ИБ и ИТ: разделение властей

На первый взгляд работа специалиста по информационной безопасности мало чем отличается от деятельности работников IT. Однако на деле разница между ними весьма существенная. По словам Кэнди Александра, руководителя программы Cyber Security Career Lifecycle в Ассоциации безопасности информационных систем, последние «хотят видеть, как что-либо работает», в то время как первые «хотят узнать, как это что-либо ломается».

Главное отличие работника в сфере ИБ заключается в том, что работа с технологической сферой является лишь частью его обязанностей. Безусловно, каждый специалист в информационной безопасности обязан разбираться в технологиях и на практике применять свои знания, однако при этом остается целый ряд задач — менеджерских, управленческих, организационных — которые не входят в сферу компетенции рядового IT-специалиста. Другими словами, всякий «безопасник» должен быть «айтишником», но не всякий «айтишник» может быть «безопасником».

При этом квалифицированных специалистов по информационной безопасности сейчас остро не хватает. По данным «Лаборатории Касперского», 45% российский предприятий ощущают в отрасли кадровый голод. Стоит отметить, что основная проблема заключается не в нехватке технических данных у соискателей, а в недостаточности у них стратегического мышления и умения работать с руководством. Хорошему специалисту в области информационной безопасности нужно быть не только квалифицированным IT-специалистом, но и «эффективным менеджером», оценивать бизнес-риски и в принципе разбираться в экономике предприятий. Это, если говорить в категориях технических квалификаций, роднит работников сферы ИБ скорее не с рядовыми техническими специалистами, а с инженерными специальностями.

Одним из следствий размывания в глазах руководства разницы между работниками ИБ и техническими специалистами становится весьма часто встречающаяся практика существования отдела информационной безопасности в рамках IT-департамента. На первый взгляд, такое положение вещей обосновано — ИБ сильно связана с технологиями, а в работе над инфраструктурой ИБ работают те же самые специалисты, что и с сетевым и программным обеспечением. Если физическая и экономическая безопасность воспринимается как отдельная структура, то даже в крупных компаниях можно встретить подчинение ИБ-отдела IT-департаменту. Вопрос подчинения руководителя службы информационной безопасности (CISO) директору по информационным технологиям (он же IT-директор или CIO) неоднократно выяснялся в среде западных профессионалов, однако в отечественной индустрии подобные вопросы поднимаются редко.

Почему служба информационной безопасности не сможет полноценно функционировать в рамках IT-департамента? Проблема в том, что номинальное руководство в таком случае является одной из внутренних угроз. Утечка данных происходит в том числе и по вине IT-работников, а в случае совместной работы «айтишников» и «безопасников» возникает вероятность исключения их из контролируемого периметра. Совсем необязательно, что «айтишники» действительно станут причиной инцидентов безопасности, однако исключая такую вероятность ИБ-департамент фактически стреляет сам себе в ногу. Согласно данным исследований Ponemon Institute, подавляющее число утечек данных происходит по вине так называемых «привилегированных инсайдеров» с высокими правами доступа, к которым частично относятся и IT-специалисты.