понедельник, 14 мая 2018 г.

О создании правильной структуры ИТ-безопасности с точки зрения руководителя ИБ



Поговорим о создании правильной структуры служб информационной безопасности (ИБ), экономической безопасности (ЭБ) и информационных технологий (ИТ) и проблемах взаимоотношений этих служб в банке с позиции руководителя ИБ.
Зададимся вопросом: в каких пропорциях службы ЭБ и ИБ, а, заодно, и ИТ должны быть представлены в штатной структуре современного, некрупного банка, решившего взять курс на цифровые технологии?
Констатируем как данность — современные банки переживают исключительно негативные встряски: дешевых заемных средств нет, выручка падает, конкуренция растет, рынок ускользает. У банков остается только один актив – данные о клиентах. Чтобы двигаться в том направлении, куда диктует текущая рыночная ситуация, от банков требуется структурная гибкость, подразумевающая радикальный пересмотр обязанностей и полномочий разных подразделений, в том числе служб: ИТ, ЭБ и ИБ.
Если предпосылок для технологических изменений нет, то структура названных выше служб в обычном банке может не меняться годами.
Кто должен развернуть кредитную организацию в правильном направлении и быть инициатором технологических и, как следствие, структурных изменений? Конечно же бизнес в лице топ-менеджмента банка. Кто у бизнеса, как правило, в советниках? Директор по ИТ и директор по общей безопасности.
Как вы думаете, какое направление охотнее всего будет продвигать и поддерживать директор по общей безопасности (выходец из МВД), в подчинении у которого экономическая и информационная безопасность? Правильно - то, которое он лучше знает и понимает — экономическую безопасность. Это понимание руководителя материализуется в зарплатах, премиях, продвижении по карьерной лестнице безопасников. ИБ в данной ситуации — пасынок общей безопасности в банке.
Возможно, на определенном этапе развития, когда в штате банка на 6 специалистов по ИБ приходилось 60 "бывших оперативников/следователей", занимающихся ЭБ, такая штатная структура и была оправдана теми задачами, которые решал банк: оценка платежеспособности клиентов, возврат долгов, мониторинг залогов, внутренняя безопасность. Но вряд ли подобная структура соответствует современным требованиям для обеспечения высокого уровня обслуживания клиентов. В конце концов, устаревшая структура станет тормозом на пути цифровой трансформации банка, подразумевающей мобильность, удобство цифровых сервисов, удаленную идентификацию клиентов, автоматизацию работы с кредитными задолженностями и так далее.
Описанная выше структура с перекосом в ЭБ приводит к тому, что информационной безопасности отводится сервисная функция поддержки экономической безопасности. В результате банк получает ИБ, которая не выполняет свою основную функцию.
Вывод: Чтобы разные направления безопасности (ЭБ и ИБ) функционально соответствовали потребностям и задачам банка в советниках у топ-менеджмента банка обязательно должен быть или директор по ИБ, или другой "переводчик", который сможет построить диалог между ИБ-службой и топ-менеджментом банка.
А чем озабочен директор по ИТ того же некрупного банка? Какова его роль в инициировании процессов изменений?
В условиях значительного роста ИТ-инфраструктуры на фоне оптимизации численности персонала (на ИТ-персонале экономят в первую очередь) главная головная боль ИТ-директора - обеспечение бесперебойной работы ИТ-сервисов банка имеющимся штатом сотрудников.
Для ИТ-службы некрупного банка наличие антивируса и межсетевого экрана — уже выше крыши (сопровождают то, как правило, они). А то, что каждая новая ИТ-технология порождает новые уязвимости и векторы атак — не зона ответственности ИТ. Таким образом требуется, чтобы ИТ- и ИБ-службы дополняли друг друга и тесно взаимодействовали. Если не налажен диалог между этими службами, то неизбежен рост скрытых рисков до состояния полной неустойчивости.
Что в результате имеем?
Бизнес увеличил риски, а ИТ- и ИБ-службы снизили свою эффективность ровно в тот момент, когда в погоне за оптимизацией затрат были сокращены все издержки на поддержку, модернизацию и безопасность собственной информационной инфраструктуры.
Бизнес увеличил риски, а ИБ-служба снизила свою эффективность, когда у нее не хватило смелости говорить об иллюзии контроля безопасности существующей информационной инфраструктуры, отвечающей требованиям десяти- двадцатилетней давности. Масштаб современных кибератак: крупномасштабных, многовекторных диктует потребность в современных средствах защиты, а не в тех, что были актуальны на рубеже 2000‑х.
Бизнес увеличил риски, а ИБ-служба снизила свою эффективность, когда не преодолела сопротивление ИТ по вопросу замены не отвечающего современным требованиям антивируса, внедрения механизмов устранения уязвимостей, замены старого межсетевого экрана и других стратегических изменений информационной инфраструктуры. Так как только на ИБ лежит бремя доказательств ненадежности существующей ИТ-инфраструктуры, а не на том, кто защищает её статус-кво (читай: директоре по ИТ).
Все, по идее, должны это осознавать. Но осознание приходит только с пониманием последствий при оценке рисков (прежде всего у бизнеса в лице топ-менеджмента банка).
Вывод: конфликт интересов движет любой компанией и только бизнес через оценку рисков может задавать курс на создание каждый раз новой более гибкой структуры.

Комментариев нет:

Отправить комментарий