Иван Дмитриев, СберКорус: Информационная безопасность точно не должна приносить компании убытки

Иван Дмитриев, директор по безопасности СберКорус, рассказал порталу Cyber Media об экономических аспектах обеспечения информационной безопасности, как формируется бюджет на информационную безопасность, о выстраивании отношений между CISO и топ-менеджментом компании.

Cyber Media: В сообществе часто возникают дискуссии относительно того, частью чего должен быть бюджет на информационную безопасность: ИТ-бюджета, бюджета службы безопасности, самостоятельной единицей и т.д. Какой подход, на ваш взгляд, наиболее правильный, и почему?

Иван Дмитриев: Обеспечение информационной безопасности, как и любой другой безопасности бизнеса, ‒ это не только бюджет функции подразделения, которое непосредственно занимается ИБ, но и инвестиции, которые компания вкладывает в развитие бизнеса, чтобы эффективно управлять рисками. Риск-ориентированный подход – это общепризнанный метод управления любой безопасностью ‒ информационной, экономической или кадровой.

Центр финансовой ответственности, на который ложится бюджет службы безопасности, может быть разным, в зависимости от жизненного цикла компании. Например, в стартапах, когда команде приходит понимание рисков, ответственность за информационную безопасность зачастую ложится на ИТ-функцию, а средства заложены в ИТ-бюджет.

В более крупных компаниях, где угрозы безопасности связаны с человеческим фактором либо с взаимоотношениями с контрагентами, расходы могут быть отнесены к расходам на обеспечение безопасности бизнеса в целом. Многие компании выделяют функцию информационной или кибербезопасности как отдельный центр финансовой ответственности. Однако зачастую, даже при наличии выделенного бюджета, часть расходов на обеспечение безопасности бизнеса распределяется на бюджеты других департаментов. Например, закупка антивирусных средств, эксплуатация которых осуществляется силами ИТ, уходит в их бюджет, а закупка DLP остается в бюджете ИБ.

Cyber Media: Из каких статей складываются расходы на обеспечение информационной безопасности компании? Какие из них наименее очевидны?

Иван Дмитриев: Каждая компания самостоятельно выбирает стратегию информационной защиты и, уже исходя из нее, формирует бюджет как одну из необходимых составляющих для обеспечения компании ресурсами. Как правило, в расходы входят приобретение средств защиты информации и данных, их техническая поддержка, а также фонд оплаты труда.

Наименее очевидной статьей расхода можно назвать обучение сотрудников информационной безопасности. Инвестируя в обучение, работодатель усиливает экспертизу команды, а значит ‒ инвестирует в качество работы. Важно следить за трендами и постоянно развиваться.

Культура безопасности всего коллектива ‒ также неотъемлемая часть развития ИБ. Нужно обучать людей безопасной работе и поведению, потому что ответственность за информационную безопасность компании несет каждый сотрудник.

Еще одна неочевидная статья расходов – маркетинг. Если компания считает безопасность своим конкурентным преимуществом, она должна говорить об этом рынку и вкладываться в PR и маркетинг. Также эта статья расходов нужна тем ИТ-компаниям, которые разрабатывают и выпускают на рынок решения и сервисы для обеспечения информационной безопасности.

Cyber Media: Какие метрики чаще всего используются для оценки эффективности расходования бюджета в ИБ?

Иван Дмитриев: Если функция службы ИБ в компании оценивается только как защита ИТ-инфраструктуры, кажется, что бюджет можно рассчитывать в зависимости от отрасли компании. Для этого нужно смотреть на практику ведущих компаний отрасли, насколько относительно ИТ-бюджета они вкладываются в ИБ. По этим показателям можно оценить достаточно ли мы инвестируем в ИБ.

Для более зрелых игроков рынка, где есть система управления рисками, важно смотреть на мировые практики компаний, показывающие процент от стоимости рисков, который можно потратить на мероприятия по их митигации. Важно понимать, что риски могут возникнуть или отсутствовать, но затраты бизнес несёт всегда.

Эффективность расходования денежных средств ‒ это больше проектные метрики. В развитии любой системы управления, в частности системы управления информационной безопасностью, есть состояние ‘AS IS’ («как есть») и состояние ‘TO BE’ («как должно быть»). Если команда была настроена на результат ‘TO BE’, но к нему не пришла и потратила какую-то сумму денег, то встает вопрос об эффективности проектного управления и его инвестирования.

В любом случае информационная безопасность точно не должна приносить компании убытки. Нужно смотреть также на метрики финансового здоровья, например, на CIR (Costs to Income Rate ‒ соотношение затрат и доходов).

Cyber Media: Насколько часто, на ваш взгляд, между CISO и CEO отсутствует взаимопонимание, которое не позволяет развивать информационную безопасность? С чем такие ситуации могут быть связаны?

Иван Дмитриев: Для эффективного управления очень важно взаимопонимание между CEO и каждым членом команды топ-менеджеров. В такой же мере важно доверие между CISO и командой.

Если CEO не доверяет CISO, и у них нет взаимопонимания, то, скорее всего, команда менеджмента еще не пришла к осознанию важности информационной безопасности для компании. В таком случае менеджменту стоит принять стратегию управления рисками через высокий риск-аппетит, а позиция CISO в компании не нужна.

Ситуации недоверия CEO к CISO могут быть в том случае, если его позиция лишь навязана компании. Либо происходит формальное соблюдение правил о назначении в высшем звене человека, отвечающего за информационную безопасность.

Обратная ситуация, когда CISO не доверяет и не понимает СЕО – тоже тупиковый путь.

Cyber Media: Как регуляторные требования влияют на распределение бюджета на информационную безопасность?

Иван Дмитриев: Отмечу сначала общерыночный тренд: компании, которые использовали зарубежные решения, в том числе по требованию законодательства сейчас решают вопрос импортозамещения. Так, рынок достаточно сузился и стал менее конкурентным, что повлияло на рост стоимости оборудования и софта многих вендоров. Это отражается и в бюджетировании.

Если говорить в целом, регуляторика в стране развивается и актуализируется таким образом, что выполнение требований не подразумевает бОльших затрат: чаще инвестиции в реальную защищенность комплиментарны инвестициям в комплаенс.