Фундаментальная проблема чисто технического подхода заключается в том, что профессионалы по ИТ-безопасности не понимают бизнеса.
Выступив на конференции Gartner IT Security Summit в Лондоне, вице-президент Gartner Джей Хейзер заявил, что фундаментальная проблема чисто технического подхода заключается в том, что профессионалы по ИТ-безопасности не понимают бизнеса. Предприятиям нужно выращивать и продвигать людей, разбирающихся не только в вопросах безопасности, но и в хитросплетениях бизнеса.
«Ответственный за управление рисками» теперь важнее, чем традиционный специалист по безопасности, который, одновременно занимаясь сетевым администрированием, видит свою задачу в том, чтобы «тянуть деньги из директора по ИТ» и блокировать проекты, которые могли бы принести пользу организации, пояснил Хейзер. «Брандмауэром может управлять любой выпускник колледжа», — добавил он, призывая предприятия взяться за решение более важной задачи оценки собственных рисков и их приоритетов.
В качестве примера компании, принявшей подход использования на руководящих должностях в сфере безопасности бизнес-ориентированных менеджеров, можно привести страхового гиганта Zurich. Стефан Вогт, директор Zurich по ИТ-рискам, рассказал участникам конференции, что его компания отдала на субподряд традиционные аспекты ИТ и безопасности, такие как управление брандмауэром, профилями пользователей и доступом к данным, сосредоточившись на более стратегических вопросах.
«Мы не считаем управление брандмауэром своей повседневной задачей. У нас в организации нет людей, которые этим занимаются. Теперь мы работаем на стратегическом уровне, — сказал он. — Мы перешли от реагирования к предвосхищению и прогнозу возможных ситуаций в будущем». Вог добавил, что в верхней строке его списка приоритетов теперь значится политика, а брандмауэр опустился на последнее место. По его словам, принятие такого подхода внесло значительный вклад в снижение годовых расходов Zurich на ИТ почти с $2 млрд до «около $1 млрд».