Гармония противоположностей

Информационные технологии и информационная безопасность, как инь и ян, де-факто являются взаимодополняющими сторонами работы с информацией. Однако если важность развития ИТ большинству компаний уже объяснять не надо, то необходимость серьезного подхода к обеспечению безопасности работы с информацией пока что осознают далеко не все. 

Тот факт, что многие компании до сих пор не придают серьезного значения задачам в области информационной безопасности, достаточно наглядно иллюстрирует распределение ресурсов между ИТ и ИБ. «В среднем, если брать общий срез клиентов по всему миру, расходы на ИБ в ИТ-бюджетах компаний составляют примерно 5% и постепенно увеличиваются. В России эта цифра пока все еще значительно ниже — около 1,5%, но также растет, хотя и меньшими темпами», — подчеркивает менеджер по развитию бизнеса «Лаборатории Касперского» Кирилл Керценбаум. По оценке Алексея Лукацкого, бизнес-консультанта по безопасности компании Cisco, средний уровень затрат на информационную безопасность составляет от 8 до 11% ИТ-бюджета.

По словам Светланы Максименко, генерального директора компании «М-СТАНДАРТ холдинг», такое распределение объясняется прежде всего тем, что ИТ обеспечивает и развивает бизнес, тогда как информационная безопасность — вынужденная мера предосторожности. Генеральный директор компании «Аванпост» Андрей Конусов отмечает, что бюджеты на ИТ существуют практически в любых, даже самых небольших организациях, тогда как бюджет на информационную безопасность может и полностью отсутствовать. «Безусловно, все компании приобретают некоторые программные продукты, связанные с ИБ, — например, антивирусы, но эти затраты обычно проходят в рамках бюджета ИТ-подразделения. Есть и исключения: обычно это представители отраслей, в которых требования к ИБ очень высоки, а бюджеты, выделяемые на их исполнение, значительны — в частности, банки и госсектор, в котором главным стимулом развития ИБ являются требования регуляторов», — поясняет Андрей Конусов.

Размер имеет значение

Андрей Конусов («Аванпост») уверен, разделение направлений ИТ и ИБ внутри любой компании целесообразно всегда, поскольку у них диаметрально противоположные цели и нельзя эффективно решать поставленные задачи в рамках одного подразделения. «Для развития компании необходимо постоянно находить баланс между удобством и безопасностью, а это возможно, только когда в компании есть два отдельных подразделения со своими руководителями, напрямую подчиняющимся кому-то из первых лиц компании. Подчинение же руководителя направления информационной безопасности ИТ-директору может нарушить данный баланс и привести к серьезному снижению уровня защищенности информации внутри компании. Более того, любой организации весьма желательно иметь независимого контролера за деятельностью самих ИТ-специалистов: ведь именно они, имея полный доступ ко всем информационным системам, способны совершать особенно трудно выявляемые преступления, направленные против своей компании», — убежден Андрей Конусов.

Сила противоречия

Несмотря на то что разница в функциях ИТ и ИБ может восприниматься как неразрешимый конфликт, эксперты рекомендуют не относиться к этому как к проблеме, а напротив, рассматривать данное явление как залог гармоничного развития компании.

Светлана Максименко («М-СТАНДАРТ холдинг») также убеждена, если ИТ и ИБ решают общие задачи развития бизнеса, то никаких противоречий между ними быть не может в принципе, а если они есть, то это повод задуматься об эффективности структуры и менеджмента в компании. Андрей Конусов («Аванпост») уточняет, что специалисты с обеих сторон должны находиться в постоянном диалоге и отыскивать приемлемые решения вопросов, поставленных бизнесом — как с точки зрения удобства, так и с точки зрения безопасности, то есть, если следовать мудрой философии Сократа, истина должна рождаться в споре.

Новые вызовы

Взаимопонимание между ИТ и ИБ особенно важно в свете трендов развития высоких технологий, которые в ближайшем будущем поставят перед бизнесом новые задачи в области информационной безопасности.

«Каждая из этих тем требует создания целого комплекса новых защитных мер. Чтобы все это охватить, о каждом из вышеперечисленных трендов можно написать целую книгу или стандарт. Чем, собственно, и занимается сообщество ИБ», — отмечает Андрей Конусов («Аванпост»). По его мнению, все это приводит к тому, что для многих организаций вопросы информационной безопасности становятся уже не просто одной из множества рутинных задач, а темой, определяющей дальнейшее существование и развитие компании. Информационные технологии развиваются так стремительно, что обеспечить соответствующий уровень защиты информации очень непросто. Именно поэтому необходимо регулярно заниматься изучением новых передовых методов защиты, отслеживать информацию об актуальных угрозах и способах борьбы с ними, а также взять за правило с четко заданной периодичностью проводить оценку уровня информационной безопасности в компании и реализовывать планы по его повышению.

IT-Manager