Статья начальника отдела ИБ ООО "IT-TEAM SERVICE" Антона Ракитского вышла в журнале «Управление предприятием», издаваемом Международным центром финансово-экономического развития - Узбекистан. Статья вышла в журнале №2 (152) за февраль 2020 г.
Полную версию статьи можно прочитать на сайте издания, в электронной версии журнала. Она доступна на русском и узбекском языках. Ниже приводится авторская редакция статьи.
При распределении бюджетов между подразделения и отделами предприятия руководство зачастую основную часть средств отдаёт «генераторам прибыли», а на «убыточных», т.е. поддерживающих работу предприятия, экономят. Это приводит к возникновению серьезных проблем с инфраструктурой и, как следствие, падению прибыли. Если любому гражданину понятна важность, но «убыточность» армии и служб правопорядка, то подобная же специфика служб информационных безопасности для предприятия многим неочевидна.
Сможет ли государство обеспечить свою безопасность или защитить границы, если его руководитель не понимает важности армии, безопасности рубежей? Если у руководителя страны не будет понимания стратегических интересов, то не потребуется даже никаких вооруженных конфликтов, достаточно будет подписать какое-нибудь невыгодное соглашение по которому неприятелю отойдут территории. Может показаться, что это очень абстрактный пример, но в информационной безопасности именно так и происходит. Утечки часто происходят именно через руководителей, которые имеют полный доступ к базам данных и не приемлют ограничений, которые пытается установить служба ИБ - ограничить доступ по времени, только с рабочего места. Напротив, руководитель хочет видеть всё, всегда и из любой точки земного шара. Компьютер или мобильное устройство руководителя заражается вирусом или перехватывается пароль к учётной записи. И у злоумышленников в руках сразу полный доступ ко всем данным - не нужно тратиться на взлом сложных систем защиты. Получается, что именно главный руководитель предприятия и является самым слабым звеном. Безопасность предприятия может быть обеспечена только если высшее руководство заинтересованно и вовлечено в процесс её обеспечения. Приверженность (или commitment по-английски) - хороший термин, описывающий это ключевое качество руководителя. Без приверженности и поддержки руководства, даже самые опытные и грамотные специалисты не смогут обеспечить безопасность. Или пример из бытовой жизни - если родители нарушают правила дорожного движения, сорят на улице, то ребёнок будет копировать их модель поведения, даже если ему будут говорить что это неправильно.
Но руководитель предприятия может действительно неверно оценивать риски, не задумываться об обратной стороне цифровизации бизнеса. Задача руководителя службы ИТ и ИБ вовремя разъяснить ему все проблемы, предложить решения. Понимание ключевой роли ИТ в современном бизнесе - обоюдная задача высшего руководства предприятия и в бо́льшей степени начальника профильного отдела. Первый пласт проблемы - отсутствие общего языка. В современном HR есть даже специальное понятие - недостаток внутренней коммуникации. Если взглянуть на ситуацию со стороны высшего руководства, то действительно, службы ИТ и ИБ всегда выглядят как потребители средств, генераторы убытков, все затраты на них - безвозвратные. И логично, что именно их хотят сократить в первую очередь. Даже мебель или автомобиль можно будет продать потом по остаточной стоимости, а вложения в ИБ никак не компенсируешь. Поэтому руководителю ИТ и ИБ хорошо разъяснить важность своей службы с финансовых позиций. Показать, что если информационная безопасность и не «зарабатывает», то защищает от больших потерь. Вот несколько подходов, для разных предприятий эти приоритеты могут быть расставлены по-разному:
1. Внедрение мер ИБ - требование регулирующих органов. Например, всем госорганам в Узбекистане предписано создать службу информационной безопасности. В зависимости от масштаба предприятия это могут быть несколько сотрудников, а где-то - целые отделы и управления. Регулятор для коммерческих банков, Центральный банк, требует наличия антивирусной защиты, гарантированного энергоснабжения, ведения резервного копирования и электронного архива. В случае невыполнения требований - санкции: штрафы, отзыв лицензии.
2. Безотказная работа информационных систем - условие ведения многих видов бизнеса. Многим памятен сбой в работе системы UzCard, который произошел в сентябре 2018 года. Из-за него финансовые транзакции в течении нескольких дней были недоступны. Можно представить, какую прибыль недополучили все участники финансового рынка. Банки не получали проценты за обслуживание, торговые предприятия лишились клиентов, у которых все средства были на пластиковых картах. Подобную ситуацию можно смоделировать на любом предприятии и с приблизительными цифрами в руках доказать руководству, сколько будет стоить сутки простоя предприятия и сколько придётся потратить на устранение последствий, какова упущенная выгода или компенсации по существующим договорам. Скорее всего выяснится, что за значительно меньшие деньги можно заранее подготовиться и предотвратить подобные ЧП.
3. Репутационный ущерб от проблем с безопасностью. Институт репутации и доверия только формируется в Узбекистане. Совсем мало компаний, которые долгие годы находятся на рынке, но они есть и многие из них удерживают клиентов именно за счёт того, что клиенты получают предсказуемый уровень сервиса. А если представить, что на каком-нибудь высококонкурентном рынке произойдёт, например, утечка данных пользователей, то восстановить репутацию будет почти невозможно. Абстрактный пример, у какого-нибудь крупного коммерческого медцентра будет похищена и опубликована база данных всех пациентов со всеми анализами и диагнозами. Каков в этом случае ущерб репутации? Скорее всего бо́льшая часть клиентов в него никогда не вернётся, а то ещё и вчинят иск к центру за разглашение их персональных данных. Подобные базы данных накапливают многие торговые сети имеющие карты лояльности. Они фиксируют не только суммы покупок, но и все позиции в чеках - всё что вы покупаете тоже записывается. Будет ли вам приятно, если эту базу опубликуют, и все желающие смогут просмотреть что именно и на какие суммы вы покупали за последний год? А ведь многие бизнесмены и не понимают, что накопление «больших данных» это не только удобный инструмент для маркетингового анализа, но и такая вот потенциальная мина замедленного действия.
Задача начальника отдела ИБ заранее описать все возможные сценарии, предложить свои решения. Тогда на фоне возможного полного краха, текущие траты на ИБ не покажутся такими большими и руководство и начнёт выделять бюджет, и поймёт, наконец, роль службы информационной безопасности.
По опыту работы в Узбекистане можно уверенно сказать, что ещё одной большой проблемой является низкий авторитет служб ИТ и ИБ. Если к советам юриста прислушиваются почти всегда, то к проблемам информационных технологий относятся поверхностно, по остаточному принципу. Это выражается даже в том, что в телефонном справочнике любой компании отдел ИТ записан в самом конце, перед водителями, охранниками и уборщицами.
Как повысить свой авторитет службы и найти понимание у руководства?
1. Выступать с лекциями, презентациями. Обратите внимание, что многие высокотехнологичные компании часто представляют их «первые» лица - так было со Стивом Джобсом (Apple), также делает Илон Маск (SpaceX, Tesla). Ведь эти люди могут пригласить выступить вместо себя любого сотрудника или профессионального актёра, но выступление главы компании добавляет доверия к ней. Конечно, начальнику ИТ-отдела необязательно становиться лицедеем. Но какой-то минимальный багаж полемических приёмов будет очень полезен. Сейчас даже появился термин «технологический евангелист - человек последовательно «продвигающий» технологию, формирующий лояльное отношение к ней». Только если искренне самому верить в правильность выбранного пути - эту уверенность почувствует и высшее руководство. Если не удаётся постоянно выступать перед большой аудиторией, то даже чтение мастер-классов для коллег способно поддерживать требуемые навыки.
2. Писать статьи для авторитетных изданий и СМИ. Сейчас очень многие информационные ресурсы имеют только электронную форму дистрибуции. Это существенно ускоряет и упрощает публикацию материалов по актуальным темам. Любой начальник уже обладает базовыми навыками подготовки текста. Ведь, особенно в госорганах, приходится постоянно писать рапорты, пояснительные записки и т.д. Для молодых специалистов подготовка статей будет ценным опытом работы с источниками информации. Со временем специалисты вашей компании статут заметными личностями в медиапространстве, к ним будут обращаться журналисты за комментариями. Побочным фактором такой деятельности является формирование профессиональной этики, приходит понимание, насколько сложнее и ответственнее высказываться от собственного имени, а не от абстрактного альтер-эго или анонимно, как это практикуется в соцсетях.
3. Посещать конференции, презентации, форумы. Делать это должен не столько начальник, сколько ключевые специалисты подразделения. У таких мероприятий есть не только очевидный образовательный эффект. Не менее ценно, что рядовые сотрудники видят своих коллег, могут оценить себя и их в профессиональном плане, формируется здоровая конкуренция.
4. Проходить обучение или повышение квалификации. То что давно очевидно для педагогов и врачей, ещё более актуально для ИТ и ИБ специалистов, так как тут повестка дня меняется стремительно. Это называется компетентностным подходом к образованию научить человека решать конкретные задачи, действовать самостоятельно в предлагаемых обстоятельствах. Обучаться должны все-все сотрудники. По сути, умение учиться является ключевым качеством современного технического специалиста. Само собой, нужен какой-то минимальный учёт обучения сотрудников - фиксировать названия курсов, результат обучения (сертификат, набранные баллы). Его потом будет проще «подвязать» с соответствующему KPI (Key Performance Indicator — показатель достижения успеха в определенной деятельности). Образование не самоцель, но хотя бы раз в год нужно проходить какое-то обучение, например, онлайн.
Теперь можно представить себе ситуацию, когда на приём к высшему руководству приходит руководитель ИТ-отдела или службы безопасности и ходатайствует о выделении средств на какую-то новую технологию обеспечения безопасности. Он спокойно и доступно объясняет сложившуюся ситуацию помогает навык выступлений. Предлагает вариант решения проблемы и с цифрами в руках защищает свою позицию. В качестве аргументов он невзначай упоминает публикации в СМИ, которые сделали его специалисты, отмечает, что другие сотрудники недавно прошли обучение по этой теме и тоже участвовали в подготовке решения. Приводит примеры из мировой практики или случаи у конкурентов, когда возникали подобные проблемы и чем они закончились для тех компаний. Согласитесь, руководителю сложно будет отказать после применения такой «тяжелой» артиллерии. Напротив, ему значительно приятнее оказаться куратором такого экспертного сообщества, одобрить и выделить средства на действительно нужное дело. А сотрудники, которых ценят, считают профессионалами и всячески поддерживают реже меняют место работы, ведь кроме финансового стимулирования, именно признание заслуг является колоссальным мотивирующим фактором.