CIO в роли шефа службы безопасности

В течение рабочего дня вы занимаетесь производительностью серверов, доступностью приложений, поддержанием непрерывной работы веб-сайта... Конечно, это традиционный круг вопросов для руководителя ИТ-подразделения, и все они заслуживают внимания.

Но может быть, настало время делегировать ответственность одному из ваших наиболее опытных заместителей, чтобы самому сосредоточиться на самой важной на сегодняшний день проблеме — обеспечении информационной безопасности и конфиденциальности?

Права интеллектуальной собственности нарушаются, ограничения на распространение информации не соблюдаются, данные беспрепятственно трансформируются и мигрируют, границы, отделяющие вашу компанию от клиентов и поставщиков, становятся все более расплывчатыми. В этих условиях растет значимость междисциплинарного подхода к обеспечению безопасности и конфиденциальности. Такого подхода, который требует согласованной работы различных подразделений вашей организации.

Будучи руководителем ИТ-подразделения, вы имеете уникальную возможность возглавить эту работу и наладить сотрудничество в том числе с высшим менеджментом, членами правления, руководителями бизнес-подразделений и направлений деятельности.

Мы считаем, что главенствующая роль в области обеспечения безопасности и конфиденциальности станет одной из важнейших функций CIO в 21-м веке. Действительно, чтобы быть катализатором фундаментальных, системных изменений, необходимо приобрести соответствующие навыки, завоевать доверие и уважение, что помимо вас под силу очень немногим.

Битва без победителя?

В последние годы многие ИТ-функции стали выглядеть как совершенно безнадежные с точки зрения обеспечения безопасности и конфиденциальности. Этому способствовали два обстоятельства.

1. Считается, будто безопасность и конфиденциальность представляют собой в первую очередь проблемы ИТ. Согласно исследованию, проведенному недавно компанией Deloitte & Touche, такой точки зрения придерживались девять из десяти опрошенных руководителей компаний, входящих в список Fortune 1000.

2. К ИТ предъявляются нереалистичные требования. Поскольку безопасность и конфиденциальность рассматриваются главным образом как проблемы ИТ, многие считают, что и решаться они должны исключительно с помощью ИТ.

Это опасное заблуждение. Представьте себе, например, к чему привел бы подобный подход к управлению человеческими ресурсами. В большинстве компаний HR-подразделения разрабатывают кадровую политику и занимаются всеми документами, касающимися персонала. Но в силу практических соображений такие функции, как прямой надзор, контроль за выполнением работы, распределение заданий и другие, должны выполняться людьми, не являющимися сотрудниками подразделения HR. Без такого разделения труда в масштабах организации управление человеческими ресурсами было бы невозможно.

Это в равной мере относится к обеспечению безопасности и конфиденциальности. Когда предприятие начинает утрачивать четко очерченные контуры, оно уже не может попросту “запереть свою картотеку на ключ”. При этом сложные пароли и современные средства шифрования являются недостаточными, хотя и сохраняют свою значимость. Сегодня задача обеспечения безопасности и конфиденциальности выходит за пределы предприятий и становится делом каждого.

Происходит это потому, что безопасность и конфиденциальность являются, в сущности, проблемами бизнеса, а не технологии. Данный тезис противоречит тому, что подсказывает интуиция. Необходимо убедить в его правильности прежде всего правление и высший менеджмент, а затем и всех остальных сотрудников. Ваши коллеги должны понять, что если компания станет искать решения в области технологии, ее ждут трудности с решением проблем и частые неудачи. И наоборот, если ваша организация подойдет к обеспечению безопасности и конфиденциальности как к проблеме бизнеса (либо проблеме своих клиентов или акционеров) и если к этой работе целенаправленно привлечь тех сотрудников, которые чаще всего сталкиваются с данной проблемой, решение будет найдено быстрее.

Никто не станет отрицать, что ИТ несут значительную долю ответственности за обеспечение безопасности и конфиденциальности. Но необходимо тщательно разграничить предоставление необходимых возможностей и их использование. Остается фактом, что одни лишь ИТ не способны решить данную проблему.

Наверное, в том, что данный тезис должны пропагандировать именно вы, руководитель ИТ-подразделения, чья должность часто рассматривается как чисто технологическая, заключается некая ирония судьбы. Но мы считаем, что должность того, кто отстаивает данный тезис, имеет такое же значение, как и смысл самого тезиса. Никто другой не обладает достаточным авторитетом, чтобы добиться его принятия.