- Интервью
- Отчеты о конференциях
- Цифровая трансформация
- Электронный документооборот
- Финансы: стратегия и тактика
- Общие центры обслуживания
- Информационные технологии
- Финансовая отчетность
- Риск-менеджмент
- Технологии управления
- Банки и страхование
- Кадровый рынок и управление персоналом
- Управление знаниями
- White Papers
- Финансы и государство
- CFO-прогноз
- Карьера и дети
- CFO Style
- Советы по выступлению на конференциях
- Обзоры деловых книг и журналов
- История финансов
- Свободное время
- Цитаты
КОНФЕРЕНЦИИ
Все-
27-29 ноября 2024 года
Ярославль -
26 августа 2024 года по 5 декабря 2024 года
Москва -
5 декабря 2024 года
Москва -
6 декабря 2024 года
Москва -
11 декабря 2024 года
Москва -
12 декабря 2024 года
Москва
Ян Сухих, Schneider Electric: «Взаимодействие ИБ- и ИТ-департаментов — ключевой элемент успеха в условиях цифровизации бизнеса»
07.06.2019
Ян Сухих, руководитель направления по информационной безопасности Schneider Electric и спикер Делового завтрака «ИТ-безопасность бизнеса», рассказал CFO Russia о подходах к информационной безопасности в России и мире.
Какие подходы к информационной безопасности используют в Schneider Electric?
Для промышленных компаний, которые работают в условиях рынка, я бы выделил два основных подхода. Первый и, к сожалению, самый популярный на сегодняшний день — формальное соответствие требованиям локальных регуляторов. Такой подход подразумевает, что компания вкладывает в информационную безопасность минимальное количество ресурсов: ровно столько, сколько необходимо для приведения систем в соответствие с требованиями регуляторов. Очень часто такой подход подразумевает «бумажную» безопасность, когда реальную защищенность предприятий практически не повышают. Но такая система формально соответствует требованиям ФСТЭК.
Риск-ориентированный подход к информационной безопасности выбирают компании, которые направлены на долгосрочное устойчивое развитие. В этом случае в дополнение к требованиям регуляторов компания оценивает кибер-риски и проводит количественную или качественную оценку потерь от кибер-инцидентов. Тогда собственники, члены правления, генеральные директора могут принимать взвешенные решения о необходимости инвестиций в ту или иную систему, имея на руках данные о потенциальных убытках и стоимости защитных мер.
Наша компания выбирает второй подход, как наиболее ответственный и осознанный относительно ИБ. Для заказчиков, которые хотят двигаться по второму пути, но не знают с чего начать, мы проводим рабочие встречи и тренинги. Внедрение риск-ориентированного подхода — это долгий путь, который требует серьезных вложений. Не все компании сегодня готовы идти по нему.
С какими сложностями сталкивается компания в области информационной безопасности?
Промышленные предприятия традиционно отстают в сфере ИБ от финансового сектора. Большинство финансовых организаций регулярно находятся под кибер-атаками, и для них работа в таких условиях уже давно стала нормой. В таких компаниях вопросы ИБ поднимают на самом высоком уровне. В промышленности все иначе. Высшее руководство промышленных компаний редко уделяет большое внимание вопросам информационной безопасности. А поддержка руководства — краеугольный камень ИБ. Подразделение ИБ для компании всегда убыточно. А если учесть, что хорошие специалисты стоят дорого, то такие подразделения бывают сильно убыточными. Прибыль они не создают по определению, а предотвращенные убытки от кибер-атак в отчет «О прибылях и убытках» не положишь. Поэтому самая главная сложность, с которой сталкивается большинство компаний, — отсутствие поддержки высшего руководства. Быстро исправить эту ситуация невозможно, здесь нужна долгая системная работа по повышению осведомленности высшего и среднего управленческого персонала компаний.
Другая тяжелая проблема — отсутствие или острый дефицит квалифицированных кадров. Очень часто имеющихся на предприятиях ресурсов недостаточно для проведения работы по оценке рисков. Даже на должное обслуживание систем защиты информации у многих компаний не хватает кадров. Выхода из этой ситуации в краткосрочной и даже среднесрочной перспективе, кроме использования услуг третьих поставщиков, я не вижу. Но такая модель все еще не очень популярна в России.
Что необходимо для успешного взаимодействия ИБ- и ИТ-департаментов?
Взаимодействие ИБ- и ИТ-департаментов — ключевой элемент успеха в условиях продолжающейся цифровизации бизнеса. Именно эти подразделения должны найти тот компромисс между ИТ-нововведениями и безопасностью, который позволит компании успешно развиваться. На мой взгляд, ключевой элемент успешного взаимодействия ИБ- и ИТ-департаментов — это наличие арбитра, человека или группы лиц, которые будут ориентированы на бизнес и будут понимать важность информационной безопасности. Не так важно в какой структуре ИБ, ИТ или вне этих структур будет находиться этот человек. Важно, что он должен иметь «вес», полномочия и ресурсы в компании. Учитывая последние тренды в бизнесе, на эту роль могут претендовать CDTO (Chief Digital Transformation Officer – прим. ред.). Эта роль подразумевает развитие бизнеса через внедрение новых цифровых технологий и процессов. А это невозможно делать осознанно без всестороннего анализа и учета, как возможностей, так и рисков, в том числе ИБ-рисков. При наличии достаточных полномочий и ресурсов именно эта роль может стать драйвером, который сделает взаимодействие подразделений ИБ и ИТ прозрачнее и эффективнее, а принятие решений о внедрении тех или иных технологий и сервисов — более взвешенным.
Задать свои вопросы Яну Сухих и узнать больше об опыте Schneider Electric вы сможете на Деловом завтраке «ИТ-безопасность бизнеса», который состоится 28 июня 2019 года в Москве.
Мария Кириченко
Наши конференции:
- Восьмая конференция «Управление рисками в промышленности»
- Семнадцатый форум финансовых директоров розничного бизнеса Retail CFO 2025
- Четырнадцатая конференция «Кадровый ЭДО: цифровизация на практике»
- Сорок пятая конференция «Общие центры обслуживания: организация и развитие»
- Четырнадцатый форум финансовых директоров фармацевтического бизнеса Pharma CFO 2025
Комментарии