Автоматизация или риски: вечный конфликт ИБ и ИТ-специалистов
В одной из статей мы уже писали о болезненной для любого ИБ-специалиста теме – о проблемах, с которыми приходится сталкиваться в попытках выстроить процессы обеспечения безопасности (и зачастую это не просто уязвимости и угрозы извне). Сегодня мы расскажем, как безопасникам найти общий язык с айтишниками и начать работать над общей целью.
Информационные технологии и информационная безопасность – важнейшие компоненты успешной работы абсолютно любой организации. И даже несмотря на то, что подразделения ИТ и ИБ объединяет общая цель – предоставление услуг или продуктов, которые помогут решить бизнес-задачи организации, не добавив при этом рисков – между ними наблюдается некое противоборство, столкновение интересов.
Одной из задач ИТ является автоматизация бизнес-процессов/производства, в том числе под этим понимается ускорение и упрощение многих процедур и процессов в организации. При этом подразделение ИБ несёт ответственность за то, чтобы внедрение передовых информационных технологий не привело к существенным угрозам для бизнеса и утечкам конфиденциальной информации. Поэтому рано или поздно возникает вопрос: как разделить и одновременно согласовать действия данных служб?
Нередко проблема взаимодействия ИТ и ИБ-специалистов кроется в неправильно выстроенной организационной структуре. Конфликт обостряет не только вопрос подчинения и «решающего слова», но и бюджетирование. Существует 3 способа организации подчинения, каждый из которых имеет свои преимущества и недостатки.