Продакт-девелопмент в информационной безопасности: итоги встречи нового CISO-клуба КУБИТ

Встреча клуба состоялась при организационной поддержке федерального кибербез-хаба «Кибердом», который объединяет ключевые отраслевые мероприятия в сфере кибербезопасности.

«Клуб КУБИТ — это неформальное объединение CISO крупнейших компаний — представителей реального сектора экономики России. Сегодня членами нашего закрытого клуба являются более 40 руководителей служб ИБ из более чем 25 компаний, и число участников продолжает расти. Мы формируем клуб профессионалов, которые занимаются реальными, практическими вопросами информационной безопасности. „КУБИТ“ предоставляет площадку, на которой участники оперативно обмениваются информацией об угрозах, рисках и актуальными данными о том, что происходит во внешнем периметре, откровенно обсуждают свои успехи и проблемы в реализации ИБ-решений», — Андрей Кульпин, основатель CISO-клуба «КУБИТ».

В 2023 году вопрос информационной безопасности в российских компаниях стоит особенно остро. Как сообщает РБК со ссылкой на исследование ГК InfoWatch, за 2022 год в России количество утекших записей персональных данных и платёжной информации выросло в 2,67 раза по сравнению с предыдущим годом и составило более 667 млн единиц. Особенно заметно выросла доля утечек среди промышленных, транспортных и энергетических компаний — почти в 3 раза. По прогнозам на 2023 год этот антирекорд может быть побит.

В то же время многократно возросли риски, связанные с использованием иностранного программного обеспечения. Для объектов критической информационной инфраструктуры (КИИ) указом Президента введен запрет на закупку иностранных решений.

Чтобы противостоять этим вызовам, на регулярных встречах члены клуба «КУБИТ» планируется обсуждать лучшие практики защиты информационных систем предприятий в сферах промышленности, энергетики, транспорта и других областей.

15 июня 2023 года на мультимедийной площадке для деловых и образовательных мероприятий Iskra Space прошло первое закрытое заседание Клуба, посвященное внедрению продуктового подхода в разработку и поддержку ИБ-систем.

«Пользу „КУБИТА“ вижу в обмене опытом и мнениями. На встречах презентуем и обсуждаем различные решения, проблемы, ситуации. Делимся интересными подходами к решению проблем. Закрытый формат нужен именно для того, чтобы члены клуба могли свободно обсуждать любые вопросы. Главное условие — руководитель по информационной безопасности должен быть достаточно зрелым. Это клуб профессионалов, которые занимаются реальной практической безопасностью», — рассказал Андрей Нуйкин, начальник управления ИБ ЕвразТехника.

Владимир Стасевич (ранее Вице-президент MТС Банк, CPO Сбербанк Онлайн, кандидат технических наук) выступил с докладом «Продуктовая модель для ИТ в промышленных предприятиях с точки зрения CISO. О чем важном не принято говорить». Вот о чем рассказал Владимир:

«Выстраивание процессов продакт-менеджмента имеет важное значение для результативного импортозамещения. АСУТП, ERP-системы, документооборот, логистика и коммуникации, автоматизация HR и продаж — это ключевые направления для внедрения продуктовых моделей. Необходим подход, при котором это можно делать безопасно».

Как подстроить продукт под нужды заказчика? Как его изменять и дорабатывать? Как обеспечить защищенность продукта и, главное, как донести до заказчика необходимость в ИБ-решениях на языке бизнеса? Обсуждением этих вопросов и поиском ответов на них и занимались члены Клуба.

Участники пришли к выводу, что создание более высокой ценности для бизнеса и более безопасных ИТ-решений может быть достигнуто через внедрение комплексного продуктового подхода к разработке — от этапов изучения продукта, поиска ценности, формулирования гипотез и их проверки до непрерывного цикла управления изменениями и развития продукта через сбор обратной связи и постоянный контакт с бизнес-подразделениями.

Разработка любого ИТ-продукта не должна проходить в отрыве от задач обеспечения информационной безопасности. В команде разработки необходим ИБ-специалист, секьюрити-чемпион, который будет выстраивать защиту продукта, исходя из нужд и рабочих процессов клиента. Важно, чтобы такой специалист был в команде с самого начала. Его задача, прежде всего, выстроить доверие через общение, погружение в проблемы бизнеса и ИТ и подбор разумных аргументов.

По словам спикеров, сейчас на рынке практически нет сильных ИТ-специалистов, которые так же глубоко погружены в вопросы кибербезопасности. В том числе поэтому очень важно с самого начала установить доверие между ИТ- и ИБ-подразделениями.

«„Кибердом“ объединяет людей из разных экспертных ИБ-областей для развития отрасли, создания „голоса индустрии“ и решения отраслевых проблем на всех уровнях. Здесь будут проходить мероприятия разных форматов в рамках правительственных, образовательных, карьерных и других треков. Это уникальная фиджитал-среда для проведения деловых мероприятий. Место встречи людей, заинтересованных в будущем российской кибербезопасности и хайтек-индустрии», — отмечает Сергей Калмыков, генеральный директор кибербез-хаба «Кибердом».

Всего в 2023 году запланировано 4 встречи, в программе которых доклады топовых экспертов, дискуссии и неформальная часть.

Уже с осени заседания будут проходить на площадках «Кибердома» — федерального кибербез-хаба в центре Москвы. Проект создан частными инвесторами для эффективного взаимодействия специалистов, бизнеса, государства, будущих кадров и построения сильного бренда российской кибербезопасности. Его миссия — сделать кибербезопасность неотъемлемой частью российской идентичности и предметом национальной гордости.