Добрый день!
Хочу просто поделиться своим наблюдениями о взаимоотношениях между сотрудниками ИТ и ИБ.
Никаких имен компаний, никаких суждений. Просто наблюдения. Просто опыт.
Статей про ИТ и ИБ много, но не нашел про взаимоотношения. Может плохо искал?
Вводная часть.
ИТ и ИБ - это службы, службы для бизнеса. Да, роли разные, но цель - служба.
Сотрудники обеих служб знают (хочется в это верить), что выполняют свои роли на благо Компании, на благо Бизнеса, на благо всех коллег. Каждому сотруднику выделены определенные права и обязанности. Эти функции задокументированы определенным внутренним документом, называемым трудовым договором. Функционал может быть изменен, расширен, дополнен любым дополнительным соглашением. Но обязательно подписан самим сотрудником.
Отсюда следует, что сотрудник службы готов выполнять свои обязанности в рамках своих полномочий, имеет понимание того, что требуется от него самого. Идеальный боец.
Основная часть.
Какие бывают взаимоотношения между ИТ и ИБ? Перечислю те, которые встречал на своем опыте.
Полное взаимопонимание. Взаимодействие служб приводит к быстрым и правильным решениям. Бюджет формируется согласно взвешенности всех волнующих аспектов. Специалисты ИТ знают и понимают важность ИБ, специалисты ИБ знают и понимают уровень загруженности ИТ специалистов. Службы работают в симбиозе, друг другу помогают. Решения принимаются совместно.
Одностороннее взаимопонимание. Вектор направления указывать нет необходимости. Бывает в одну сторону, бывает в другую. Но симбиоза нет и это негативно сказывается на деятельности Компании, на Бизнесе.
Полное недоверие. Печальная история, порой, порождающая вражду. Такая Компания обречена на длительное страдание и необоснованное вливание средств в эту вражду, междуусобицу, если угодно.
Примеры.
По первой категории могу провести следующие примеры:
Руководитель ИТ (именно с этой позиции вниз идут установки, поручения, запреты) имеет большой опыт работы как в ИТ, так и в ИБ. Важно - имеет понимание важности ИБ, знаком с лучшими практиками по ИБ. Возможно, даже имеет образование в области ИБ. Как на счёт 512+ часов? Можно ИТ заменить на ИБ и перечитать абзац. Суть - понимание.
Такой руководитель лично следит за правильной, безопасной, архитектурой ИТ, консультируется со специалистами ИБ, предлагает свои решения, обосновывает. В такой Компании специалисты ИБ имеют доступ (на чтение) ко всем конфигам на всех необходимых уровнях OSI, с удовольствием общаются с ИТ. Службы дружат в прямом понимании этого слова.
Специалисты второй категории сталкиваются с трудностями коммуникации. Службы будто не понимают друг друга, что-то им мешает. Если спросить сотрудника одной из служб такой Компании, то он будет перекладывать ответственность за разлад на противоположную сторону. Но на вопрос, пытался ли он решить вопросы, поговорить и обсудить, ответит скользко или скажет: "пусть они сами подходят". Таким сотрудникам хочется дать лишь один совет - избегайте слова "пусть". Но здесь не будет советов. Уверен, многие сами разберутся ????
Что же происходит с Компаниями, где полное недоверие? Ничего хорошего и причина в причине.
Причины.
Опыт, знания, умение слушать других, умение руководить и выполнять поручения. Full stack of soft skills.
Есть однобокий опыт, нет умения слушать других, нет понимания определения службы.
Есть амбиции, есть негативно влияющие факторы. Может быть родственные связи или по крайней мере круговая порука, не допускающая третьих лиц...
Как быстро разобраться, к какой категории относится Компания?
На личном опыте могу лишь отметить один факт. Если в Компании категорично заявляют, что покупают оборудование только одного вендора, а про других и слушать не хотят, то это 3 категория. Там и круговая порука из-за личных "интересов", и нежелание слушать других по тем же причинам.
Сложнее определить между 1 и 2 категориями. Придется общаться с обеими службами и понять их позиции. Но там не страшно. Во 2 категории даже интереснее опыт.
Вывод.
Работая в Компаниях первой категории сотрудники быстро учатся смежным навыкам и растут по горизонтали.
Повторюсь, все зависит от руководителей служб.
Удачи!
Комментарии (6)
suslovas
16.12.2021 15:35+3А автор точно работал в ИТ-сфере? ИТ - это про то, как сделать быстрее и удобнее, ИБ - это про то как сделать безопаснее. Безопасность - это всегда ограничения, ограничения - это всегда неудобно. Только в идеальном мире компромисс рождается сам собой, чаще всего он появляется через бурные споры и прощупывания чужих границ.
Я бы л и Админом ИТшником и руководителем отдела в управлении ИБ и нет, это не породило благость и взаимопонимание, потому что своя рубашка ближе к телу. а противоположная сторона только усложняет тебе жизнь.
На личном опыте могу лишь отметить один факт. Если в Компании категорично заявляют, что покупают оборудование только одного вендора, а про других и слушать не хотят, то это 3 категория. Там и круговая порука из-за личных "интересов", и нежелание слушать других по тем же причинам.
Эта часть совсем уж смешна. Во-первых непонятно, как это относится к изначальной теме поста, а во-вторых почему-то не рассматривается вариант, что с этим вендором могут быть давние партнерские отношения, проверенная надежность и понятные каналы связи. А с новым вендором будет куча проблем, которые не окупятся даже двукратной разнице в цене, как то совместимость с имеющейся инфраструктурой и используемыми функциями, в том числе проприетарными протоколами и главное - обучение персонала работе с новым оборудованием.
janekprostojanek
17.12.2021 21:31+1Про вендоров ничего не понял. Допустим, одна из служб говорит другой: давайте закупим оборудование другого вендора?
У собеседника возникнет естественный вопрос:
-- А зачем?
Смена вендора -- непременно стресс. Чем такой стресс должен быть обусловлен, даже намека не сделано. Если текущий вендор имеет устаревшие технологии и незакрытые критические уязвимости, то здесь и в атмосфере недоверия вопросов не встанет. Сложно представить себе фирму, где есть отдел ИБ и есть настолько тупой начальник ИТ отдела, чтобы в данном случае возражать.
Если обновления есть, уязвимости закрываются, инфраструктура под вендора построена -- как уже было сказано, это не только ИТ, но и бухгалтерия и Operations, -- проблем нет, то зачем вендора-то менять?
nikolayv81
19.12.2021 12:04А ещё есть случаи когда иб отвечает не только перед бизнесом в котором работает но и перед регулятором/законом, и вот в таких ситуациях возникает гораздо больше "особенностей" и "конфликтов интересов" т.к. одно дело когда вопрос стоит в том кого уволят (пусть и с вольчим билетом) а другое когда, в зависимости от того кто и сколько бумажек себе подложил, будет зависит выбор человека которому придётся в суде предоставлять те самые документы по которым это не он должен попасть под ограничения....
expdxx
Какое-то упрощенное донельзя понимание мира. Функция ИБ - защита цифрового пространства компании всеми возможными способами. Технологии, отчеты и корп тайна - один из самых ценных активов Бизнеса. Они по понятным причинам инертны и стремятся сохранить равновесие. А, да, и согласовывать хотелки для ИТ - не самая важная их обязанность.
В то же время ИТ так или иначе стремится к повышению качества услуг Бизнесу, увеличению выручки etc. Понятное дело, что для этого часто надо что-то менять, регулярно согласовывая свои действия с ИБ.
И вот где-то на пересечении этих деятельностей лежит поле битвы. Оно почти везде именно поле битвы, поскольку задачи могут идти в противоположных направлениях. Переезд на удаленку - яркий тому пример. Не то, чтобы ИБ было радикально против этого (хотя в некоторых компаниях так и было), просто требуется много времени для обеспечения безопасности процесса. И неважно, сколько часов те или иные стороны были в шкуре друг друга - они отстаивают свои интересы.
Mur466
Давайте скажем честно, переезд на удаленку - это катастрофа с точки зрения ИБ. Это всё равно что узников шарашки отправить на удаленку. Гарантировать сохранность никакой информации, к которой есть доступ через VPN, нельзя.
Все держится на чистом доверии к сотрудникам.
VitalKoshalew
От insider-ов с доступом защиты, честно говоря, кроме доверия/угрозы последствий нет никакой. Ну ещё наглого дурака детекторы словят. Камеру в пуговицу можно купить за копейки. Разница в удалённой работе, по большому счёту, в том, что вместо камеры в пуговице можно камеру получше поставить на книжную полку за спину.