Пазл Т-1: как подразделения ИБ помогают компаниям зарабатывать
4 мин
109
4
ИБ — коммерческий партнёр
Главным индикатором зрелости ИБ является не количество внедрённых инструментов, а то место, которое она занимает в управленческой архитектуре компании. Принципиальный переход происходит, когда безопасность перестает существовать как автономная надстройка и полностью интегрируется в корпоративную стратегию. Приведу пример из своей практики в T1 Облако — облачном провайдере ИТ-холдинга Т1, который исторически специализируется на IaaS, PaaS и SaaS.
ИТ-холдинг Т1 — многопрофильный холдинг, один из лидеров российского ИТ-рынка. В состав холдинга входят бизнес-направления Т1 Интеграция, Т1 Облако, Т1 Искусственный Интеллект, Т1 Сервионика, Т1 Иннотех, Мультикарта и вендор НОТА от Т1. Компании холдинга начинают историю с 1992 года. В штате — более 27 тысяч сотрудников.
Когда мой трудовой путь в компании начался в середине 2022 года, ИБ была далеко не основным направлением бизнеса. Однако мы начали последовательно встраивать нашу экспертизу в продуктовую и коммерческую повестку, благодаря чему уже к 2023 году ИБ выросла в самостоятельное бизнес-подразделение. Управленческий результат этой работы — в 2026-м ИБ отвечает за два из семи ключевых направлений в стратегии развития всей компании.
Являясь облачным провайдером, мы уже два года подряд уверенно входим в число лидеров российского рынка ИБ по версии TAdviser. Это не искусственная диверсификация ради красивых отчётов, а закономерный результат превращения ИБ из статьи расходов в полноправного коммерческого партнёра.
Экономика ИБ может генерить добавленную стоимость
Как мы реализуем наш подход на практике? Всё начинается с жёсткой бюджетной дисциплины.
Я выработал для себя базовую формулу: бюджет на ИБ не должен превышать 15% от совокупного ИТ-бюджета компании.
Это ограничение заставляет нас выстраивать защиту, отталкиваясь от реальных угроз, а не от желания закрыть всё и сразу, что, конечно, технически и финансово невозможно.
В текущих макроэкономических условиях бизнесу зачастую невыгодны капитальные расходы (CAPEX). Например, на закупку кластеров межсетевых экранов нужной производительности может единовременно потребоваться несколько сотен миллионов рублей — такую сумму сейчас мало кто готов заморозить. Мы переводим эти затраты в операционную плоскость (OPEX) через модель Security as a Service (SECaaS): равномерные ежемесячные платежи обеспечивают предсказуемость расходов и сохраняют финансовую гибкость компании.
Кроме того, современная ИБ способна не только экономить, но и генерировать добавленную стоимость. В 2022 году мы запустили IaaS-облако для объектов критической информационной инфраструктуры и, вложив туда нашу экспертизу, заняли незаполненную рыночную нишу. Аналогично наше подразделение по собственной ИБ, достигнув зрелости, получило лицензии, начало оказывать услуги на внешнем рынке и стало самоокупаемым. В итоге совокупная выручка направления ИБ выросла с сотен тысяч рублей в 2022 году до десятков миллионов сегодня.
Джунов не меньше половины
ИБ-специалисты — дорогое удовольствие. С учётом фонда оплаты труда и сопутствующих издержек каждый сотрудник может обходиться бизнесу в несколько миллионов рублей в год. Чтобы оптимизировать эти затраты без потери качества, мы выдерживаем строгий баланс грейдов. В подразделениях по ИБ у нас доля сотрудников уровня «джуниор» не ниже доли опытных специалистов. При этом там, где функцию можно передать средству автоматизации, мы всегда выбираем этот путь — в перспективе софт обходится дешевле живого труда.
Отдельный фокус при найме мы делаем на ИТ-специалистах. Практика показывает, что работника с отличным знанием сетей проще за несколько месяцев обучить основам ИБ, чем годами учить сетям безопасника с нормативным бэкграундом. К тому же бывший айтишник прекрасно понимает все неформальные обходные пути и бэкдоры в инфраструктуре коллег. При правильных KPI это знание быстро начинает приносить прямую пользу.
Устойчивость команды мы обеспечиваем через систему парного менторства, где каждый middle- или senior-специалист работает в связке с junior-сотрудником. Это позволяет передавать критические знания об инфраструктуре и достигать взаимозаменяемости на уровне 70–80%, чтобы уход ключевого эксперта не создавал операционный разрыв. Для сохранения управляемости я придерживаюсь строгого правила: на одного руководителя должно приходиться не более 10 человек в прямом подчинении, а сами лидеры назначаются преимущественно из внутреннего кадрового резерва.
Говорить без аббревиатур
Смежные подразделения для нас — это не оппоненты, которым мы навязываем ограничения, а внутренние заказчики и партнёры. Наша цель — встраивать требования безопасности в архитектуру новых сервисов ещё на этапе их проработки, а не блокировать готовые инициативы в день релиза. Систематические ситуации, когда технический директор на планёрках оправдывает срыв сроков тем, что «CISO всё заблокировал», означают для руководителя по ИБ прямой риск потери должности.
Лояльность бизнеса и сотрудников мы формируем через полный отказ от репрессивной модели и устранение любой внутренней «токсичности». Мы коммуницируем на естественном языке, без непонятных бизнесу аббревиатур, чётко объясняя смысл каждого ограничения. Если внедряется двухфакторная аутентификация или VPN, каждый сотрудник должен понимать, от какой угрозы это защищает компанию. В результате персонал сам начинает приходить к нам с подозрительными письмами или сообщениями о нестандартном поведении сервисов.
Ключевая метрика эффективности нашей дипломатии — минимальное влияние ИБ на операционные показатели бизнеса: time-to-market, отказоустойчивость систем и пользовательский опыт (UX). Ведь если заставить клиентов банковского приложения вводить 16-значные пароли, сервисом просто никто не будет пользоваться. Безопасность, которая ухудшает продукт, контрпродуктивна.
Управлять не периметром, а приоритетами
По мере роста направления ИБ я физически перестал заниматься операционным микроменеджментом. Сегодня моя управленческая модель строится на глубоком делегировании задач специализированным лидерам: один руководитель полностью отвечает за безопасность инфраструктуры, другой — за развитие SECaaS, третий — за внешний рынок. Моя роль в этой конфигурации сводится к стратегическому целеполаганию, генерации идей, координации и представительству интересов команды на уровне топ-менеджмента.
Распределение ресурсов мы всегда строим по принципу пропорциональности ценности актива. Логика однозначна: если один сервис генерирует миллион рублей выручки в месяц, а другой — сто рублей, приоритет защиты отдаётся первому. При этом стоимость самой защиты не должна превышать коммерческую ценность актива, иначе экономический смысл инвестиций обнуляется.
Бюджет и приоритеты — конструкции гибкие. В течение года мы можем отменить запланированное внедрение SOAR в пользу срочного развёртывания WAF для защиты уязвимого сервиса от DDoS-атак. Любая потребность в ресурсах обосновывается бизнесу исключительно в денежном эквиваленте. В итоге современный руководитель ИБ управляет не периметром, а приоритетами бизнеса, выступая больше экономистом и психологом, чем инженером.
