Журнал "Information Security/ Информационная безопасность" #4, 2018

20 • УПРАВЛЕНИЕ Трансформация роли CISO ейчас время перемен. Геополитическая ситуация, цифровизация, развитие технологий (что не равно), появление миллениалов. Общий рост количества информации, накапливаемой и обрабатываемой. Многие идеи, ранее воспринимавшиеся как метафора или футуризм, такие как искусственный интеллект и машинное обучение, укоренились и находят себе вполне практическое применение. Денежные знаки обезличиваются: вместо купюр с городами и историческими личностями – эмблема “биткоин” или маркетинговый пластик от банка-эмитента. Динамика потрясающая, каждый новый виток приближает к еще одной свежеиспеченной реальности. Рождаются карты будущих профессий, возникают министерства цифрового развития. Тенденция такая, что все отрасли и профессиональные сферы ориентируются на технологии, видя в них ключевое преимущество для устойчивого или взрывного развития. С Лев Палей, начальник отдела ИТ-обеспечения защиты информации, АО “СО ЕЭС” Особенно много говорят о трансформации ролей: l HR – которые должны максимально эффективно осуществить отбор среди большего (чем лет десять назад) количества соискателей, создать и поддержать корпоративную культуру; l CIO – которые стали ближе к бизнесу (а в некоторых компаниях и есть бизнес) и уже не могут с нуля развернуть почтовик или настроить роутер, зато умеют лавировать среди множества направлений и технологий; l учителя – чьи лекции уже не всегда очные, а тесты в основном онлайн, чье призвание уже больше направлять, а не повество- вать. И конечно, CISO – здесь ближе, но не понятнее. Как совместить движение в сторону концепции создания безопасных процессов, нацеленность на полноценное участие в бизнес-функциях и при этом желание "поиграть" в разведчика и что-нибудь внедрить (а вдруг пригодится)? Трансформация роли очевидно назрела – как и понимание ИТ-процессов, привычка к подсчету KPI, анализу трендов и проактивности мониторинга угроз. Другое дело – развитие профессионалитета, которое отстает от основных трендов. Причина проста: безопасность – это подключаемый сервис, который нужен для снижения рисков. И этот самый сервис становится ощутимо необходим, когда бизнес достигает определенного уровня зрелости собственных процессов и начинает работать с исключениями, выискивая новые пути для повышения эффективности. Соответственно, у стартапов или среднего размера компаний интерес к вопросам ИБ появляется только при острой необходимости (инцидент произошел) или в случае ИБ/ИТ-направленности самой компании (в целях формирования положительного имиджа). Большое количество потоков информации, постоянно возникающих и меняющихся, обязывает CISO разбираться во множестве направлений. Зачем ходить далеко? Технология блокчейн существует не так давно, а к широкому применению вышла уже пару лет как. Гарантированных методов защиты ее от описанных и озвученных злонамеренных воздействий пока нет. При должном уровне абстракции можно применить стандартные подходы: прикинуть модель угроз и нарушителя. Но дальше будет работа с исключениями – динамичная и временами непредсказуемая, т.к. проработанных методик нет. И тут CISO должен взаимодействовать: l с HR, чтобы понять, как нейтрализовать проблему быстрого включения от подставного работника; l с CIO, чтобы определить влияние внедряемой технологии и связанность с остальными системами, а также выявить допустимые способы защиты; l с корпоративными управленцами, чтобы определить, что и как сообщить работникам об угрозе и не получить обратный эффект. Этакий дипломат в квадрате, но с неотъемлемым шлейфом стереотипов, навеваемых профессиональным профилем. В какой- то момент вес появляющихся новых переменных и формирующихся потребностей работодателя обяжет CISO переродиться и оставить привычный набор функций роли позади. А вот какие качества и знания станут определяющими, для меня остается вопросом, его обсудили эксперты: Андрей Пряников, заместитель директора по безопасности по защите информации, ООО ТД “УНКОМТе” Андрей Ревяшко, ИT-директор, WILDBERRIES Константин Саматов, руководитель направления в Аналитическом центре Уральского центра систем безопасности, член Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова