«Чаще всего вопрос «безопасность или удобство» формулируют неверно, как будто это взаимоисключающие полюса. На деле это размен на разных уровнях системы: проигрыш в удобстве для рядового сотрудника может дать выигрыш в удобстве для команды безопасности и всей организации в целом. Настоящий выбор не между ними, а в том, как сделать безопасность невидимым слоем, который не ломает бизнес-процессы, и какие компромиссы для этого допустимы».

Безопасность или удобство — что важнее для бизнеса?

В российских компаниях, особенно в IT-секторе и госсекторе, разговор о защите информации часто заканчивается намертво застопоренными процессами. Для сотрудника введение обязательной двухфакторной аутентификации, это лишние полминуты перед началом работы. Для отдела безопасности, это снижение риска компрометации учётной записи на порядки. Где точка равновесия?

Миф о взаимоисключающих полюсах

Первое и главное заблуждение — считать, что безопасность и удобство находятся на разных чашах весов, где усиление одного означает ослабление другого. На практике это два параметра, которые влияют на третий, общий — эффективность бизнеса.

Неудобная, но «безопасная» система, которой сотрудники будут активно искать обходные пути (записывать пароли на стикеры, использовать неутверждённые сервисы), в конечном счёте приведёт к снижению реального уровня защиты. Обратная ситуация — сверхудобная система без элементарных барьеров — сделает компанию лёгкой мишенью.

Споры в стиле «что важнее» обычно возникают, когда безопасность воспринимается как внешнее, навязанное ограничение, а не часть проектирования продукта или процесса с самого начала.

Экономика компромиссов: считаем по-другому

Традиционный подход предлагает оценивать ущерб от инцидента и сравнивать его со стоимостью внедрения защитных мер. Но он плохо работает с нематериальными активами вроде репутации и с постоянными операционными издержками в виде потерянного времени сотрудников.

Более полезный фреймворк — анализ «трения» (friction). Каждая контрольная точка (пароль, 2FA, запрос на доступ) создает трение в процессе. Задача — не убрать трение полностью, а распределить его так, чтобы оно было:

• Уместным: Сложная авторизация для доступа к финансовой системе — уместна. Такая же для доступа к внутреннему справочнику сотрудников — избыточна.
• Контекстным: Система может усиливать проверки при входе с нового устройства или необычного местоположения, но не делать этого для привычных действий из корпоративной сети.
• Инвестицией, а не налогом: Время, потраченное сотрудником на безопасное действие, должно восприниматься им как вклад в общую стабильность, а не как бессмысленная бюрократия. Это достигается через понятные коммуникации и прозрачность правил.

Уровни принятия решений: от тактики к стратегии

Конфликт часто обостряется из-за того, что решение о балансе принимается не на том уровне.

Тактический уровень (сотрудник)

На этом уровне выбор кажется простым: «сделать быстро» или «сделать безопасно». Сотрудник, заваленный задачами, почти всегда выберет путь наименьшего сопротивления, если контрольная точка выглядит для него необоснованной.

Операционный уровень (отдел, команда безопасности)

Здесь видны риски, но часто нет полной картины бизнес-процессов. Меры безопасности могут внедряться шаблонно, по принципу «чтобы было». Это рождает сопротивление на тактическом уровне.

Стратегический уровень (руководство, бизнес)

Только здесь можно принять взвешенное решение, потому что видны и потенциальный финансовый/репутационный ущерб от инцидента, и совокупные потери производительности от избыточных мер, и долгосрочные последствия для культуры компании. Безопасность должна быть встроена в стратегию развития, а не быть реакцией на внешние угрозы или требования регулятора.

Например, переход на облачные сервисы для совместной работы резко повышает удобство. Стратегическое решение будет включать не просто запрет или разрешение, а выбор конкретного вендора с нужным уровнем сертификации по 152-ФЗ, настройку политик управления доступом (IAM) и шифрования данных на стороне клиента, чтобы снизить риски, не отказываясь от удобства.

Безопасность как платформа, а не барьер

Парадигма меняется. Задача современного CISO или руководителя, отвечающего за ИБ, — не строить стены, а создавать безопасные платформы, на которых бизнес может быстро и уверенно строить свои процессы.

• SSO (Single Sign-On): Классический пример, где безопасность (централизованное управление учётными записями, быстрая блокировка) повышает удобство (один пароль для многих сервисов).
• Адаптивная аутентификация: Система оценивает риск сессии. Низкий риск (вход с рабочего ноутбука из офиса) — простой пароль. Высокий риск (попытка скачать базу клиентов из новой страны) — запрос 2FA и дополнительное подтверждение от руководителя.
• API и безопасная разработка (DevSecOps): Когда инструменты проверки кода на уязвимости (SAST), анализа зависимостей (SCA) и динамического тестирования (DAST) встроены в CI/CD-пайплайн разработчика, безопасность становится не препятствием для выпуска обновления, а его гарантией. Это требует инвестиций в инфраструктуру, но многократно окупается.

[ИЗБРАЖЕНИЕ: Два контрастных скриншота. Слева — интерфейс старой системы, где для утверждения заявки на доступ нужно распечатать форму, подписать у трёх руководителей и отнести в службу безопасности. Справа — интерфейс современной системы IAM, где тот же запрос отправляется автоматизированно, с нотификацией в корпоративный мессенджер и возможностью утвердить в два клика. Подпись: «Одна и та же контрольная точка, разная реализация».]

Влияние регуляторики (152-ФЗ, ФСТЭК)

Российское законодательство в лице 152-ФЗ и требования ФСТЭК часто воспринимаются как источник дополнительного «трения». Однако их можно использовать как каркас для построения сбалансированной системы.

• Категорирование ИСПДн, это не бюрократия, а готовый механизм для риск-ориентированного подхода. Выделяя ресурсы на защиту систем с персональными данными высокого уровня защищённости, компания может позволить себе более лёгкие режимы для систем с менее критичными данными.
• Требования к СЗИ (средствам защиты информации) задают минимальную планку. Задача бизнеса — выбрать из перечня совместимых решений те, которые лучше встраиваются в его процессы и имеют более удобные интерфейсы управления.
• Регламенты и политики должны быть написаны на человеческом языке, с примерами и обоснованиями «почему это важно для компании». Сотрудник, который понимает, что правило о запрете передачи паролей защищает в том числе его премию от убытков компании, будет соблюдать его осознаннее.

Ключ в том, чтобы не выполнять требования формально, а интегрировать их в операционную модель, используя как возможность для стандартизации и повышения зрелости процессов.

Практические шаги к балансу

1. Отказаться от идеи «безопасности любой ценой». Чётко определить, что является критичным активом компании (ключевые базы данных, исходный код, финансовая отчётность), а что — вспомогательной инфраструктурой. Фокус защиты — на критичных активах.
2. Вести постоянный мониторинг «трения». Собирать обратную связь от пользователей о самых болезненных контрольных точках. Анализировать лог-файлы на предмет поиска обходных путей (использование личных почт, файлообменников).
3. Автоматизировать рутину. Если процесс согласования заявок на доступ занимает три дня — его нужно автоматизировать, оставив за человеком только утверждение исключительных случаев. Автоматизация — главный союзник в борьбе за удобство без потери контроля.
4. Инвестировать в UX для безопасности. Выделять ресурсы на улучшение пользовательского интерфейса систем управления доступом, порталов для сотрудников, процессов восстановления паролей. Это не косметика, а важная часть внедрения.
5. Культивировать осознанность, а не страх. Программы обучения должны объяснять не только «что делать», но и «почему это важно», разбирая реальные случаи из индустрии. Цель — сделать сотрудника союзником, а не слабым звеном.

Ответ на вопрос «что важнее» не является константой. Для банка или оператора критической информационной инфраструктуры чаша весов неизбежно склонится в сторону безопасности с приемлемым уровнем неудобств. Для стартапа на стадии гиперроста — в сторону скорости и удобства при базовых мерах защиты. Умение управлять этим балансом, сдвигать его в зависимости от контекста, зрелости компании и внешних угроз — и есть один из ключевых навыков для руководителей в современном российском IT-ландшафте, где регуляторные требования лишь задают нижнюю границу, а верхнюю определяет конкуренция и потребность бизнеса в agility.