компании примерно в 20 миллионов рублей упущенной прибыли?» — спросили у руководителя ИБ.
Его ответ убил наповал: «А вы понимаете, что один инцидент безопасности может обойтись в 100 миллионов?»
Вопрос «откуда взялась эта цифра» так и остался без ответа.
Корень проблемы: разные системы координат
Позже я понял, что проблема гораздо глубже, чем просто бюрократия или личные амбиции. Дело в фундаментально разных системах координат.
Бизнес-подразделения живут в мире конкретных целей: выручка, прибыль, доля рынка, удовлетворённость клиентов. У этих показателей есть чёткие метрики, по которым оценивается эффективность работы.
Подразделение ИБ существует в иной реальности. Их основная задача — предотвращение негативных событий, то есть того, что не случилось. Как измерить то, чего нет? Как доказать, что именно твои действия привели к тому, что нечто не произошло?
Неудивительно, что безопасники создают собственную систему метрик: количество «отражённых атак», число выявленных уязвимостей, процент сотрудников, прошедших обучение по ИБ. Эти цифры впечатляют руководство, но редко коррелируют с реальной защищённостью бизнеса.
«В прошлом месяце мы предотвратили три миллиона атак», — с гордостью сообщил CISO на совещании. Когда у него спросили, что именно считается «атакой», выяснилось, что 99,9% из них — это автоматизированное сканирование портов, которое блокируется стандартным межсетевым экраном без какого-либо участия сотрудников ИБ.
Пока праздновали эту «победу», реальный фишинг, нацеленный на финансового директора, остался незамеченным.
Синдром «хвост виляет собакой»
С ростом цифровизации бизнеса влияние службы ИБ только усиливается. И зачастую это приводит к парадоксальной ситуации: подразделение, созданное для обеспечения работы бизнеса, начинает им управлять.
В филиале банка, где я работал, существовало правило: «Коммерческое предложение не должно содержать точных процентных ставок». Причина? «Потенциальная утечка конфиденциальной информации». Исходящие письма реально мониторили, и нарушителей наказывали.
— Хорошо, — спросил я у главного по ИБ, — а как тогда сотрудники должны сообщать клиентам условия сделки?
— При личной встрече.
— А если клиент в другом городе?
— Можно по защищённой почте.
— Но это платная услуга для действующих клиентов, а тут идут переговоры с новым клиентом.
— Моя задача — не допустить утечки информации, а не организовывать работу с клиентами.
Такие диалоги стали обыденностью. Продажи падали, клиенты уходили к конкурентам, но отдел ИБ праздновал победу: ни одной утечки процентных ставок! В конце концов сотрудники отдела по работе с клиентами стали согласовывать процентные ставки с клиентами через WhatsApp с личных телефонов.
Постепенно я стал замечать, что до 40% рабочего времени менеджеры тратят не на работу с клиентами, а на разработку способов обойти бессмысленные запреты. Или, что ещё хуже, на «аппаратные войны» — бесконечные совещания, где бизнес-подразделения пытаются объяснить ИБ-специалистам основы ведения бизнеса.
Священное право не закрывать задачи
Особенно ярко этот конфликт проявляется в отношении к обычным рабочим процессам. Если любое другое подразделение обязано отчитываться о выполнении задач, соблюдать сроки и следовать регламентам, то ИБ существует как будто вне этой системы.
Со мной поделились случаем, когда подразделение разработки месяц ждало ответа на простой вопрос: можно ли использовать определённую библиотеку в проекте? Задача в системе трекинга висела без движения, напоминания игнорировались.
Когда главный по разработке наконец поймал ответственного сотрудника ИБ в коридоре, тот искренне удивился: «А зачем мне закрывать эту задачу? Моя работа — выявлять риски, а не помогать вам запускать непроверенный код».
Показательно, что в этой же компании за просроченную на день отчётность могли лишить премии, но за висящие месяц задачи ИБ никто не получал даже устного замечания.
Истоки культурного разрыва
Чтобы понять, откуда берётся такое поведение, стоит взглянуть на эволюцию роли ИБ-подразделения в компании.
В начале XXвека в крупных компаниях появилась должность «заместитель по электрификации». Это был человек, понимающий таинственную силу электричества, от которой зависело функционирование предприятия. К его мнению прислушивались, его рекомендации выполняли беспрекословно, ведь альтернативой могла быть остановка производства или даже пожар.
В начале XXIвека аналогичную роль получили ИТ-директора. Они говорили на непонятном языке серверов, баз данных и программных интерфейсов. Постепенно, однако, технологии стали более понятными, а ИТ-директора научились говорить на языке бизнеса.
Сегодня эстафету «таинственных хранителей корпоративных секретов» приняли CISO — руководители по информационной безопасности. Они оперируют терминами, которые звучат как заклинания для непосвящённых: «zero-day-уязвимости», «threat intelligence», «SOC», «периметр безопасности».
Эта таинственность вкупе с регулярными новостями о разрушительных кибератаках создаёт питательную среду для формирования особой касты «корпоративных жрецов», которые не считают нужным объяснять свои решения простым смертным.
Когда безопасность становится самоцелью
Проблема усугубляется тем, что цели службы ИБ зачастую формулируются в отрыве от бизнес-целей компании. Вместо «обеспечить безопасную работу бизнес-процессов» ставится задача «минимизировать все возможные риски».
А поскольку единственный способ полностью избежать рисков — это ничего не делать, неизбежно возникает конфликт.
В банке, где работал мой институтский товарищ, служба ИБ гордилась внедрением многоуровневой системы аутентификации сотрудников. Для входа в систему требовалось пройти несколько этапов проверки, занимавших до 10 минут. Операционисты, работающие с клиентами, были в отчаянии: скорость обслуживания упала вдвое.
Когда у руководителя ИБ спросили, учитывалось ли влияние новой системы на работу фронт-офиса, он искренне удивился: «Это не моя зона ответственности. Моя задача — обеспечить безопасность».
Экономика безопасности, или Сколько стоит паранойя
В основе проблемы лежит ещё и экономический фактор. Безопасность, особенно избыточная, стоит дорого — не только в прямых затратах, но и в упущенных возможностях.
Представьте ситуацию: компания тратит 100 миллионов рублей на защиту от угрозы, вероятность реализации которой — 0,1%, а потенциальный ущерб — 200 миллионов. С точки зрения математического ожидания, это крайне невыгодная инвестиция (0,001 × 200 млн = 200 тыс. рублей).
Однако попробуйте объяснить это CISO, и вы услышите: «А если это всё-таки произойдёт? Кто будет отвечать?»
Этот аргумент — козырная карта всех безопасников. «Кто будет виноват, если...» в корпоративном мире значит гораздо больше, чем экономическая целесообразность. Именно поэтому руководители зачастую закрывают глаза на избыточные требования ИБ. Страх персональной ответственности перевешивает потенциальные бизнес-выгоды.
Возможные пути решения конфликта
Очевидно, что сложившаяся ситуация вредит бизнесу. Но как её изменить? Есть несколько подходов, которые показали свою эффективность.
1. Привязка KPI службы ИБ к бизнес-целям
В одной компании новый CEO принял радикальное решение: 50% премии сотрудников ИБ стало зависеть от выполнения общих бизнес-показателей. Эффект был поразительным — количество безосновательных запретов резко сократилось, а скорость согласования выросла в разы.
2. Количественная оценка рисков и затрат
Внедрение практики обязательного экономического обоснования требований ИБ также даёт хорошие результаты. Когда CISO обязан не просто заявлять «это небезопасно», а предоставлять конкретные расчёты вероятности угрозы, потенциального ущерба и стоимости защитных мер, многие «страшилки» оказываются экономически неоправданными.
3. Культура совместной ответственности
Важно создать в компании культуру, где безопасность — это общая ответственность, а не эксклюзивная прерогатива одного подразделения. Когда разработчики, маркетологи и операционисты понимают базовые принципы безопасности, а ИБ-подразделение — основы ведения бизнеса, возникает продуктивный диалог вместо конфронтации.
4. Сервис-ориентированный подход
Переосмысление роли ИБ как внутреннего сервиса, а не контролирующего органа меняет всю динамику взаимодействия. Вместо «запретителей» безопасники становятся консультантами, помогающими бизнесу достигать целей безопасным образом.
Заключение: баланс как ключ к успеху
За годы своей трудовой карьеры я видел компании, где безопасники парализовали бизнес-процессы, и компании, где безопасностью пренебрегали ради быстрых результатов. Ни один из этих подходов не приводил к долгосрочному успеху.
Оптимальный путь — это баланс между защитой и развитием. Безопасность должна быть достаточно строгой, чтобы защитить от реальных угроз, но не быть чрезмерной, чтобы не блокировать инновации и рост.
Достижение этого баланса — сложная задача, требующая изменения не только процессов, но и корпоративной культуры. Но компании, которым это удаётся, получают серьёзное конкурентное преимущество: они способны быстро адаптироваться к меняющемуся рынку, не подвергая себя неоправданным рискам.
Кстати, в таких компаниях безопасники закрывают свои таски вовремя. Не потому, что их заставляют, а потому что они понимают: их истинная задача — не запрещать, поощряя внутреннего вахтёра, а помогать бизнесу безопасно достигать целей.
.jpg)
.jpg)
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
.png)