Для меня главный критерий отбора сотрудников – их честность

Главная особенность ИБ-ландшафта Корпорации МСП — разделение на внутренние и внешние системы. Первые в основном обеспечивают операционную деятельность компании. Вторые — это публичные системы, предназначенные для пользователей наших веб­сервисов. Например, портал «Бизнес­-навигатор МСП» — бесплатный информационный ресурс для предпринимателей, которые хотят открыть или расширить свой бизнес.

Все внешние системы Корпорации МСП должны быть доступны в режиме 24/7. Мы оказываем поддержку субъектам МСП по всей России, это 11 часовых поясов. Так, в региональных лизинговых компаниях, созданных с нашим участием, одна из систем выполняет функцию ядра, обеспечивающего учет сделок. Если она будет недоступна, оператор не сможет оформить сделку.

Мы передали защиту наших ИТ-систем на аутсорсинг «Ростелекому». У нас высокие требования с точки зрения информационной безопасности, потому что такие системы содержат сведения конфиденциального характера и имеют высокую социальную значимость.

Утечка данных может нанести ущерб и нам, и нашим клиентам. Cведения о субъектах МСП включают в себя персональные данные, значит, мы должны обеспечить их защиту в соответствии с законом № 152­ФЗ. Утрата конфиденциальности таких сведений для нас недопустима и гораздо страшнее временной недоступности какого-­либо сервиса.

ИБ — это сервисная функция. Информационная безопасность не должна мешать компании достигать поставленных целей, ее задача — помогать бизнесу развиваться, защищая его.

У нас есть три рычага убеждения бизнеса: требования законодательства, экспертные мнения и лучшие практики. Я не вижу смысла в «пугалках». Даже если это сработает и ты получишь нужные средства защиты, уже завтра они устареют, потому что появятся новые уязвимости. И что тогда? Снова пугать? Кроме того, при такой концепции работы формируется негативное отношение к отделу ИБ. Гораздо выгоднее развиваться вместе с бизнесом, предоставляя ему дополнительные возможности. Нужно объяснять бизнесу стратегическую важность того или иного ИБ­решения, рассказывать, как оно увеличивает ценность продуктов и положительно влияет на репутацию компании.

Парадигма «все свое» — в прошлом

Casio делает часы, в которых нет практически ничего «своего», кроме бренда. Они говорят: «Сердце оставьте себе, а все остальное отдайте на аутсорсинг».

Аутсорсинг необходим: он позволяет компаниям быстро меняться в зависимости от динамично меняющихся требований рынка. Если компания не успевает за рынком, она обречена на провал. Допустим, вам резко понадобилось увеличить объем облака, чтобы провести тесты или установить новые средства защиты. Классическая схема с CAPEX не позволяет оперативно реагировать на такие запросы.

Непрерывность сервисов для МСП обеспечивают наши партнеры. Если мы попробуем обойтись своими силами, придется организовать смены, обучить людей, заложить деньги в CAPEX. В итоге выйдет огромная сумма.

Нужно оставить позади парадигму рынка «все свое». Она формировалась в то время, когда технологии для выхода на сервисные модели бизнеса просто отсутствовали. Конечно, вы можете сами построить ЦОД, в котором будет определенное количество серверов, дисковых мощностей, а также ноль возможностей для масштабирования. И быстро останетесь в прошлом.

Не все стоит отдавать на аутсорсинг с точки зрения ИБ. ИТ-­ и ИБ-­инфраструктуру для публичных информационных систем, обрабатывающих персональные данные, мы получаем по сервисной модели от внешнего провайдера. Требования по защите персональных данных формализованы в законе № 152-ФЗ и руководящих документах ФСТЭК России. Какая разница, кто именно будет их выполнять? Если ЦОД сервис-­провайдера располагается на территории России, имеет сертифицированные средства защиты, нужные аттестаты и работает в рамках вменяемых SLA и NDA, вас не должно ничего останавливать. Регуляторы не запрещают такого взаимодействия.

Не следует отдавать на аутсорсинг внутренние службы — можно передать только техническую поддержку и обновление некоторых сервисов. Иногда у нас выходят внутренние распоряжения, которые нужно выполнить в течение дня. Если сроки не коррелируют с утвержденными SLA, аутсорсинг только помешает вашей работе.

Есть мнение, что безопасники боятся доверить партнеру инфраструктуру. «Если собственники увидят, что аутсорсинг работает хорошо, то уволят ИБ-­отдел». Это миф. Без профильного отдела вы неправильно поставите задачу, не проконтролируете ее выполнение, не сможете адекватно оценить обратную связь и внести изменения в исполняемые задачи при необходимости. Мы берем к себе ИБ-­экспертов, которые также способны квалифицированно отслеживать работу подрядчиков. Если у вас нет человека с нужными компетенциями, то это будет делать сотрудник, не обладающий глубокими знаниями в информационной безопасности.

Кадровое напряжение

Специалистов на рынке много, но опытных — мало. Я полгода искал для аттестации информационных систем эксперта, который знает нюансы законодательства и умеет работать с требованиями Федеральной службы по техническому и экспортному контролю. У большинства либо было ничтожно мало опыта, либо не было вообще.

Нам нужны опытные сотрудники, способные «с порога» решать сложные задачи. Мы не готовы брать людей, не понимая, какие специалисты из них получатся. Системы Корпорации динамично развиваются, и ИБ­подразделение не должно быть слабым звеном, замедляющим этот процесс или не обеспечивающим должного уровня безопасности ИТ-­решений. Объем и динамика развития систем в нашей компании дают возможность получить богатый опыт, равный которому есть только у ИБ-­интеграторов.

Мы поощряем тех, кто хочет учиться новому. Узнать такого человека несложно — достаточно посмотреть на наличие у него подобного опыта. Это может быть дополни- тельное образование, курсы или сертификаты о повышении квалификации. Сейчас основные критерии успеха — обучаемость, адаптивность и умение восстанавливать энергию. Без последнего можно быстро выгореть на работе.

Аутсорсинг помогает снять кадровое напряжение. У сервис­-провайдеров много сильных экспертов, мы столько нанять не смо- жем — слишком дорого. Нам достаточно взять несколько классных специалистов, способных контролировать сервис-­провайдеров.

Мои сотрудники должны обладать навыками проджект-менеджеров. Если говорить в терминологии проектного управления, у нас есть внутренние и внешние заказчики — стейкхолдеры. Внутренние стейк­ холдеры — это не только ИТ-департамент, но и другие функциональные подразделения, развивающие информационные системы. Внешние — это сервис­-провайдеры, ИБ-­интеграторы: в каждой организации непосредственные исполнители находятся на своем уровне (руководители проектов, технические специалисты и т.д.). Мы должны работать в связке со всеми, и безопасники выполняют в ней роль менеджеров проектов.

При выборе новых сотрудников я придаю огромное значение их честности. Для меня это фундамент будущих отношений. Если вы не доверяете человеку, как вы планируете с ним работать? Как наделите его полномочиями? Никак. Значит, его работу придется делать вам. Зачем тогда брать его в команду?