Тут в одном чатике по безопасности АСУ ТП зашла очередная дискуссия про безопасность и ее место в бизнесе. И, если отбросить долгую прелюдию, то традиционная позиция ИБшников звучит обычно так: «Мы находимся в стороне от бизнеса и к нам неприменимы общие правила и подходы». Я же сторонник прямо противоположной идеи, что ИБ — эта такая же бизнес-функция, как и любая другая, как бухгалтерия, финансы, ИТ, продажи, производство и т.п. И подходить к ней надо с точки зрения вклада ИБ в создание внутреннего продукта компании.
Важное замечание. Когда я говорю про внутренний продукт, это не термин из ИТ-разработки, когда речь идет о разработке некой системы для внутреннего потребителя. Скорее это близко к классическому пониманию продукта в экономике, то есть когда нечто обменивается потребителем на деньги или иную ценность. Только в отличие от обычного продукта, продаваемого внешним клиентам, мы говорим о том, что предлагается внутри — бухгалтерское обслуживание, рекрутинг персонала, доступность внутренней инфраструктуры, документооборот и т.п.
Каждое подразделение что-то делает и, как правило, результат этой деятельности и является внутренним продуктом, вкладом в внешний продукт/сервис компании, продаваемый на рынке. Например, в Apple вклад делают все — разработчики, создающие iPhone, сейлы, продающие его крупным заказчикам, партнерские менеджеры, ищущие каналы сбыта, дизайнеры, создающие эффект «вау», юристы, пишущие такие лицензионные соглашения, что не придерешься, ИТшники, обеспечивающие работоспособность сайта, с которого идут продажи и т.п. И в нефтедобыче тоже самое, и в производстве автомобилей на конвейере. И вообще везде.
Сумма всех внутренних продуктов представляет собой внешние продукты компании.
Бывает и бесполезная с точки зрения общей цели внутренняя деятельность. Про подразделения или людей, которые ее генерят, говорят «дармоеды».
Я считаю, что любое подразделение (от его руководителя до рядового сотрудника) должно знать, какой они внутренний продукт или продукты производят и какой вклад в общий продукт компании они вносят. У кого-то он больше, у кого-то меньше, но у всех он должен быть.
А иначе накойхер нужны дармоеды, которые ничего не привносят?!
Давайте посмотрим на компанию, которая занимается добычей полезных ископаемых, и на то, какой вклад вносят ее подразделения в то, что затем продается на рынке. Итак, при добыче полезных ископаемых у вас есть:
- горняки, их добывающие,
- продавцы, их продающие,
- юристы, обеспечивающие чистоту/защиту сделок по их продаже,
- ИТшники, обеспечивающие функционирование инфраструктуры их продажи,
- ремонтники, обеспечивающие работоспособность оборудования по их добыче,
- маркетологи, обеспечивающие их продвижение,
- уборщицы, обеспечивающие чистоту в помещениях, где работают все остальные (перестаньте чистить туалет и вы очень быстро,
- увидите результат и вклад уборщицы в общее дело),
- охранники, обеспечивающие их сохранность до момента продажи,
- ИБшники, обеспечивающие защиту информации о сделках и об их ценах, доступность инфраструктуры, которая их продает,
- бухгалтера, которые выставляют счета на них,
- финансисты, которые определяют цены на них,
- завхозы, которые обеспечивают топливо для автомобилей, перевозящих их,
- водители, которые перевозят их,
- и т.п.
Их всех и нанимают для производства и реализации продукта. А иначе зачем они все нужны? То, что ИБшники часто вообще не понимают, что они делают в своей компании, не понимают, на чем компания зарабатывает деньги и на чем теряет, говорит только о том, что ИБшник плох в бизнес-вопросах, а не о том, что он не вносит вклад в рост доходов, снижение расходов, увеличение маржинальности, рост доли рынка, снижение себестоимости, рост капитализации и иные цели, которые может ставить перед собой бизнес. При этом в ИБ-вопросах ИБшник может разбираться на уровне Ландау в математике или Капицы в физике.
Я соглашусь с тем, что многие сотрудники многих компаний ни хрена не понимают, какой вклад они вносят в бизнес-результаты своего работодателя. Многие себя считают всего лишь винтиками, забывая, что и от винтика многое зависит (вспомним свежую историю с неприкрученной дверью у Боинга, что привело к приостановке полетов и потенциальным искам к производителю самолетов).
Расходы на содержание всех этих работников, помимо прочих расходов, обычно включаются в себестоимость выпуска продукта/услуги компании. То есть вклад есть как минимум на уровне зарплаты специалистов, которых учли при расчете себестоимости, то есть минимальной стоимости продукта/услуги.
Дальше мы можем (другой вопрос — умеем ли) считать добавочную ценность, которую подразделения привносят в деятельности компании, которая продает свои продукты не по себестоимости, а в 2, 5, 10, 100 раз выше. И происходит это потому, что у продукта офигенный дизайн (например, благодаря дизайнерам Apple), потому что он эксклюзивный (например, благодаря маркетологам Tiffany), потому что он безопасный (например, благодаря конструкторам и маркетологам Volvo), потому что он инновационный (например, благодаря разработчикам ChatGPT) и т.п. И вот на этом этапе ИБшники отходят в сторону и говорят: «А мы не как все, мы только реализуем требования регуляторов».
Ну так если вы их реализуете, так и идите работать к регуляторам. Накойхер вы в бизнес пошли? А если уж вы в бизнесе работаете, то будьте добры разделять его интересы и понимать свою роль в достижение его бизнес-целей. Или хотя бы попытайтесь это сделать.
Дальше уже возникнет вопрос, а как оценивать свой вклад в бизнес. Через риски? Через недопустимые события? Через негативные или нежелательные последствия? Через ROI или ROSI? Через систему сбалансированных показателей? Да, как угодно. Можно попробовать любой из этих методов, если бизнес его примет или уже сам использует. Главное, задаться краеугольным вопросом:
Какой вклад ИБ вносит в бизнес?!
Поиск ответа на него — уже половина успеха в деятельности ИБшника, которого не устраивает текущее положение дел, когда он на задворках и финансируется по остаточному принципу, а то и вовсе по тому, что осталось от остаточного принципа. Рекомендую начать с просмотра небольшого моего выступления о том, как влияет ИБ на бизнес-модель предприятия:
PS. Внизу даны ссылки на некоторые записи про бизнес-ориентированную ИБ.
Добавлять ИБ-шника в общий перечень не совсем корректно. Условно взять ту же уборщицу она убирает в Горнодобывающей компании (из вашего примера), что изменится от того что она будет знать или не знать на чём зарабатывает её компания, от этого знания её функционал не изменится и люди не перестанут мусорит, а бухгалтер, он оперирует суммами и счетами и продукция для него всего лишь строчка в балансе, ничего не изменится в его работе будет он проводить руду или молоко.
ИБ-шник он в этом смысле ближе к «продажникам», он должен понимать, чем «дышит» компания, дабы видеть уязвимые места в процессах. Даже в самом крайнем варианте, когда Иб-шник не понимает бизнес-функции компании, а просто выполняет закреплённый функционал и требования регулятора он всё равно будет вносить вклад во внутренний продукт.
Если бизнес хочет видеть Иб-шника партнёром, тогда, бизнесу, нужно ставить соответствующие цели и задачи. Это обоюдный процесс.
«Бизнесу нужно…» Бизнес и так ставит соответствующие цели и задачи, когда берет на работу ИБшника. Защищать бизнес, а не регулятора или государство. А ИБшник продолжает выполнять дурацкие требования. За нарушение ФЗ-152 в части технической защиты персданных ответственности никакой и в худшем случае штраф будет 60 тысяч рублей. Это меньше чем защита одного компьютера, обрабатывающего ПДн, по 21-му приказу ФСТЭК. И зачем тогда нужен ИБшник, который настаивает на выполнении ФЗ-152?
Довольна странная аргументация не выполнят требования регулятора потому, что там маленький штраф. Если логично продолжить ваш пример, то можно также офис не убирать там вообще штрафов нет, зато работать будет не очень приятно.
«Бизнес ставит соответствующие цели и задачи, когда берет на работу ИБшника» — собственно, о том же я и сказал, что целеполагание от бизнеса должно быть, как минимум чётко сформулировано и подробно описано, а для этого как раз и нужен ИБшник. Иначе (при отсутствии чётких задач) получится, что Бизнес нанял ИБшника и ждёт что он выстроит процесс (и он его выстроит, но только так как он видит) и не факт, что результат бизнес удовлетворит. Поэтому чтобы «всем было хорошо» нужно работать вместе в части целеполагания и формирования задач.
Почему странная? Убираться в офисе от меня государство не требует — это целиком моя прерогатива. Хочу жить в говне — буду, не хочу — буду убираться.
И да, работать надо вместе, но пока ИБшники работают вместе с регуляторами преимущественно.
Vlad правильно говорит. Бизнес, зачастую, берет ИБ-шника «чтобы был». И задачу ставит так же — обеспечь безопасность там. Что, как? Ну ты ж ИБ-шник, сам знаешь, мы тебя взяли работать, а не глупые вопросы задавать. Чтобы ты нам закрыл эту задачу. И вот что делать ИБ-шнику? Он начинает выполнять требования регуляторов. Потому что тогда он может ответить на вопрос, а почему ты делаешь именно это или именно так? А чтобы бизнес ставил ИБ-шнику четкую задачу, я такого в своей жизни ни разу не встречал, увы. Теоретически, ИБ-шник постепенно может сам разобраться в потребностях бизнеса. Но для этого его нужно допустить до топ-менеджеров, и чтобы они делились с ним информацией. А на уровень топ-менджмента у нас любят брать «бывших», из разных силовых структур. Которые, обычно, в ИБ не очень понимают. Зато их ставят командовать ИБ-шником. И с таким фильтром шансы понять потребности бизнеса стремятся к нулю. Кто виноват и что делать? Не знаю.
Ну, эээ. Вот приходит ИБшник к топ-менеджеру и говорит: «Дайте мне 100 мильенов, чтобы соответствовать ФЗ-152». Ему в ответ: «А если не дадим, то что?» ИБшник: «Ну, ээээ, 60 тысяч штрафа». Бизнес: «До свидания». А если ИБшник либо придет и скажет «стоимость соответствия ФЗ-152 такая-то, риски несоблюдения такие-то, правоприменение такое-то, предлагаю «забить», то это уже бизнес-подход. Или «стоимость такая, если мы не соблюдаем, то в случае инцидента удар по репутации, снижение лояльности, выражающееся в снижении среднего чека, отток клиентов, что приведет к потерям такой-то суммы доходов и т.п.». Тоже бизнес-подход. А простое выполнение 21-го приказа, потому что «а как иначе», — это не бизнес-взгляд. Бизнес ждет от ИБшника именно его. А не дождавшись и начинает относиться к ИБ как к бесполезной игрушке, которая нужна «потому что у всех есть», а не потому, что это подразделение реально чем-то готово помочь
О чем и речь кто ставить четкие задачи: Государство, путём постановлений, законом регламентов ….. и т.д. их выполняем.
Бизнес??? (где чётки задачи? их нет)
Если бизнес не может сформулировать задачу в таком случае стоит положиться как минимум на ИБшника (во-первых), и как минимум выполнить требования регуляторов (во-вторых). Далее, уже совместно определить, что нужно, а что нет, какие процессы критичны, какие выносим на второй план. Включать ИБшника в процессы с целью выявления рисков.
Это же так просто.
В общем, вы правы в отношении того, как все должно работать. Тут я с вами и не спорю. Но хочу подсветить проблему, которая заключается в том, что не только ИБ-шник должен хотеть стать бизнес-ориентированным, но и сам бизнес должен этого хотеть. Сейчас это зачастую не так по разным причинам. И инициатива снизу тоже зачастую не работает, тоже по разным причинам. Поэтому обвинять в текущей ситуации одних только ИБ-шников неправильно. Нам обидно 🙂
Ну бизнес как бы и так бизнес-ориентированный 🙂 Должен ли он ставить ИБ задачи? Наверное. Но он этого пока не делает. ИБ может и дальше сидеть и жаловаться, а может попробовать взять все в свои руки и пойти навстречу. Каждый выбирает для себя.
ЗЫ. И да, мне просто говорить 🙂