О создании правильной структуры ИТ-безопасности с точки зрения руководителя ИБ

Поговорим о создании правильной структуры служб информационной безопасности (ИБ), экономической безопасности (ЭБ) и информационных технологий (ИТ) и проблемах взаимоотношений этих служб в банке с позиции руководителя ИБ.

Зададимся вопросом: в каких пропорциях службы ЭБ и ИБ, а, заодно, и ИТ должны быть представлены в штатной структуре современного, некрупного банка, решившего взять курс на цифровые технологии?

Констатируем как данность — современные банки переживают исключительно негативные встряски: дешевых заемных средств нет, выручка падает, конкуренция растет, рынок ускользает. У банков остается только один актив – данные о клиентах. Чтобы двигаться в том направлении, куда диктует текущая рыночная ситуация, от банков требуется структурная гибкость, подразумевающая радикальный пересмотр обязанностей и полномочий разных подразделений, в том числе служб: ИТ, ЭБ и ИБ.

Если предпосылок для технологических изменений нет, то структура названных выше служб в обычном банке может не меняться годами.

Кто должен развернуть кредитную организацию в правильном направлении и быть инициатором технологических и, как следствие, структурных изменений? Конечно же бизнес в лице топ-менеджмента банка. Кто у бизнеса, как правило, в советниках? Директор по ИТ и директор по общей безопасности.

Как вы думаете, какое направление охотнее всего будет продвигать и поддерживать директор по общей безопасности (выходец из МВД), в подчинении у которого экономическая и информационная безопасность? Правильно - то, которое он лучше знает и понимает — экономическую безопасность. Это понимание руководителя материализуется в зарплатах, премиях, продвижении по карьерной лестнице безопасников. ИБ в данной ситуации — пасынок общей безопасности в банке.

Возможно, на определенном этапе развития, когда в штате банка на 6 специалистов по ИБ приходилось 60 "бывших оперативников/следователей", занимающихся ЭБ, такая штатная структура и была оправдана теми задачами, которые решал банк: оценка платежеспособности клиентов, возврат долгов, мониторинг залогов, внутренняя безопасность. Но вряд ли подобная структура соответствует современным требованиям для обеспечения высокого уровня обслуживания клиентов. В конце концов, устаревшая структура станет тормозом на пути цифровой трансформации банка, подразумевающей мобильность, удобство цифровых сервисов, удаленную идентификацию клиентов, автоматизацию работы с кредитными задолженностями и так далее.

Описанная выше структура с перекосом в ЭБ приводит к тому, что информационной безопасности отводится сервисная функция поддержки экономической безопасности. В результате банк получает ИБ, которая не выполняет свою основную функцию.

Вывод: Чтобы разные направления безопасности (ЭБ и ИБ) функционально соответствовали потребностям и задачам банка в советниках у топ-менеджмента банка обязательно должен быть или директор по ИБ, или другой "переводчик", который сможет построить диалог между ИБ-службой и топ-менеджментом банка.

А чем озабочен директор по ИТ того же некрупного банка? Какова его роль в инициировании процессов изменений?

В условиях значительного роста ИТ-инфраструктуры на фоне оптимизации численности персонала (на ИТ-персонале экономят в первую очередь) главная головная боль ИТ-директора - обеспечение бесперебойной работы ИТ-сервисов банка имеющимся штатом сотрудников.

Для ИТ-службы некрупного банка наличие антивируса и межсетевого экрана — уже выше крыши (сопровождает то, как правило, ИТ). А то, что каждая новая ИТ-технология порождает новые уязвимости и векторы атак — не зона ответственности ИТ. Таким образом требуется, чтобы ИТ- и ИБ-службы дополняли друг друга и тесно взаимодействовали. Если не налажен диалог между этими службами, то неизбежен рост скрытых рисков до состояния полной неустойчивости.

Что в результате имеем?

Бизнес увеличил риски, а ИТ- и ИБ-службы снизили свою эффективность ровно в тот момент, когда в погоне за оптимизацией затрат были сокращены все издержки на поддержку, модернизацию и безопасность собственной информационной инфраструктуры.

Бизнес увеличил риски, а ИБ-служба снизила свою эффективность, когда у нее не хватило смелости говорить об иллюзии контроля безопасности существующей информационной инфраструктуры, отвечающей требованиям десяти- двадцатилетней давности. Масштаб современных кибератак: крупномасштабных, многовекторных диктует потребность в современных средствах защиты, а не в тех, что были актуальны на рубеже 2000‑х.

Бизнес увеличил риски, а ИБ-служба снизила свою эффективность, когда не преодолела сопротивление ИТ по вопросу замены не отвечающего современным требованиям антивируса, внедрения механизмов устранения уязвимостей, замены старого межсетевого экрана и других стратегических изменений информационной инфраструктуры. Так как только на ИБ лежит бремя доказательств ненадежности существующей ИТ-инфраструктуры, а не на том, кто защищает её статус-кво (читай: директоре по ИТ).

Все, по идее, должны это осознавать. Но осознание приходит только с пониманием последствий при оценке рисков (прежде всего у бизнеса в лице топ-менеджмента банка).

Вывод: конфликт интересов движет любой компанией и только бизнес через оценку рисков может задавать курс на создание каждый раз новой более гибкой структуры.