ИТ и CБ. Как выстроить партнерство
Информация – самый важный из ресурсов современного
общества, вокруг которого крутятся деньги.
Как бы ни развивалось общество, решая технические проблемы и создавая новые технологии, переложить риски коммуникаций на технические средства невозможно. Опять и опять возвращаюсь к теме взаимодействия подразделений, имеющих пересекающийся функционал.
Для тех, кто читает журнал достаточно давно, напомню, что уже в далеком 2010 году в одном из спецвыпусков я опубликовал статью «Кто в ответе за ИБ, или Комплексное меню для бизнеса». Как ни странно, тема корректного взаимодействия подразделения информационных технологий и службы безопасности жива и генерирует достаточно большое количество вопросов.
Конечно, организационная структура и кросс-функциональное[1]* взаимодействие – это не автоматизируемые сущности, но снизить риски конфликта можно, а это значит, сделать свою компанию более эффективной. Попробуем разобраться с проблемами и предпосылками, ну а решение в каждой конкретной ситуации будет вашим и, скорее всего, уникальным.
Давайте посмотрим на таблицу 1 и попробуем ответить на вопрос: какой ее частью вы охарактеризовали бы взаимоотношения ИТ- и СБ- подразделений в вашей организации? Если левой, то поздравляю – у вас все отлично, закрывайте журнал и займитесь делом :-). Если правой, есть смысл читать дальше.
Таблица 1. Возможности и ограничения кросс-функционального взаимодействия
Конечно же, кросс-функциональное взаимодействие выстраивается на основании организационной структуры предприятия, и если при ее построении были нарушены основные логические принципы (уникальные для вашей компании), то, скорее всего, конфликт неизбежен и, более того, практически неразрешим на обычных условиях. Если смотреть более детально, то, скорее всего, при противостоянии СБ и ИТ выиграет руководитель СБ. Не в обиду будет сказано ИТ-директорам, но коллеги из СБ более практичны, имеют опыт политической борьбы, хитрее, ну и ближе к первым лицам. Так что надо признать, что шансов победить в конфликте у ИТ-директора практически нет. К сожалению, в случае конфликта при любом раскладе проигрывает сама компания. Что делать в такой ситуации, мы и рассмотрим.
От симптомов к проблеме
Давайте вернемся к основной проблеме. Попробуем построить логическую связь «симптом проблемы ? проблема ? причины проблемы». Основной симптом того, что у вас существует проблема, – наличие одного или нескольких пунктов из правой части таблицы или явное ощущение, что всё, что вы делаете, останавливается и умирает на уровне подразделения по безопасности. В самых явных и запущенных случаях (если вы толстокожий и об этом не догадались раньше) СБ начнет проверять ваших поставщиков, счета, присутствие на рабочем месте и проводить прочие оперативные мероприятия, направленные против вас или вашего подразделения.
Итак, вы четко видите симптомы того, что существует некая проблема между ИТ и СБ. Теперь попробуем идентифицировать саму проблему. Для наглядности воспользуемся диаграммой «Туча» (схема 1).
Схема 1
Поясню диаграмму. Для успешного развития бизнеса требуется следующее.
Для начала нужно снизить все возможные риски юридического, финансового и прочего характера. Это сомнения не вызывает. Для работы с данными группами рисков есть специальные подразделения (юристы, экономисты, маркетологи, финансисты, бухгалтера и пр.). Соответственно, есть группы рисков, с которыми работает и подразделение по безопасности, например физическая безопасность (объекта или людей), экономическая безопасность (компании или собственника), репутационные риски и т. д.
Мы можем предположить, что утечка любой, а особенно конфиденциальной информации (персональные данные, бюджеты, себестоимость и пр.) может стать причиной негативных ситуаций и, как следствие, реализации рисков в конкретных инцидентах. Это объясняет тот факт, что подразделение по безопасности вынуждено контролировать и/или ограничивать распространение той или иной информации по всем возможным каналам утечки.
Еще один пример, чтобы именно айтишникам стало понятна логика. Ответственность за репутационные риски, равно как и за экономические, часто несет именно подразделение безопасности. Теперь представим, что вашу сеть взломали и вывели из строя сайт, учетную систему или АСУТП. Кто будет расследовать данный инцидент? Конечно, СБ, ведь мы имеем целый букет сработавших рисков, прямо или косвенно влияющих на самое святое – деньги компании или собственника.
В итоге можно сделать вывод, что служба безопасности будет зорко охранять все то, что может послужить прямо или косвенно причиной инцидента по выявленным рискам, и противодействовать всему тому, что не попадает в понятные и контролируемые ею рамки. И прежде всего это касается распространения информации. Что, на мой взгляд, оправданно, так как ответственность несет именно она.
С другой стороны, развитие бизнеса в современном мире представить без развития и использования ИТ невозможно. Да и что греха таить, сама СБ все больше и больше использует средства информационных технологий (в отличие от оперативных мероприятий), ведь ее основная задача – работать с информацией (этакий «мастер слушающий»), и чем этой информации больше, а способ ее получения дешевле, быстрее и надежнее, тем лучше.
Собственно, основная проблема, думаю, уже всем понятна – это явно противонаправленные логика и действия двух подразделений. Одни стремятся увеличить доступность, другие – ограничить распространение. Давайте подытожим формулирование проблемы простым рисунком (схема 2).
Схема 2
Причины проблемы
Настало время поговорить о самом главном – причине проблемы. Несмотря на огромное количество уникальных причин, есть причины, которые встречаются чаще и сопутствуют почти всем конфликтным ситуациям. Из них я выделю две, на мой взгляд, основные:
• Борьба за ресурсы.
• Борьба за полномочия.
Говоря о борьбе за ресурсы, я подразумеваю как людей (чем больше сотрудников мне подчинены, тем больший вес в организации я имею), так и программно-технические средства (кто владеет информацией, тот владеет миром). Говоря о полномочиях, я прежде всего имею в виду того, кто принимает решения в той или иной области, и здесь противостояние между ИТ и СБ заметно особенно сильно. Но говоря о принятии решений, надо помнить, что вместе с правом принимать решения автоматически передается ответственность за последствия принятых решений. ИТ-руководители не всегда это ощущают и понимают в полной мере, в отличие от силовиков.
Что же делать? Неужели этот естественный конфликт интересов нельзя нивелировать приемлемым для эффективности организации решением?
Зная диагноз – можно лечить
Попробуем еще копнуть немного вглубь и посмотреть, как можно регулировать возникновение описанных выше причин. Для начала скажу, что для нивелирования конфликта необходимо четко выделить зону такового. В большинстве случаев периметр конфликта можно определить как пограничные функции двух конфликтующих сторон. В нашем случае конфликтующие функции можно отнести к блоку информационной безопасности, то есть пограничной области межу функциями безопасности и функциями ИТ.
Конечно, не всегда есть возможность и целесообразность выделить конкретное подразделение, которое будет заниматься вопросами ИБ, но выделить функции ИБ можно, а если есть функции, значит, их можно распределить в существующей организационной структуре. Описание проектирования конкретных мероприятий не входит в рамки данной статьи, но типовые действия по устранению конфликта и повышению эффективности организации можно кратко представить на схеме 3.
Схема 3
Поясню каждый блок в отдельности. Выделить функции ИБ и назначить ответственного за них – назовем эту роль CISO (Chief Information Security Officer) по аналогии с CIO. Сформулировать и описать основные процессы, подпадающие под блок ИБ. В зависимости от структуры и потребностей организации функционал может существенно отличаться. Не старайтесь описать и передать сразу все, тут важно не торопиться. Начните с малого, ну а жизнь и востребованность в дальнейшем сделают свое дело и сбалансируют распределение.
Если это выделенное подразделение, то необходимо правильно расположить его в организационной структуре компании. Если это конкретный человек, нужно понять его прямое подчинение. Это касается и случаев, если у вас матричная система управления. Тут одним из важнейших вопросов, на которые придется ответить, будет: кто является заказчиком функции, а кто исполнителем? Не пугайтесь, вариантов не так уж много, всего три:
· подчинение первому лицу или совету директоров;
· подчинение блоку ИТ;
· подчинение блоку СБ.
Основные варианты отличий приведены в таблице 2.
Таблица 2. Место ИБ в структуре предприятия
После того как функция ИБ выделена и надежно вписана в организационную структуру предприятия, необходимо закрепить это соответствующей матрицей ответственности за функции или процессы. Если в вашей организации не приняты такие документы, как матрица, ее элементы можно распределить по положениям о подразделениях или по служебным инструкциям. Лучше не пренебрегать документально зафиксированными функциями, так как это является одним из основных регулирующих моментов.
Ну и последнее. Для того чтобы построенная вами система распределения функций заработала быстрее, очень рекомендую подумать над системой мотивации, основанной на системе связанных показателей подразделений или личных KPI руководителей. Когда есть связанные показатели, процесс договаривания между сторонами конфликта идет эффективнее, они быстрее учатся не наступать друг другу «на ноги».
***
В заключение хочется сказать, что неразрешимых проблем не бывает, нужно только посмотреть на них под правильным углом и понять их истинные причины, для устранения которых уже и планировать соответствующие мероприятия.
Великий китаец Лао Цзы сказал: «Дорога в тысячу ли начинается с первого шага». И я уверен, если вы захотите решить эти проблемы – вы пройдете этот путь и построите свою систему.
[1] Кросс-функциональное взаимодействие – согласованные действия работников разных направлений деятельности в ходе выполнения ими своих функциональных обязанностей для достижения целей компании.
Опубликовано 30.09.2015