Что «болит» у специалиста по информационной безопасности
Служба специалиста по информационной безопасности и опасна, и трудна – помимо управления системами обеспечения информационной безопасности и реагирования на инциденты, ему приходится преодолевать череду сложностей, начиная с недовольства бизнес-подразделений из-за неудобств в работе, связанных со строгими политиками безопасности, а заканчивая ограниченными бюджетами и постоянно меняющимся законодательством с трудно выполнимыми требованиями.
ИБ vs IT
Конфликт интересов ИБ и IT уходит корнями глубоко в историю и берет свое начало с самого зарождения информационной безопасности как отдельного направления в организациях. У сотрудников IT главными задачами являются обеспечение бесперебойной работы всех сервисов и систем, а также автоматизация бизнес-процессов, в то время как служба ИБ предъявляет ко всем новинкам и улучшениям требования по безопасности, которые зачастую непросты в выполнении, в том числе с точки зрения ИТ. Со стороны бизнеса это выглядит так, что IT помогает бизнесу развиваться, а ИБ наоборот тормозит. При таком раскладе какие-то нюансы информационной безопасности уходят на задний план или вовсе не учитываются.
Кроме того, практически во всех организациях есть ПО, которое давно не поддерживается разработчиком. Соответственно, оно подвержено огромному числу уязвимостей, однако от его использования невозможно отказаться, а возможность обновления отсутствует. И это мы еще не говорим об уже изменившейся реальности и удаленной работе, которая размывает периметр организации и делает вопрос защиты информации в несколько раз сложнее.