👥 КОГДА ИБ РАЗДЕЛИЛИ МЕЖДУ ИТ И ЮРИСТАМИ На бумаге такая схема выглядит рационально. ИТ отвечают за инфраструктуру. Юристы за требования закона и документы. Отдельный руководитель или команда ИБ вроде бы не нужны. Именно так многие компании и объясняют это решение: нет лишнего бюджета, бизнес не кажется хакерам интересной целью, процессы итак работают, а безопасность можно распределить между уже существующими должностями. ❗️ Проблема в том, что ИБ — это не сумма двух ролей. Это отдельная функция, которая связывает бизнес-процессы, обработку данных, техническую защиту, требования регуляторов, подрядчиков и внутренний контроль. Когда этого связующего звена нет, схема начинает ломаться. Сначала в мелочах... Непонятно: 🔍 кто отвечает за своевременное удаление персональных данных из систем; 🔍 кто проверяет, как реально работают меры защиты; 🔍 кто тестирует систему резервного копирования и восстановления; 🔍 кто отслеживает инциденты и расследует их; 🔍 кто вообще смотрит на процесс целиком, а не стороны формальной рутинной задачи. Дальше проблема становится системной. ИТ-команда занята поддержкой инфраструктуры и стабильностью сервисов. Юристы — документами, согласиями, рисками по нормативке. Но между ними остается пустая зона: никто не проводит глубинное обследование процессов обработки и защиты данных, не выявляет конфиденциальную информацию, не смотрит, где именно ключевой бизнес-процесс может получить сбой или полностью поломан. Именно здесь обычно выпадают самые важные задачи: — стратегическое планирование ИБ; — комплексная оценка рисков, а не только техники или документов; — координация ИТ, юристов, разработки, подрядчиков и владельцев процессов; — обучение сотрудников; — управление инцидентами и восстановлением после них. На практике это приводит к предсказуемым последствиям. 1️⃣ Появляются пробелы в защите. ИТ не всегда видят правовую сторону, а юристы не могут оценить техническую реализуемость и уязвимости. 2️⃣ Растет риск нарушений требований закона: формально документы могут быть, но процессы при этом работать с ошибками. 3️⃣ Замедляется реакция на инциденты. Пока ИТ устраняют техническую часть, а юристы разбираются, что и кому сообщать, компания теряет время. 4️⃣ Возникает конфликт приоритетов: ИТ тянут в сторону доступности, удобстваи скорости, юристы — в сторону формального соблюдения требований, а функция, которая должна это собрать в одну управляемую систему, отсутствует. В итоге ИБ превращается либо в процесс «где-то сбоку», либо в формальность, о которой вспоминают только перед проверкой, после утечки или в момент серьезного сбоя. Главная ошибка здесь не в том, что ИТ и юристы подключены к безопасности. Они как раз должны быть подключены. Ошибка в другом: компания подменяет функцию ИБ набором разрозненных обязанностей и рассчитывает, что система соберется сама. Но она не собирается. Если в компании нет отдельного CISO или ИБ-команды, это еще не означает, что безопасность невозможно выстроить. Но тогда особенно важно понять, кто реально держит эту функцию целиком, где проходит ответственность и кто отвечает не только за документы или технику, а за связность всей системы. 😎 📱 VK | 📱 ТГ | 📱 МAX | 📱 Дзен