ОП:
- Сейчас у меня короткое интервью с Николаем Казанцевым, начальником отдела ИБ компании Полисан. Николай выступит экспертом интенсива в Код ИБ ПРОФИ в Сочи, который пройдёт с 9 по 12 сентября и сейчас я хотела бы коротко с ним пообщаться и расспросить о том, что же он приготовил для участников интенсива.
НК:
- Добрый день! О чём буду рассказывать? Будем говорить об управлении рисками. Вообще, считаю, что оценка рисковой безопасности, в том числе через риски бизнеса, должна быть основой для всей деятельности службы ИБ. От того, насколько мы с вами понимаем ключевые проблемы и цели наших работодателей зависит, по сути, то насколько эффективна вся система защиты компании - то, насколько лично мы с вами эффективны для компании как руководители служб безопасности. Но вот если блок процессов по исполнению требований регуляторов - он в целом понятен и закрывается службами ИБ, то вот с управлениями рисками не всё так гладко. Часто управление рисками закрывается формальным построением модели угроз: самостоятельно, либо с привлечением консалтеров. Эта модель потом кладётся на полку и в лучшем случае служит основой для годового плана работ и закупки средств защиты.
На интенсиве мы же будем говорить о том, как, во-первых, выстроить процесс управления рисками и, что важнее, как сделать риски основой для ежедневной операционной работы служб безопасности. Чтобы по любой активности ИБ мы могли бы сказать зачем это надо, кому, и как изменится ситуация, когда мы это сделаем.
То есть будем смотреть на риски как на непрерывную составляющую нашей работы, вплетённую во все процессы нашей кампании. Я предложу несколько подходов и - что важнее - инструментов, с помощью которых те, кто ещё не погружался в историю с рисками, смогут быстро стартануть, а те, кто в теме, - пересмотреть и переоценить эффективность своих подходов.
ОП:
- Хорошо, спасибо, Николай! А скажи, вот на твой взгляд, кому в первую очередь такая информация может быть интересна?
НК:
- Ну, прежде всего для служб безопасности, от которых требуется не только исполнение требований регуляторики, но и решения проблем компании. Для тех, с кого руководство требует результат.
ОП:
- Я думаю, что скорее всего это тем компаниям, кто повышает свой уровень зрелости в частности, и процесс ИБ в целом, и смотрят уже, действительно, не просто как делать исключительно бумажную безопасность, а как в том числе соответствовать ожиданиям бизнеса и вот все эти риски просчитывать
НК:
- Тут, позволь добавлю, Ольга что служба безопасности сегодня - это не самостоятельный островок, ты верно отметила. Это не структура, которая делает только то, что ей предначертано регулятором. Так могло быть раньше 5-10 лет назад. Но сейчас, если мы хотим быть эффективны - нужны другие подходы. Нужно давать бизнесу пользу и решать проблемы. Вот как раз управление рисками - это тот инструмент и основа, которая помогает нам измениться в нужную сторону.
ОП:
- А скажи, пожалуйста, почему ты силён в этой теме, какой у тебя бэкграунд и почему именно ты говоришь о проблеме рисков?
НК:
- Ну, занимаюсь инфобезом, в общем-то, всю жизнь и успел поработать и в государственных структурах, и в коммерческих компаниях, то есть понимаю кухню со всех сторон. И к теме управления рисками (именно как практической составляющей работы ИБ) подошёл достаточно давно. Есть на руках много наработок и инструментов, проверенных боем, которыми хочется поделиться в рамках интенсива.
ОП:
- Хорошо, спасибо! И твой личный взгляд: зачем вообще приезжать на такого рода событие, как Код ИБ ПРОФИ? Вот ты,, как руководитель, начальник отдела информационной безопасности, в чём видишь пользу таких событий?
НК:
- Ну, честно говоря, это отличное время и место для завершения летнего сезона и зарядки на продуктивную осеннюю работу. Но если серьёзно, то для меня лично ценны мероприятия, где выступают не интеграторы и арендаторы, а реальные руководители служб безопасности, которые могут рассказать не только о достижениях, но и о своих граблях, ошибках и факапах. Часто находятся пересечения, по которым уже вне рамок официальной программы можно поговорить и получить для себя больше инсайдов
ОП:
- Ну что ж, спасибо тебе огромное, Николай, за то, что заглянул, за то, что поделился тем, что готовишь к интенсиву Код ИБ ПРОФИ в Сочи. Ну и до встречи на мероприятии! Спасибо огромное!
НК:
- До встречи на Код ИБ!
Об эксперте:
В ИБ с 2010 года, после окончания специалитета и аспирантуры на кафедре комплексного обеспечения
информационной безопасности ГУМ РФ им. Адм. Макарова. EC Council CEH, Comptia Security+
Путь безопасника начинал в Лаборатории противодействия промышленному шпионажу, потом защищал информационные системы на государственной службе в Администрации Санкт-Петербурга, а сейчас возглавляет отдел ИБ в коммерческой фарм-компании ПОЛИСАН.
Блог spbsecurity.blogspot.comОснователь проекта securitm.ru
информационной безопасности ГУМ РФ им. Адм. Макарова. EC Council CEH, Comptia Security+