«Во взаимодействии с бизнесом подразделению ИБ важно уметь себя "продать"»

BIS Journal №3(50)2023

27 июля, 2023

«Во взаимодействии с бизнесом подразделению ИБ важно уметь себя "продать"»

Общее количество киберинцидентов в России, по данным компании Positive Technologies, в 2022 году увеличилось на 21%. Это связано как с возросшим напряжением в киберпространстве, ростом рынка киберпреступности, так и с активизацией хактивистов. Компании всех отраслей экономики и государственные организации в целях защиты от киберугроз данных и средств своих клиентов вынуждены наращивать вложения в инфраструктуру информационной безопасности (ИБ). Однако специалистам в области ИБ из-за специфики своей работы не всегда удаётся доступно донести информацию о киберрисках и обосновать выделение бюджетов на минимизацию угроз. О том, как построить эффективное сотрудничество между бизнесом, службами ИТ и ИБ, в интервью нашему изданию рассказала директор департамента развития технологий банковских процессов ИТ-дирекции Московского кредитного банка (МКБ) Рамиля Яруллина.

 

О СПЕЦИФИКЕ РАБОТЫ ДЕПАРТАМЕНТА

— Расскажите, пожалуйста, что входит в задачи вашего подразделения и как строится взаимодействие ИТ с подразделением информационной безопасности?

— В основные задачи моего департамента входит реализация стратегических проектов и взаимодействие с сервисными подразделениями. Моя команда работает на стыке различных бизнесов банка и дирекции информационных технологий (ДИТ). Мы выявляем потребности бизнес-заказчиков, формируем функциональные команды, осуществляем мониторинг и контроль оптимального использования ресурсов ДИТ, стоимости команд, доработок, а также учитываем планируемые и выполненные доработки, осуществляем план-факт-анализ и контролируем выполнение KPI’s. 

ДИТ и департамент информационной безопасности (ДИБ) в МКБ — это два различных самостоятельных подразделения. Все без исключения бизнес-проекты банка проходят экспертизу на соответствие требованиям в области информационной безопасности и запускаются только после одобрения коллег из ДИБ. При этом мы тесно сотрудничаем с коллегами из ДИБ, много общаемся, прекрасно понимаем особенности работы друг друга.

— Какие, на ваш взгляд, наиболее специфичные моменты в работе служб информационной безопасности?

— В первую очередь это закрытость и непрозрачность, что вполне понятно и обоснованно. Но именно это и является ключевым препятствием для того, чтобы бизнес-подразделения выделяли требуемые средства на обеспечение информационной безопасности. Поэтому бизнес-заказчику важно раскрыть данные о том, какие структуры информационной безопасности надо будет привлечь, трудоёмкость процессов и процедур. Где и какие риски существуют при реализации данного проекта или выводе продукта, какие будут последствия в случае реализации этих рисков. Причём показать надо на жёстких жизненных примерах, а затем всё это оцифровывать, перевести в деньги.

Рамиля Яруллина, директор департамента развития технологий банковских процессов ИТ-дирекции Московского кредитного банка (МКБ)

 

КАК ЛУЧШЕ РАССКАЗАТЬ ОБ ИБ БИЗНЕСУ

— Мне казалось, что сегодня уже никому не надо доказывать необходимость внедрения механизмов информационной защиты…

— Верно, но бизнес есть бизнес: его задача — снизить издержки и максимизировать прибыль, а задача служб информационной безопасности — минимизировать риски взломов, утечек и т. п. Поэтому таким службам тоже важно уметь себя продавать. Я начинаю с того, что рассказываю о себе в формате: кто мы такие, чем занимаемся и за что отвечаем, в чём конкретно заключается наша работа. Прекрасно работает геймификация, когда раскрывают в кейсах, на живых примерах, как происходят те или иные негативные события и почему. 

Важно погрузить бизнес-заказчиков в метрики информационной безопасности. Бизнес, конечно, больше всего интересует вопрос: мы вложили в это деньги, и что? Ничего не случилось, значит, можно на этом в следующий раз сэкономить? Нельзя. Почему? Обо всём этом надо терпеливо рассказывать, потому что, как бы ни был высок авторитет вашей службы информационной безопасности, бизнес-заказчики абсолютно не знают специфики этой работы, её кропотливости и масштабов. 

— Какие ещё усовершенствования вы бы порекомендовали внедрить в работу служб информационной безопасности для упрощения?

— Я рекомендую обязательно включать менеджеров в команду службы информационной безопасности. Это должны быть не аналитики и не специалисты в области инфобеза, а именно управленцы, которые будут выстраивать проектные команды, планировать бюджет и контролировать его выполнение, а также контролировать сроки и метрики выполнения определённых задач. 

 

КАК ВЫСТРОИТЬ ВЗАИМОДЕЙСТВИЕ

— Как в вашем банке строится взаимодействие служб ИТ, ИБ и различных бизнес-направлений?

— У нас уже пятый год работает следующая схема взаимодействия ИТ с бизнес-блоками: к каждому блоку прикреплён ИТ-бизнес-партнёр, который выстраивает абсолютно все коммуникации между ДИТ и бизнес-подразделениями банка. По такой же модели в последние годы идёт и взаимодействие с ДИБ: в его структуре появились ИБ-бизнес-партнёры. 

ИБ-бизнес-партнёры анализируют бизнес-процессы курируемых подразделений, дают рекомендации, что и как можно улучшить с точки зрения информационной безопасности, получают обратную связь от бизнесов. Кроме того, участвуют во всех рабочих группах для того, чтобы оперативно предоставлять свои комментарии по тем или иным инициативам бизнес-заказчиков, находить оптимальные решения в сложных и спорных ситуациях. 

— Правильно понимаю, что ИБ-бизнес-партнёр является как бы связующим звеном между бизнес-блоками и службой информационной безопасности?

— Верно, ИБ-бизнес-партнёры, вникая во все проблемы и боли бизнесов, не только доносят их до коллег из ДИБ и выстраивают обратную связь, но и координируют работу узкопрофильных специалистов ДИБ, расставляют приоритеты и контролируют сроки выполнения задач, а также метрик эффективности.

 

О КАРЬЕРЕ

— Расскажите, пожалуйста, о себе, давно ли работаете в ИТ-сфере, как складывался ваш путь в профессию?

— Я окончила Финансовый университет при Правительстве РФ по специальности «финансовый менеджмент» и МГУ им. М. В. Ломоносова по специальности «психофизиология». Карьеру начала, ещё будучи студенткой. В банках работаю с 2013 года. В банке «Открытие» вела крупные проекты по автоматизации требований регулятора, юридическому объединению двух банков, ИТ-интеграции финансовых организаций. Затем руководила направлением развития бизнес-процессов и технологий. В начале 2018 года стала директором департамента координации и анализа бизнеса в банке ВТБ, а в декабре 2018-го присоединилась к команде МКБ в должности директора департамента развития технологий банковских процессов на задачи по трансформации ИТ.

 

Беседовала Оксана Дяченко

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

01.03.2024
Банки будут строже следить за криптотранзакциями, связанными с дропперами
01.03.2024
Холода прошли, но голос берегите — скамеры усиленно собирают слепки
01.03.2024
Лишение банковской лицензии — это ещё не всё
01.03.2024
«Они подобны смартфонам на колёсах». В США проверят «умные» авто из Китая
01.03.2024
Набиуллина: Дважды «красные» клиенты будут исключаться из реестра
01.03.2024
Банк России усовершенствует платформу цифрового рубля
01.03.2024
Организации здравоохранения США стали жертвами массовых кибератак
29.02.2024
«ИнфоТеКС» — о проблемах стандартизации ИБ
29.02.2024
Почему нормативные акты выполняются формально
29.02.2024
Почему затянулся переход на российские решения

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных