Что «болит» у специалиста по информационной безопасности

Служба специалиста по информационной безопасности и опасна, и трудна – помимо управления системами обеспечения информационной безопасности и реагирования на инциденты, ему приходится преодолевать череду сложностей, начиная с недовольства бизнес-подразделений из-за неудобств в работе, связанных со строгими политиками безопасности, а заканчивая ограниченными бюджетами и постоянно меняющимся законодательством с трудно выполнимыми требованиями.
Что «болит» у специалиста по информационной безопасности

У каждого безопасника могут быть свои «подводные камни» в процессе рабочей деятельности, так как во многом это зависит от деятельности организации и уровня значимости отдела по информационной безопасности, однако есть вещи, которые так или иначе касаются всех. Мы постараемся разобраться, какие преграды стоят на пути у специалистов по информационной безопасности.

ИБ vs IT

Конфликт интересов ИБ и IT уходит корнями глубоко в историю и берет свое начало с самого зарождения информационной безопасности как отдельного направления в организациях. У сотрудников IT главными задачами являются обеспечение бесперебойной работы всех сервисов и систем, а также автоматизация бизнес-процессов, в то время как служба ИБ предъявляет ко всем новинкам и улучшениям требования по безопасности, которые зачастую непросты в выполнении, в том числе с точки зрения ИТ. Со стороны бизнеса это выглядит так, что IT помогает бизнесу развиваться, а ИБ наоборот тормозит. При таком раскладе какие-то нюансы информационной безопасности уходят на задний план или вовсе не учитываются.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Кроме того, практически во всех организациях есть ПО, которое давно не поддерживается разработчиком. Соответственно, оно подвержено огромному числу уязвимостей, однако от его использования невозможно отказаться, а возможность обновления отсутствует. И это мы еще не говорим об уже изменившейся реальности и удаленной работе, которая размывает периметр организации и делает вопрос защиты информации в несколько раз сложнее.

ИБ vs бизнес

Зачастую безопасность и бизнес говорят друг с другом на разных языках, а иногда и вообще переходят в стадию конфронтации. Бизнес-подразделениям не очень интересна информационная безопасность, однако им необходимо комфортное и быстрое выполнение задач (особенно это касается подразделений, которые приносят доход компании), чему не способствуют строгие политики безопасности и лишние согласования, к которым приходится прибегать для решения той или иной нетривиальной задачи. Кроме того, безопасность может не согласовать новые перспективные с точки зрения бизнеса проекты (например, запуск онлайн-продаж через сайт), пока не будут выполнены все требования по безопасности, что влечет за собой как увеличение сроков запуска, так и дополнительные затраты (а иногда и выбор нового подрядчика).

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ
РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Сделать информационную безопасность важной и нужной для всей организации, при этом не прерывая бизнес-процессы, — одна из главных задач отдела по информационной безопасности.

ИБ vs бюджет

Головная боль подразделения, занимающегося информационной безопасностью, — поиск бюджетов на свои нужды. Так как безопасность не является источником доходов (а только расходов), а также иногда является невольным противником бизнеса и IT, то обосновать бюджеты становится достаточно трудной задачей. Для обоснования бюджета есть несколько проверенных методик, но такие стандартные для бизнеса показатели как ROI не всегда хорошо применимы к внедрению систем информационной безопасности. Более того, посчитать стоимость потерь от инцидента, связанных, например, с утечкой информации, иногда не совсем реально.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

ИБ vs кадры

Кадровый голод в ИБ не является чем-то новым, на рынке существует огромный спрос на специалистов по информационной безопасности, причем есть некая особенность: не хватает людей с опытом. А если компании требуется еще и знание иностранного языка, то все становится гораздо сложнее.

Есть и проблема внутри самих компаний, которая тесно связана с предыдущим пунктом про бюджет, – количество задач растет, однако бюджета на расширение штата нет, что сказывается на качестве и приоритете выполняемых задач. Чаще всего специалисты по ИБ занимаются самыми срочными задачами и времени на развитие системы обеспечения ИБ у них совсем не остается. Кроме того, инциденты ИБ не случаются в строго определенное рабочее время, они могут произойти в любой момент, что вынуждает сотрудников служб ИБ быть доступными для решения рабочих вопросов практически 24/7.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ
РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

ИБ vs люди

Понятия «осведомленность пользователей» и «цифровая гигиена» давно прочно засели в головах у безопасников. Люди, как известно, самое слабое звено в информационной безопасности, а ввиду отсутствия кадровых ресурсов, у служб ИБ просто нет времени проводить постоянное обучение, что потом вытекает в открытие сотрудниками подозрительных ссылок и вложений с понятными последствиями. Если сотрудники будут нарушать политики безопасности даже из самых благородных соображений (скачал документ на съемный носитель, чтобы поработать в выходные дома), то конфиденциальная информация компании оказывается под угрозой несмотря на все внедренные средства защиты.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

ИБ vs подрядчики

Помимо обеспечения защиты внутреннего периметра компании, служба ИБ должна быть уверена в том, что внешние контрагенты, а также предлагаемые ими решения не принесут дополнительные риски. Отсутствие ресурсов внутри делает аутсорсинг прекрасным выходом, однако может поставить под угрозу безопасность организации. Кроме того, если организация отдает подрядчику обрабатывать информацию ограниченного доступа, специалисты по ИБ должны полностью проверить его соответствие законодательству. Проблема состоит в отсутствии, в большинстве случаев, разработанной стратегии проверки поставщиков и решений, что приводит как к затрачиванию лишних ресурсов, так и к недостаточно качественным и полным проверкам.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

ИБ vs законодательство

Несоблюдение требований российского законодательства в области информационной безопасности может привести к различным неприятным для организации последствиям.

А если компания связана с международной деятельностью, то ей необходимо соблюдать международное законодательство и стандарты, которые, в свою очередь, не полностью пересекаются с российскими (и редко друг друга дополняют).

Специалистам по безопасности приходится не только отслеживать все изменения, но и оперативно на них реагировать. Наиболее показательным примером является обработка персональных данных – зачастую безопасники не только обеспечивают безопасность, как бы тривиально это не звучало, но и консультируют подразделения компании по тонкостям их обработки, выступая в качестве юристов-консультантов.