Конфликт во благо: почему не надо пытаться «подружить» ИТ и ИБ
Когда я говорю о конфликте между ИТ и ИБ, то не имею в виду конфликт в негативном бытовом понимании: когда участники повышают голос и переходят на личности. В нашем контексте конфликт ― это столкновение интересов двух служб, которое помогает бизнесу развиваться.
Рассмотрим такое столкновение на простом и многим понятном примере. Одно из базовых требований к ИТ-инфраструктуре — компания должна быть защищена от вирусных атак и иметь возможность управлять риском утечки данных. Чаще всего обязанности разделены между подразделениями так: ИБ отвечает за разработку мер защиты данных компании, а ИТ — за реализацию этих мер.
Реализация проста и, в частности, включает следующие шаги: ИТ устанавливает антивирус и настраивает компьютеры пользователей так, чтобы отсутствовали административные права на корпоративный ноутбук. И все идет хорошо, если вы не разработчик программного обеспечения. Разработчикам для эффективной работы необходимо полностью контролировать поведение своего компьютера, в том числе иметь возможность включать и отключать антивирус (а для этого нужны административные права) или совсем не иметь его на рабочей станции.
Идеальное и простое решение для ИТ — убрать все ограничения для этой категории работников, а для ИБ — напротив, оставить их и ничего не менять, пусть приспосабливаются. И вот мы уже в ситуации классического столкновения интересов ИТ и информационной безопасности (в реальной жизни этот конфликт, конечно, имеет решение, учитывающее требования обеих сторон).
Давайте разберемся подробнее, какие интересы преследует каждая из служб и что бизнесу дает их конфликт.