Кирилл Мякишев, Ozon: Мы создаем информационную безопасность с человеческим лицом

Кирилл Мякишев, директор по информационной безопасности Ozon, рассказал порталу Cyber Media, как внедрять лучшие практики ИБ в компании с минимальными рисками для процессов и без стресса для сотрудников.

CyberMedia: Насколько сложно превентивно оценить влияние внедрения новых регламентов или средств защиты на эффективность бизнес-процессов? Как обосновать необходимость этих изменений бизнесу?

Кирилл Мякишев: Оценить сложно — на том, кто оценивает возможное влияние новых регламентов или средств защиты на бизнес, лежит огромная ответственность. Прежде всего я за то, чтобы «не поломать» процессы и требования безопасности, и при этом чтобы не было неудачного внедрения, — ведь каждый такой случай может создать негативную репутацию для ИБ-подразделения внутри компании.

При обосновании изменений нужно помнить, что ИБ — это всегда баланс между бизнесом и безопасностью. Это поиск компромисса, в котором не должен «страдать» бизнес, и при этом должен быть высокий уровень ИБ, его соответствие всем требованиям. Конечно, компаниям не всегда легко достичь этого баланса — поэтому нельзя недооценивать важность предварительной оценки, а часто и постанализа уже внесенных изменений.

CyberMedia: Какие проекты ИБ требуют наибольшей подготовки перед внедрением и почему?

Кирилл Мякишев: Самой большой подготовки требуют проекты, которые влияют на базовые бизнес-процессы компании или на большое количество сотрудников. Например, если компания меняет логику авторизации — такой проект нужно прорабатывать гораздо дольше, чем внедрение какого-нибудь сканера уязвимостей.

Важно иметь ввиду, что на сотрудников влияет не только внедрение новых технологий, но и изменения в процессах, которые произойдут после внедрения. Поэтому я считаю, что когда прорабатывается ИБ-проект нужно объяснять людям, для чего нужны изменения. Сотрудники должны понимать, как все работает и что может произойти, если мы этого не сделаем. Нужно подумать про обычных пользователей, которые не являются техническими специалистами, и сделать так, чтобы рабочие процессы оставались для них по-прежнему удобными.

CyberMedia: Нововведения из области ИБ часто носят ограничительный характер — те действия, которые были бесконтрольны, теперь требуют от сотрудника согласований. Например, для получения доступа к тем или иным системам, информации. На ваш взгляд, как можно минимизировать возможный негатив?

Кирилл Мякишев: Вы правильно подметили, что нововведения часто могут быть связаны с ограничениями, но это происходит далеко не всегда. Например, мы внедряем много изменений для сотрудников, которые, наоборот, улучшают их пользовательский опыт.

С проектами, в которых вводятся ограничения, нам удается свести негатив к минимуму благодаря информированию. Также нужно качественно работать с обратной связью — нельзя превращать ИБ в орган, который только вводит запреты и не идет на диалог с сотрудниками. Мне кажется информационная безопасность должна быть с человеческим лицом. Это очень важно для развития ИБ-бренда внутри компании.

CyberMedia: Какие меры вы предпринимаете для интеграции культуры безопасности в повседневную работу сотрудников компании?

Кирилл Мякишев: Когда бизнес выстраивает информационную безопасность, нужно не только разрабатывать сервисы с учетом требований ИБ, но и правильно оценивать периметр, где злоумышленники могут получить доступ в инфраструктуру. Это стоит иметь в виду, чтобы обеспечить устойчивость ИТ-инфраструктуры и сохранность данных. Здесь очень важна интеграция культуры безопасности внутри компании, — прежде всего это повышение осведомленности сотрудников. Для этого мы используем много инструментов: тесты, курсы и обучающие материалы. Для сотрудников, которые работают на операционных объектах, мы дополнительно печатаем образовательные материалы и развешиваем их в местах общего пользования. Материалы и курсы переводятся на языки стран, где присутствует Ozon Global и на которых говорят наши сотрудники.

Мы уделяем особое внимание коммуникациям, которые объясняют важность внедрения процессов и вовлекаем людей в ИБ. Проводим разные активности, — например, сейчас мы уже второй раз организуем соревнование с решением задач по информационной безопасности (CTF) для сотрудников. А для персонала, который далек от IT-сферы, проводим викторины, — по итогам дарим призы, так мы привлекаем внимание к культуре ИБ. В общем, создаем «ИБ с человеческим лицом».

CyberMedia: Вы как-то прорабатываете с сотрудниками, далекими от IT-сферы, правила поведения в критических ситуациях? Например, что делать, если открыл фишинговое письмо?

Кирилл Мякишев: Для таких сотрудников у нас есть обязательные курсы о правилах информационной безопасности, которые они должны изучить и соблюдать. Содержание наших курсов всегда разрабатываются под конкретных специалистов: сотрудников офиса, клиентского сервиса или склада.

Также мы каждый год проводим тренировочную фишинг-рассылку, ее разрабатывает наша команда — в ней мы рассказываем о «секретных корпоративах» или скидках, для доступа нужно ввести корпоративную почту и пароль от нее. После мы фиксируем реакцию сотрудников и динамику изменения поведения — с каждой проверкой на такие письма откликается всё меньше людей.

Любой крупный бизнес не может фокусироваться только на защите критической инфраструктуры, потому что доступ к данным можно получить и другими способами — например, через подрядчиков и партнеров. Поэтому мы повышаем киберграмотность по-разному, и делаем это не только внутри компании, но и для наших партнеров, продавцов, покупателей, курьеров, сотрудников ПВЗ. Они должны понимать возможные риски и знать основные меры предосторожности, чтобы не попасться на уловки мошенников. Наша цель — собрать вокруг себя людей, которые понимают, что такое информационная безопасность и почему она важна для компании.

CyberMedia: Как найти баланс между использованием технологий безопасности и обучением сотрудников, чтобы минимизировать риски безопасности и стресса для персонала?

Кирилл Мякишев: Постоянный поиск баланса — это процесс, и даже внутри одной компании он может иногда смещаться в разные стороны. Прошлый год мы объявили в Ozon годом информационной безопасности. Всем сотрудникам мы рассказывали в разных форматах, что такое ИБ, чем мы занимаемся и почему это важно — за счет такого подхода доверие и узнаваемость ИБ сильно выросли. Поэтому чтобы минимизировать риски безопасности и стресса для персонала нужно вести диалог — между ИБ и IT, ИБ и бизнесом, ИБ и обычными пользователями. В таком диалоге стороны должны понять друг друга, проникнуться общими проблемами и договориться, чтобы обеспечить всестороннюю защиту.