Алексей Лукацкий, Positive Technologies: В России руководитель службы ИБ редко подчиняется первому лицу организации

Алексей Лукацкий, бизнес-консультант по информационной безопасности компании Positive Technologies, рассказал порталу Cyber Media о роли руководителя службы ИБ в российских компаниях, а также о том, какие риски несет публичность для CISO.

Cyber Media: Руководитель ИБ-службы — это скорее топ-менеджер, принимающий управленческие решения, или безопасник?

Алексей Лукацкий: Я бы разделил ответ на несколько частей. Во-первых, любой руководитель службы ИБ принимает управленческие решения. Даже если он находится на 5—6 уровне иерархии от генерального директора, он все равно принимает решения в рамках своей деятельности, связанной с правильным распределением имеющегося бюджета ИБ, выбором наиболее оптимальных мер обеспечения безопасности, обучением и наймом персонала и т.п.

Если перейти к сложившейся в России практике, то для большинства компаний, особенно небольших, ИБ-специалист – этакий левша, на все руки мастер. Известны даже случаи, когда такой специалист отвечал за вопросы частичной мобилизации сотрудников или эксплуатацию лифтов. В его работе превалирует техническая составляющая. Организационные функции он выполняет внутри своей деятельности, и практически никогда не выходит на уровень коллегиального органа (совет директоров, правление и иные структуры управления) и не участвует в принятии стратегических решений, необходимых для развития бизнеса (инвестиции в проекты, оценка рисков по проектам, новые направления деятельности и т.д).

В России руководитель службы ИБ редко подчиняется первому лицу организации, но при этом обладает необходимыми не только обязанностями, но и полномочиями по управлению бюджетом в рамках своей сферы компетенций, а также выдаче каких-то замечаний всем сотрудникам, а не только своим подчиненным. А вот на Западе такой руководитель может участвовать, наравне с финансовым, операционным и другими директорами, в совещаниях по инвестициям в проекты, хотя и оценивает их с точки зрения ИБ. Там чаще всего он не входит в структуру IT-департамента, а подчиняется непосредственно либо генеральному директору, либо, если речь идет о крупной иерархической структуре, операционному или финансовому директору, что нередко в мировой практике.

У нас руководитель по ИБ чаще всего подчиняется IT-директору, в отдельных случаях руководителю по безопасности. Но практически никогда не напрямую руководителю организации. Из этого правила бывают отдельные исключения. Я знаю несколько примеров в финансовых организациях, когда руководитель ИБ «подминает» под себя всю тему, связанную с рисками, операционной надежностью, а в перспективе и направлением IT. Но пока у нас это редкость, в отличие от западного мира.

Cyber Media: Чем должность директора по информационной безопасности отличается от сходных должностей, таких как начальник ИБ-отдела и руководящих должностей более низкого уровня?

Алексей Лукацкий: Отличает «стратегичность» тех решений, в которых он принимает участие. К примеру, первое лицо в иерархии ИБ участвует в советах директоров, инвестиционных комитетах, определяет курс компании, оценивая его с точки зрения недопустимых для бизнеса событий, но в сфере ИБ. На более низких уровнях транслируют эти решения на свою сферу. Например, руководитель SOC будет заниматься мониторингом и реагированием на инциденты ИБ, которые могут повлечь за собой наступление того или иного недопустимого события, определенного уровнем выше.

Начальник направления безопасности IT-инфраструктуры отвечает за харденинг, т.е. защиту инфраструктуры путем снижения рисков от реализации возможных киберугроз и нейтрализацию недопустимых событий за счет реконфигурации сетевой инфраструктуры и приложений. В компании может быть руководитель отдела, несущий ответственность за человеческий фактор и вопросы повышения осведомленности, тренинги, мотивацию сотрудников не совершать правонарушения (если мы говорим о внутренних нарушителях) и т.д. По сути, все эти руководители занимаются одним и тем же – предотвращением реализации недопустимых событий, но каждый в рамках своей компетенции: в IT, криптографии, мониторинге и реагировании, повышении осведомленности сотрудников, работе с регуляторами и т.д.

Но глава всей вертикали ИБ отвечает за трансляцию недопустимых событий для бизнеса именно в ИБ-сферу, как и ИТ-директор (CIO) отвечает за трансляцию недопустимых событий в IT. Тем же самым занимается операционный директор применительно к операционной деятельности, а юристы оценивают недопустимые события с точки зрения юридической практики. И каждый начальник по своей вертикали спускает указания, как эти недопустимые события могут реализовываться и как его вертикаль может не допустить этих событий.

Cyber Media: Какие есть отличия в восприятии должности CISO в России и в остальном мире? Правильно ли я понимаю, что CISO – это вершина в профильной иерархии? У вас в телеграм-канале был грустный пост, что во время совета директоров все сидят за большим столом, а CISO обычно за маленьким. Может ли случится у такого специалиста диссонанс между тем, на что он рассчитывал как директор по ИБ, и тем, какие он функции выполняет в реальности?

Алексей Лукацкий: На самом деле, отличий немного. И здесь, и там бывают не совсем правильные трактовки термина CISO или присваивание себе этого термина. В аббревиатуре CISO главное слово — Chief, а не Information Security. Другими словами, это человек, входящий в коллегиальный орган управления и принимающий, в рамках своей деятельности, решения, наряду с любым другим руководителем компании.

В России зачастую для сокращения места на визитке должности директора по ИБ или руководителя подразделения по защите информации сокращали до CISO. Это выглядит солидно, но на практике не соответствует действительности. То есть CISO умеет говорить не только «нет», но и «да», тому или иному решению, а это подразумевает соответствующие полномочия и, что гораздо важнее, ответственность. Ровно та же проблема существует на Западе, но все же реальных CISO уровня вице-президента или старших вице-президентов, которые включены в коллегиальный орган управления компанией, зарубежом гораздо больше просто потому, что там изначально культура управления бизнесом имеет более длительную историю.

Однако не стоит думать, что это чисто российская проблема, она скорее может быть связана с конкретным человеком. CISO отличает в первую очередь умение и желание брать на себя ответственность за принимаемые решения. Чем больше ответственность специалиста по ИБ будет связана с бизнесом, тем ближе он к роли CISO. Безопасник может быть нанят технарем или compliance-менеджером, но он фактически становится CISO, когда начинает посвящать львиную долю своего времени решению бизнес-задач в контексте ИБ: предотвращать потери, снижать издержки и время выхода продукта на рынок именно в контексте ИБ, повышать качество сервисов и услуг, думать о росте доле рынка или лояльности клиентов за счет повышения защищенности выпускаемых компанией продуктов и услуг, беспокоиться о том, как сделать взаимодействие с контрагентами и партнерами более безопасным.

Как только бизнес видит, что специалист по ИБ занимается бизнес-вопросами, а не борьбой с мифическими угрозами или выполнением требований регуляторов, за нарушения которых накладывается минимальный штраф, в таких случаях руководители компаний могут принять решение, что человек достоин места в совете директоров или всего на один уровень ниже. В противном случае безопасник будет по-прежнему сидеть за «столиком для детей» и с вожделением смотреть на стол для взрослых. CISO в первую очередь — это изменение менталитета, а не должности на визитке.

Cyber Media: Получается, базовая метрика отличия CISO от других руководителей ИБ – это инициатива и готовность принимать управленческие решения и нести за них ответственность?

Да, в обязательном порядке. Это инициатива и готовность брать на себя ответственность за принимаемые решения именно с точки зрения интересов бизнеса. Мало решить начать выполнять требования федерального закона №187-ФЗ о безопасности критической инфраструктуры; надо понимать, зачем это нужно бизнесу, что он приобретет или потеряет от такого соответствия. А может быть, скажу крамольную мысль, будет принято решение об отсутствии необходимости такого соответствия и принятия соответствующих рисков невыполнения.

Cyber Media: ИБ-тематика в этом году значительно чаще стала появляться на страницах новостных изданий. Это были рассказы о недопустимых событиях, утечках, взломах и других негативных вещах. В условиях роста интереса к кибербезопасности со стороны общества, что выгоднее для топ-менеджеров ИБ – оставаться в тени компании или развивать свой медийный ресурс? Этот вопрос отчасти вызван историей с CISO компании UBER, в которой возник дисбаланс между требованиями государства и компании, и между двух огней оказался конкретный человек, для которого единственным средством коммуникации и отстаивания своей позиции стали личные соцсети. Какие в таком личном медиа-позиционировании есть риски и возможности?

Алексей Лукацкий: Все зависит в первую очередь от руководителя и компании. Если руководство не против публичной деятельности CISO (более того, считаю, что она должна быть в обязательном порядке), то все отлично. В такой деятельности мы преследуем две задачи. Во-первых, учимся говорить с различными аудиториями на разных языках, что очень полезно в деятельности CISO, поскольку ему приходится общаться и со своими работниками, понимающими в ИБ, но, может быть, не столь хорошо ориентирующимися в бизнесе, и с руководством (тут все наоборот — разбираются в бизнес-задачах, но не в ИБ), а также с рядовыми сотрудниками компании и руководителями иных подразделений. Публичная деятельность учит человека лаконично высказывать свои мысли для разных целевых аудиторий.

Во-вторых, если CISO заинтересован в развитии бизнеса компании (неважно – коммерческой или государственной), то он является проводником бренда. Задача такого амбассадора показывать, что организация несет пользу обществу, государству – к примеру, беспокоится, как минимум, о приватности персональных данных своих клиентов или о надежности той инфраструктуры, на базе которой они получают продукты и услуги. Либо же компания выполняет требования государства в необходимой мере.

На западе почти у любого CISO за плечами выступления на известных конференциях (RSA Conference, Gartner, BlackHat, Defcon и т.д.), а также учетные записи в Linkedin, Medium и других соцсетях, где он делится своими мыслями, советами, лайфхаками и рекомендациями. Тем самым вокруг CISO формируется коммьюнити с общей идеей обеспечения ИБ.

В России исторически ИБ — это закрытая область, на многих ИБ-специалистов давит груз их прошлой жизни, когда они, возможно, служили в силовых структурах, имели подписку о невыезде, у них на подкорке отложилась уверенность, что безопасность любит тишину, рассказывать о ней нельзя никому, тем более в СМИ и соцсетях. Это проблема нашего рынка. Дополнительную проблему создает наше законодательство, которое последние несколько лет пополнилось новыми требованиями о соблюдении в тайне многих вопросов, которые могут быть в поле зрения CISO. Например, нельзя публично и без согласования с соответствующими ведомствами распространяться о том, как устроена защита в государственных информационных системах, как работает ГосСОПКА, как осуществляется мониторинг и реагирование в отдельных сферах деятельности. И чтобы ненароком не нарушить какой-либо секретный приказ, отечественные CISO больше предпочитают молчать, чем говорить.

Есть, конечно, некоторое количество ИБ-шников, которые любят выступать, реже – вести соцсети, но их немного, а умеющих правильно доносить свои мысли простым и понятным языком в устной или письменной форме еще меньше. Но без навыков публичных выступлений директор по ИБ скорее всего никогда не станет CISO и не сможет общаться с разными целевыми аудиториями.

Cyber Media: Стала ли информационная безопасность сегодня элементом бренда и конкурентным преимуществом, тем дополнительным фактором, повышающим справедливую стоимость продукта в глазах потребителей? И для того, чтобы доносить этим преимущества, CISO должен публичным человеком, лицом безопасности про факту.  

Алексей Лукацкий: Безопасность становится неотъемлемым свойством продукта или услуги компании, причем неважно, это коммерческая или государственная структура. Раз это конкурентное преимущество, то необходимо уметь говорить обо всех его уникальных свойствах и предложениях с разными аудиториями, это может делать только CISO, потому что попытка подменить с помощью PR деятельность CISO, как правило, заканчивается неудачей, так как PR занимается скорее разработкой инструментов донесения правильных смыслов до аудитории, а сами смыслы должен формировать CISO. CISO здесь первая скрипка, и если он этого делать не может, безопасность не становится таким преимуществом для компании, которая начинает проигрывать в конкурентной борьбе.

Cyber Media: Какие риски, возможно имиджевые или связанные с корпоративными данными, возникают для CISO как для сотрудника в случае активной публичной деятельности?

Алексей Лукацкий: В случае с CISO рисков гораздо меньше, нежели с другими топ-менеджерами. CISO как никто другой понимает, что такое конфиденциальность информации, какие данные являются открытыми компании, а какие публиковать не стоит. Поэтому в обычной жизни, конечно, риски разглашения конфиденциальной информации существуют, но для CISO они сведены к минимуму.

Если система защиты базируется на секретности, то это говорит о том, что она, возможно, не самая эффективная. Вероятно, в таком случае не стоит раскрывать детали конкретных настроек, но поделиться нюансами реализации того или иного проекта можно, например, в условиях территориальной распределенности, разных часовых поясов, культурных или религиозных нюансов в регионах (в мусульманских и христианских странах могут быть отличия с точки зрения ИБ). Это опыт очень интересен, CISO при этом не разглашает никаких тайн, однако показывает, что безопасность может быть с человеческим лицом. Поэтому на мой взгляд каких-то серьезных рисков, которые обычно рассматриваются в деятельности других публичных персон, у CISO гораздо меньше. За исключением того, что он может не уметь доносить свои мысли, тем самым снижая привлекательность самого бренда.

Cyber Media: Пока вы говорили, мне пришло в голову сравнение, что самый безопасный способ хранения данных – в сейфе на дне океана, а самая безопасная коммуникация для CISO – ее не вести. Очень часто в новостях мы видим, что кто-то что-то написал в соцсетях, это было расценено иначе, особенно на Западе, где толерантность диалога очень важна, и CISO в этом контексте наиболее компетентный человек, поскольку эти люди так или иначе умеют определять уровень чувствительности информации.  

Алексей Лукацкий: В западных компаниях существует такая практика как тренинги для публичных спикеров, она включает обучение по ведению социальных сетей и в целом PR-активностей. Публичные высказывания CISO можно выстроить очень грамотно, на пользу компании, а не отказываться от пиара из-за страха разгласить лишнюю информацию.