Алексей Петухов, InfoWatch: Информационная безопасность — это часть культуры компании, а не задача для одного человека

Алексей Петухов, руководитель отдела по развитию продуктов, InfoWatch ARMA, лидер центра компетенций «Кибербезопасность» НТИ Энерджинет, автор тг-канала «Алексей Петухов», рассказал порталу Cyber Media об уровнях зрелости ИБ в бизнесе, что об информационной безопасности должен знать генеральный директор и какие сложности могут возникнуть во взаимодействии CISO с топ-менеджментом компании.

Cyber Media: На ваш взгляд, как менялась степень информированности топ-менеджмента, генеральных директоров компаний, об информационной безопасности в последние годы? На каком уровне она находится сейчас?

Алексей Петухов: В последние годы степень информированности топ-менеджмента и генеральных директоров компаний в области информационной безопасности заметно возросла. Однако важно не только то, что они знают, но и насколько активно они применяют эти знания на практике. Большинство руководителей, которые обязаны следовать законодательным требованиям, достаточно хорошо осведомлены о регуляциях ФСТЭК, ФСБ и Минцифры. Они понимают общие требования, оценивают необходимые меры и выбирают стратегии для их реализации.

Вопрос информированности компаний о проблемах информационной безопасности стал актуальным с 2014 года, и сегодня многие компании уже прошли этот этап, сосредоточившись на операционных задачах.

Однако другой важный аспект заключается в том, насколько глубоко топ-менеджмент вовлечен в управление вопросами информационной безопасности и насколько эта тема интегрирована в бизнес-процессы. Чтобы оценить это, можно использовать два подхода: оценку зрелости компании в области информационной безопасности и организационно-ролевую модель.

Первый подход базируется на стандартах ГОСТ Р ИСО/МЭК 15504 и ГОСТ Р ИСО/МЭК 21827, которые описывают пять уровней зрелости информационной безопасности:

1. Вопросы ИБ обсуждаются периодически, действия предпринимаются локально и не системно.
2. Внедряется более системный подход с регулярными обсуждениями и планами действий.
3. Создается задокументированный и системный процесс работы в области ИБ.
4. Применяются метрики и показатели эффективности для оценки ИБ.
5. Информационная безопасность полностью встроена в бизнес-процессы и постоянно совершенствуется.

Большинство российских компаний находятся на третьем или четвертом уровне зрелости, что является значительным прогрессом по сравнению с ситуацией, которую мы наблюдали пятнадцать лет назад, когда многие компании едва достигали первых двух уровней.

Второй подход более прост и основывается на том, какую роль занимает руководитель информационной безопасности в структуре компании. Если этот человек входит в топ-менеджмент, это соответствует пятому уровню зрелости. Если подчиняется руководителю высшего звена — это четвертый уровень. Когда ИБ управляется на уровне структурного подразделения, это третий уровень, а если за ИБ отвечает специалист по техническим мерам, это второй уровень.

По такому критерию, большинство российских компаний также находятся на третьем уровне зрелости, меньше — на втором и четвертом. Пятый уровень достигают лишь несколько десятков компаний. Аналогичная ситуация наблюдается и за рубежом. По данным исследования 2023 года, проведенного InfoWatch, около 70% компаний в Германии, США, ОАЭ и Японии находятся на третьем уровне зрелости, что схоже с российской ситуацией.

Cyber Media: Сейчас у все большего количества компаний появляются заместители гендира по ИБ. Значит ли это, что CEO может переложить все вопросы ИБ на CISO и минимально в них вникать?

Алексей Петухов: Наличие заместителей генерального директора по информационной безопасности (CISO) в компании не означает, что CEO может полностью передать ответственность за информационную безопасность. Хотя номинальное назначение на эту должность нередко обусловлено законодательными требованиями, например, Указом №250, перераспределение обязанностей между CEO и CISO не решает ключевых проблем, связанных с обеспечением безопасности.

Важно понимать, что эффективное управление информационной безопасностью — это не задача для одного человека или подразделения. На высоком уровне зрелости информационной безопасности (пятый уровень), ее развитие и поддержание становятся частью общей философии компании. Все сотрудники должны осознавать угрозы и участвовать в процессе защиты данных. Для достижения этого уровня необходимы прозрачные, формализованные и контролируемые бизнес-процессы, которые охватывают все аспекты деятельности компании.

Генеральный директор, как лидер и стратег, не может полностью снять с себя ответственность за ИБ, поскольку именно он определяет курс компании и управляет ее рисками. В то же время процессная часть — разработка регламентов, внедрение и поддержка системы защиты данных — может и должна быть в зоне ответственности CISO. Таким образом, CEO сохраняет контроль за общим направлением и стратегией, а CISO отвечает за техническую и организационную реализацию мер информационной безопасности.

Cyber Media: На практике CISO часто подчиняется не генеральному директору, а другому топ-менеджеру из C-level, например, CTO. Какие преимущества и недостатки есть у такого подхода с точки зрения управления и эффективности обеспечения ИБ?

Алексей Петухов: Подчинение CISO техническому директору (CTO) соответствует четвертому уровню зрелости информационной безопасности. Этот уровень считается достаточно высоким для обеспечения реальной безопасности компании. Такой подход может быть эффективным при условии, что CTO полностью отвечает за технические аспекты и обладает достаточным пониманием ценностей информационной безопасности, интегрируя их в свои управленческие решения. В этом случае подчинение CISO CTO может быть оправдано с точки зрения управления и эффективности.

Однако у такого подхода есть и недостатки. Когда CISO подчиняется не генеральному директору, а CTO, компания теряет важный управленческий инструмент — независимый контроль и анализ ИТ-процессов и ИТ-функции в целом. Это снижает способность компании управлять рисками ИБ на стратегическом уровне. Независимая функция ИБ охватывает более широкий спектр процессов, влияющих на прозрачность и устойчивость всего бизнеса.

Cyber Media: По вашему опыту, какие типовые проблемы в управлении, на уровне топ-менеджмента, приводят к низкой эффективности или проблемам с информационной безопасностью компании?

Алексей Петухов: У нас есть хороший постулат: «Проблема не в ИБ, а в отношении к ней». Основные проблемы управления на уровне топ-менеджмента, которые снижают эффективность информационной безопасности в компании, можно разделить на три группы:

1. Недостаточное внимание к корпоративной культуре и ценностям ИБ. Главная проблема — это отсутствие вовлеченности топ-менеджмента в формирование корпоративной культуры, которая учитывает принципы и ценности информационной безопасности. Часто руководство не осознает значимость ИБ, как стратегического элемента бизнеса и не использует доступные инструменты для управления. В таких условиях любые меры по защите данных теряют свою эффективность.
2. Неспособность управлять информационной безопасностью. Вторая проблема связана с тем, что, даже признавая важность ИБ, менеджмент может не иметь достаточных знаний и навыков для ее управления. Руководители часто не понимают всех возможностей и задач, которые они могут поставить перед функцией ИБ, либо не знают, как измерить ее эффективность, что приводит к отсутствию четкого контроля и планирования в этой области.
3. Ограниченное использование ИБ как управленческого инструмента. Третья проблема возникает, когда топ-менеджмент внедряет метрики и управляет безопасностью, но не интегрирует ее в бизнес-процессы. В таких случаях ИБ остается на периферии управленческой системы, а ее потенциал для управления рисками и развития бизнеса используется не полностью.

Таким образом, для повышения эффективности ИБ компании важно не только внедрять защитные меры, но и активно включать их в культуру и процессы управления.

Cyber Media: Что, в итоге, генеральному директору действительно нужно знать о кибербезопасности для принятия управленческих решений? Должен ли CEO отличать пентест от редтим-проекта, знать разницу между FW и NGFW и т. д.?

Алексей Петухов: Генеральному директору не обязательно глубоко разбираться в технических аспектах кибербезопасности. Основная задача CEO — воспринимать информационную безопасность как важную бизнес-функцию и использовать ее для контроля и оцифровки бизнес-процессов.

CEO должен понимать ценность ИБ для компании и постоянно транслировать ее на всех уровнях управления. Важно, чтобы информационная безопасность была интегрирована в повседневное управление и отображалась на дашбордах руководства наряду с другими ключевыми показателями. Это позволяет топ-менеджменту отслеживать риски и контролировать устойчивость бизнеса.

Для планирования и отслеживания результатов полезным инструментом могут быть «карты баланса» — круговые диаграммы, где отмечаются текущие показатели, цели и приоритеты по основным задачам. В такие карты обязательно должны включаться метрики, отражающие прозрачность и устойчивость бизнеса, что напрямую связано с информационной безопасностью.

Таким образом, CEO должен фокусироваться на стратегическом управлении ИБ, оставляя остальные детали своему заместителю по информационной безопасности.