Информационная безопасность компании — задача нетривиальная. Какие подходы созданы для ее решения, и возможно ли отдавать кибербезопасность на аутсорсинг?
Знакомство генерального директора ООО «ГЛОС» Аркадия Головина с IT случилось в семь лет, когда отец взял его на работу и показал компьютер, занимающий больше половины кабинета. По словам Аркадия, его зацепил двадцатиминутный ритуал включения этой «махины». Физмат-класс в школе, поступление в Томский государственный университет на факультет информатики, затем — работа в разных сферах внутри информационных технологий.
Карьеру как наемный сотрудник Аркадий Головин завершил в должности ИТ-директора международного холдинга, а в декабре 2007 г. открыл собственную компанию. История «ГЛОС» продолжается до сих пор. Сегодня это проверенный, прокачанный коллектив, насчитывающий 25 человек. География проектов уже давно вышла за пределы Новосибирска и страны. «Деловой квартал» поговорил с собственником «ГЛОС» о том, что такое комфортные IT, почему конфликт между айтишниками и специалистами по информационной безопасности — это хорошо, а утечка информации — нестрашно.
Чем вы можете быть полезны вашему клиенту?
— Первое наше базовое направление — IT-аутсорсинг. «ГЛОС» выполняет функцию IT-отдела для заказчиков, у которых есть незакрытые задачи по ИТ. В этом направлении мы входим в пятерку лидеров по Новосибирску. Еще одно направление — разработка программного обеспечения, в том числе проекты на Битрикс и ПО под задачи заказчика. Есть несколько долгоиграющих проектов, в рамках которых мы автоматизировали 80-90% бизнес-процессов крупных компаний. Самое молодое направление, но уже показывающее результаты, — информационная безопасность. И последнее, я бы сказал, особенное — проекты по IT-аудиту и IT-консалтингу.
Все чаще в СМИ появляются новости об очередном взломе, утечке, успешных компьютерных атаках. Как информационная безопасность переплетается с IT-аутсорсингом? Насколько эти понятия можно объединить?
— Информационная безопасность — трендовое направление, и, как я часто замечаю, оно тесно связано с работой IT-отдела. Также очень часто бывает, что сотрудник IT-отдела является и специалистом по информационной безопасности. На мой взгляд, это не совсем правильная история, потому что айтишники, системные администраторы запускают системы и отвечают за их функционирование, а безопасники обеспечивают сохранность и защиту корпоративных данных, помогают избежать утечки информации, отслеживают злоупотребления сотрудников в части доступа к информации. Идеальная, с точки зрения специалиста по информационной безопасности, система — та, которая отключена: в ней никто не работает, и унести или испортить данные не может. Таким образом, мы приходим к определенному конфликту между айтишниками и безопасниками. И на самом деле, если нет хорошего конструктивного конфликта, то компания не развивается. Бывают системы, в которых много чего понастроено, они классные для пользователей, но дырявые с точки зрения информационной безопасности. Или, наоборот, в них так сильно закручены гайки, что пользователям становится очень сложно работать, и это сказывается на эффективности. Поэтому здесь нужен определенный конструктивный конфликт, а потом — слаженное взаимодействие между двумя этими службами. Есть очень много хороших практик, которыми мы владеем и внедряем в проекты. На мой взгляд, такие истории получаются наиболее интересными, чем просто заниматься IT-аутсорсингом.
Расскажите подробнее о подобных проектах. Как удалось справиться с задачей?
— Были истории, в которых я выступал сначала в роли IT-аудитора, затем по результатам моей работы запускалось несколько проектов, в том числе по выстраиванию эффективного взаимодействия двух указанных направлений. В этих проектах определялись и формализовывались ключевые задачи и для айтишников, и для безопасников. Местами они были противоречивыми, поэтому, конечно же, пришлось регламентировать работу тех и других специалистов. Внедрение таких проектов занимает много времени, потому что должны быть перестроены не только системы, что в принципе сделать не очень сложно, а процессы и люди. В результате изменений появляется прозрачность этих двух направлений. Необходимая информация с определенным объемом и уровнем прозрачности предоставляется генеральному директору или совету директоров, а у тех появляется возможность принимать какие-либо решения именно с точки зрения стратегии компании. То есть мы помогаем уходить от вопросов, которые очень часто вредят бизнесу. Здесь есть момент взаимного контроля, но в результате каждый специалист занимается собственным делом, а система сама себя балансирует, от этого всем становится комфортно. Для топ-менеджмента и руководства компании главное — чтобы был результат, и он есть.
Комфортные IT для офиса, какие они? Что включить в это понятие? Как оценить эту самую комфортность?
— Комфортность IT в связке с информационной безопасностью сильно зависит от уровня зрелости компании в каждом из направлений. И осознание комфортности для каждой компании — свое. Например, есть компании, которые формулируют задания для айтишников так: «Мы хотим, чтобы все работало». Это часто встречающаяся формулировка. С ней работать весьма сложно. Мы помогаем сформулировать критерии «хорошего результата», потому что, если их не будет, ресурсы будут тратиться впустую и результат будет не тот, который ожидается. Поэтому изначальная формулировка запроса постепенно преобразуется в документ, который называется SLA. Приведу самый базовый пример, с ним сталкивается почти каждая первая компания, — скорость регистрации пользователя. Зачастую сотрудник, которого только приняли в штат, не может работать в информационной системе предприятия, потому что ему не предоставили доступ или не подготовили должным образом его рабочее место. То есть первый рабочий день (хорошо, если один) становится бесполезным. А бизнесу комфортно, например, чтобы это происходило за час. Весь список функций, которые предоставляет IT-отдел, может быть оцифрован, превратиться в правила — это и отражается в SLA. И это как раз говорит о комфортности работы. То есть для бизнеса IT — всегда инструмент для решения задач и достижения целей.
Далее за фразой «Мы хотим, чтобы у нас все работало» следует вопрос, какие действия предпринять, чтобы работалось проще, и это уже второй уровень комфортности. Здесь как раз речь идет об оптимизации и автоматизации с помощью IT-инструментов и поиске каких-то решений. Зачастую бывает так, что айтишники занимают пассивную позицию — ждут, когда им поставят задачу. В подавляющем большинстве бизнес не в силах сделать это четко. Как раз тут должно возникать встречное движение со стороны IT — айтишники должны предлагать варианты. Они смотрят на систему, находят в ней неэффективные звенья, предлагают варианты изменений. А безопасность все это время стоит рядом, следит, чтобы все данные сохранились, не пропали, отслеживает неправомерное использование корпоративной информации. Каждая компания принимает для себя решение, что такое безопасность для нее, и это тоже должно быть формализованно. Если формализация отсутствует, то непонятно, от чего защищаться. Сейчас системы стали слишком сложными. Обязательно есть опасные места, и компания должна отдавать себе отчет, что какие-то потери или утечки данных весьма вероятны. Здесь бизнесу лучше отталкиваться от недопустимых событий, чем от «защититься от всего». Например, в случае, если какие-то данные утекут в сеть — в какой степени пострадает бизнес? А если систему уничтожит злоумышленник, и восстановить ее будет невозможно? Какой из этих сценариев для компании реально недопустим? Какую задачу стоит решать сначала? Дальше специалисты по ИТ и ИБ выстраивают работу именно от этой задачи. Бизнес не может допустить остановки процессов, а то, что данные утекут и станут известны конкурентам, не так страшно, как разрушение системы без возможности ее восстановления.
Развитие IT-подсистемы любой компании подчиняется определенной логике. Последовательное движение по ней обеспечивает не только безопасность, но и комфорт работы, и развитие бизнеса.
Реклама erid: LjN8K3i3R ООО ГЛОС-ТРЕСТ ИНН: 5406421104