Владимир Кочанов, эксперт в области корпоративной безопасности: службам ИБ и СБ нужен «переводчик», который понимает всех

Когда компании все чаще сталкиваются с внутренними инцидентами, утечками данных и давлением со стороны регуляторов, эффективность защиты бизнеса все больше зависит от того, насколько слаженно работают службы безопасности и информационной безопасности. Конфликты между ними способны парализовать процессы, а согласованные действия — наоборот, укрепить устойчивость компании. О том, где проходит граница между зонами ответственности, как выстроить доверие, зачем обеим службам нужен «переводчик» на язык бизнеса, в интервью Cyber Media рассказал эксперт в области корпоративной безопасности, автор Telegram-канала «СБПроБизнес» Владимир Кочанов.

Cyber Media: Почему сегодня нужно говорить о взаимодействии между СБ и ИБ?

Владимир Кочанов: «Сегодня» — не совсем корректная дата. Могу предположить, что говорить о кросс-функциональном взаимодействии нужно всегда. Будь то продажи и производство и логистика, а с ними и корпоративная безопасность. Если вспомнить зарождение такой функции как безопасность бизнеса, и не уходить в своих воспоминаниях далеко в историю, то можно понять, что изначально не было делений на безопасность логистики, кадровую безопасность, ИБ или OSINT. Была просто безопасность, которая занималась всем. Вернее, как правило, она была реактивной, то есть занималась проблемами, которые уже наступили. Эволюционное развитие бизнеса, подтолкнуло и функцию безопасности к развитию и разделению на направления. Легкое обострение «сегодняшнего» диалога между направлениями СБ и ИБ, на мой взгляд, было вызвано государственными регуляторами, которые ввели ответственность для бизнеса за невыполнение тех или иных мер, которые со стороны государства считаются опасными.

Легкое обострение «сегодняшнего» диалога между направлениями СБ и ИБ, на мой взгляд, было вызвано государственными регуляторами

Cyber Media: О каких конкретно мерах вы говорите?

Владимир Кочанов: Например, ответственность за работу с персональными данными или невыполнение мер элементарной цифровой гигиены. Государство указало, что конкретно считается важным, бизнес вынужден считаться с интересами государства. В последние годы это становится все более заметным. Безусловно, у государственных регуляторов не так много инструментов для привлечения внимания, но не будем их перечислять. И очень жаль, что вновь был применен реактивный подход.

Cyber Media: Где проходит граница между зонами ответственности СБ и ИБ — и почему ее часто трудно провести?

Владимир Кочанов: Зона ответственности проходит там, где ее определит лидер функции безопасности, а бизнес подтвердит, что согласен с этим. Если идти по пути логики, то граница проходит по определению рисков. Это подход простой и понятный.

Cyber Media: Можете привести несколько примеров из тех кейсов, с которыми встречались?

Владимир Кочанов: В одной международной компании СБ включает в себя работу по проверкам персонала и управление риском коррупции, а также информационную безопасность. Руководитель глубоко в теме управления этими рисками. Конечно, на направлении кибербезопасности у него работает специалист, который не будет участвовать в контроле проведения инвентаризаций, а специалист ЭБ не будет мониторить обновление драйверов на оборудовании. Но специалист по ЭБ с легкостью проводит служебные проверки по фактам пересылки персоналом компании КТ с корпоративной почты на личную. О самом факте, ему сообщает специалист ИБ. Иеет место взаимная и плодотворная кросс-функциональная работа. Они прекрасно дополняют друг друга и приносят пользу компании – вместе генерируют идеи по предупреждению проблем, придумывают совместные проекты по тренингам для остального менеджмента и линейного персонала.

Нужно осознание того, что СБ — партнер для бизнеса, а стремление, к партнерским отношениям — залог успеха

Cyber Media: Какие конфликты чаще всего возникают между СБ и ИБ внутри компании, как их можно предотвратить?

Владимир Кочанов: Любые конфликты между функциями всегда происходят прямо или косвенно по нескольким причинам, перечислю основные из них. Если в компании функции СБ и ИБ разделены, то конфликты происходят из-за ответственности. Чья вина, что произошел инцидент? Кто должен проводить ту или иную активность в предупреждении проблем? Например, в компании есть положение о коммерческой тайне. Традиционно, этот вопрос курирует подразделение ЭБ. Утечка произошла через корпоративную почту, а это уже сфера интересов ИБ. Если же в компании прямо не прописано, кто будет заниматься этой проблемой, а также нет взаимодействия между направлениями, возникнет конфликт.

Cyber Media: Как наладить эффективное взаимодействие между СБ и ИБ, чтобы они не конкурировали, а усиливали друг друга?

Владимир Кочанов: Наверное, это самый простой вопрос. Объединение под общим руководством грамотного лидера.

Cyber Media: Тогда, какие инструменты реально помогают наладить обмен информацией и совместную работу — общие расследования, единые базы, совещания?

Владимир Кочанов: Самый главный инструмент помогающий наладить взаимодействие, всегда — руководитель. СБ и ИБ работают на компанию, то есть подчиняются, например, CEO. Вот он и есть самый эффективный инструмент. Но мы понимаем, что не каждый CEO, выдержит информационный штурм не только от бизнес-подразделений, но и от блока безопасности. Безусловно, те инструменты, которые вы перечислили, полезны для кросс-функциональной работы любых подразделений. Одним из самых эффективных инструментов, я считаю совместные рабочие группы. Но представьте, сколько бюрократии нужно, чтобы описать схему работы такого инструмента. То есть, если мы проводим рабочую группу, то все участники должны понимать, что каждый из них делает. Кто пропишет такой регламент? И так по каждому перечисленному вами инструменту. Даже совместный выезд на природу — это не просто активность менеджмента, а процесс, который имеет стратегическую цель.

Cyber Media: Что мешает специалистам по СБ и ИБ понимать друг друга — и как можно преодолеть этот барьер?

Владимир Кочанов: Исторически сложилось, что подразделения СБ работают в реактивной позиции. Это «мышечная память» выходцев из силовых структур. Придя в бизнес, многие пытаются создать в компании аналог того, чем занимались раньше.

Теперь рассмотрим подход в работе ИБ. Как правило, там мало выходцев из силовых структур. В силу специфики работы, они настроены на предупреждение угроз. А это значит, что подход принципиально разный. Разработка и соблюдение политик, выявление уязвимостей, до того, как произойдет атака, профилактика – вот основные инструменты работы ИБ. Согласитесь, что проще мониторить соблюдение цифровой гигиены, чем найти шифровальщика? Они разговаривают на разных языках, поэтому и не понимают друг друга. Им нужен «переводчик», который понимает всех.

Если две подчиненные руководителю службы не понимают друг друга, то единственный совет, который я могу ему дать – не руководи, у тебя не получается

Cyber Media: Какие компетенции нужны современным специалистам, чтобы СБ и ИБ говорили на одном языке?

Владимир Кочанов: Прежде всего, необходимо понимание того, что прогнозно-аналитический подход в работе СБ и ИБ приносит пользу для компании. Значительно легче и дешевле работать на предупреждение образования потерь, чем дождавшись проблем, бежать их решать. Безусловно, нужны и коммуникативные навыки, а также здравый подход и понимание необходимой бюрократии. Важно постоянное обучение, мониторинг новых методов работы, направленных на минимизацию и предупреждение рисков. В совокупности, нужно осознание того, что СБ — партнер для бизнеса, а стремление к партнерским отношениям — залог успеха.

Cyber Media: Видите ли вы тенденцию к объединению СБ и ИБ в единую службу — насколько это оправдано?

Владимир Кочанов: Проводя аудиты, консультации, стримы, читая сообщения от друзей и подписчиков, порой приходит удивление, насколько разнообразны подходы в работе функции безопасности в разных компаниях. Я обратил внимание на несколько интересных моментов. Немного удивила тенденция следующая тенденция: некоторые компании при поиске сотрудников функции безопасности акцентируют внимание соискателей на том, что опыт работы в силовых подразделениях является не особо приоритетным. Также мне встречалась компания, в которой функцией безопасности руководила директор по персоналу, не служившая в силовых подразделениях. И очень неплохо руководила. Была крупная федеральная компания, которая осознанно отказалась от службы безопасности, перераспределив функционал между другими подразделениями. Очень частое явление, когда руководителю IT отдают отдел или направление ИБ. Вот, что я считаю опасным для компании.

Можно сказать, что в мире корпоративной безопасности возможно многое и это «многое» может работать. Я голосую за объединение этих направлений в одну дирекцию с разделением по функциональным направлениям.На мой взгляд, это полезно и правильно.

Cyber media: Какой главный совет вы бы дали руководителю, у которого СБ и ИБ постоянно недопонимают друг друга?

Владимир Кочанов: Если две подчиненные ему службы не понимают друг друга, то единственный совет, который я могу дать – не руководи, у тебя не получается. Основная работа руководителя заключается именно в создании условий для успешного функционирования тех инструментов, которые у него есть. Если он не может создать такие условия, то вопрос уже к его профессионализму.

Если мы говорим о совете, как улучшить взаимодействие между этими направлениями, то я бы посоветовал этому руководителю обратить внимание на KPI или показатели этих направлений. Очень часто бывает так, что показатели их работы зависят друг от друга, и если один выполняет свой KPI, то у другого он автоматически «падает» или становится заведомо невыполнимым. Еще совет, создать системный подход в работе: все должны четко понимать правила работы.

Cyber media: Ваш канал «СБПро Бизнес» читают как безопасники, так и ИБ-специалисты. Насколько важно, чтобы и те и другие были в курсе последних тенденций в работе коллег?

Владимир Кочанов: Мой канал создавался больше для бизнеса, ведь бизнес не знает, что такое безопасность. Нас боятся, не доверяют, это очень плохо для любой компании и любого бизнеса. Мы не карательный орган, а поддерживающее подразделение. В каждой публикации, статье или видео стараемся разъяснять это. Получается, выполняя эту миссию, мы обсуждаем новинки или эффективные подходы в работе. Призываю коллег из функции безопасности подписываться на тематические каналы. Подписывайтесь, комментируйте, пишите статьи и рассказывайте о своих победах и неудачах, только так мы сможем занять достойное место в корпоративном мире и побороть вредный стереотип о нашей исключительности или закрытости. Также призываю коллег, проявлять любознательность и изучать другие направления корпоративного мира: логистику, HR, маркетинг и др. Эффективная работа в корпоративном мире зависит от ваших знаний работы других подразделений. Нужно говорить с бизнесом на его языке.