Зачем и для кого мы строим в Ozon институт бизнес-партнеров по ИБ

• Суть проблемы
• Три варианта решения проблемы
• Подробнее о бизнес-партнере
• Где найти бизнес-партнеров?
• Какие проблемы возникают с бизнес-партнерами
• Вопросы и ответы

Информационная безопасность в компании нужна для сохранения данных, ограничения доступа к информации и предупреждения инцидентов. Чем крупнее организация, тем больше рисков. Но на практике требования от ИБ выглядят для бизнеса непонятными. Из-за разногласий релиз проекта откладывается. Избежать проблем можно с помощью привлечения бизнес-партнеров.

Опытом делится Глеб Поварницын. Руководитель отдела ИБ бизнес-партнеров.

Суть проблемы

Часто когда отдел информационной безопасности приходит в бизнес, появляются вопросы: «Зачем?», «Какие вопросы решаются?», «Как это влияет на работу отдела?» и другие. Из-за непонимания целей работа ИБ воспринимается как бессмысленная.

Еще одна проблема — обилие специалистов. При этом может складываться такая ситуация, что каждый работник службы предъявляет свои требования. Нередко они противоречат друг другу. Иногда сотрудникам других отделов нужно что-то узнать у специалистов по информационной безопасности. Только неясно, кто за что отвечает в службе, и к кому идти с вопросами.

Может показаться, что есть простое решение: сократили отдел до двух человек — и все. Один — руководитель, другой — подчиненный. Но эти два человека не смогут выполнять весь пул обязанностей. У них физически не хватит времени.

Еще одна неочевидная проблема — масштабность. Средний и крупный бизнес состоит из множества маленьких бизнесов. У каждого процесса есть свои специфические риски. Это нужно учитывать, иначе толку от системы информационной безопасности не будет, и сложится система, при которой устраняются не те риски или силы тратятся на решение второстепенных задач.

Три варианта решения проблемы

Первый вариант — ничего не делать. В целом, компании живут без изменений и вполне жизнеспособны. Они получают прибыль, развиваются, масштабируются.

Второй вариант — создание секьюрити-чемпионов. Это программисты, которые несут культуру информационной безопасности в массы. Они способны решать точечные задачи в режиме здесь и сейчас. Ждать стратегии от них не приходится. Из-за того, что программисты не являются безопасниками в полном значении слова, особенно высокого качества работы не приходится ждать. И это нормально, так как ИБ — отдельная сфера.

Разберем простой кейс. В Ozon месяцев 9 назад было принято решение запустить проект по привлечению работников на склады и сортировочные центры. Для этого создано приложение «Ozon Работа». Оно кроссдоменное, многофункциональное, универсальное. Разработка заняла 9 месяцев, и вот только состоялся релиз.

Теперь посмотрим, что было бы при классической системе работы с ИБ. Мы бы выложили какие-то коды, проекты, а безопасники пошли бы их изучать. При этом они остановили бы работу и взяли приложение для изучения. Потом выкатили бы замечания, и программисты принялись их устранять. В итоге релиз был бы… года через три.

Секьюрити-чемпион поступит точно так же. Единственное отличие: требований меньше. У программиста все же есть культура разработки. Он лучше понимает сферу.

Третий вариант — привлечь или назначить человека, который будет работать с информационной безопасностью. Он сразу представит требования, изучит проект и будет отслеживать изменения. Еще одна задача — предупреждение о сроках и датах проверок со стороны ИБ.

Такого человека называют бизнес-партнером. Его задача — выступать связующим звеном между ИБ и бизнесом. Он контролирует процессы и помогает отделам координировать свои действия.