В условиях постоянных угроз и быстрых технологических изменений успешное управление кибербезопасностью выходит за рамки технических решений. Это — стратегический инструмент, интегрированный во все бизнес-процессы, способный не только защитить компанию, но и повысить ее эффективность. В этой статье эксперты Infosecurity (ГК Softline) поделились, как построить такую систему: от понимания бизнес-рисков до внедрения технологий и формирования культуры безопасности.
В качестве введения
Способов зарабатывать деньги множество. В умных книжках приводятся десятки и сотни успешных бизнес-моделей. И даже в рамках этих «книжных» моделей каждый бизнес уникален по множеству параметров, начиная с торгового предложения и заканчивая ИТ-ландшафтом. А ИТ сегодня – это неотъемлемая часть бизнеса, а где-то и весь как таковой. Поэтому не будет неожиданным утверждение, что кибербез в каждой компании должен быть устроен и работать уникальным образом. Или все-таки не уникальным?
Попробуем нащупать основу, чтобы выстроить кибербез в конкретной (и уникальной!) компании. Вынесем за скобки регуляторные требования, не важно, исходят они со стороны государства, отраслевых регуляторов, материнской компании, бизнес-партнера или даже клиента. Что осталось? Пара международных стандартов, пара более или менее известных в мире фреймворков, несколько частных фреймворков (например, для облаков или для безопасной разработки), и это всё. Нет, не всё – есть еще бесконечное множество публикаций про то, как правильно строить кибербез, как им управлять, как управлять ожиданиями бизнеса, что должен знать и уметь директор по информационной безопасности (CISO) и т.д.
Получается парадокс: с одной стороны, все компании уникальны, с другой – всем им, таким уникальным, предлагается выбрать «книгу мудрости» (при том, что выбор невелик) и сделать, как написано. Либо изобрести что-то свое.
Попробуем нащупать основу, чтобы выстроить кибербез в конкретной (и уникальной!) компании. Вынесем за скобки регуляторные требования, не важно, исходят они со стороны государства, отраслевых регуляторов, материнской компании, бизнес-партнера или даже клиента. Что осталось? Пара международных стандартов, пара более или менее известных в мире фреймворков, несколько частных фреймворков (например, для облаков или для безопасной разработки), и это всё. Нет, не всё – есть еще бесконечное множество публикаций про то, как правильно строить кибербез, как им управлять, как управлять ожиданиями бизнеса, что должен знать и уметь директор по информационной безопасности (CISO) и т.д.
Получается парадокс: с одной стороны, все компании уникальны, с другой – всем им, таким уникальным, предлагается выбрать «книгу мудрости» (при том, что выбор невелик) и сделать, как написано. Либо изобрести что-то свое.
Книги мудрости
Что же это за книги?
Если говорить про кибербез, то можно назвать следующие:
Что в них говорится?
Если коротко – это сборники рекомендаций, следуя которым можно в ограниченный срок достигнуть определенных успехов в кибербезе. Различий в них предостаточно – начиная с концепции, структуры и состава мер управления и заканчивая детализацией, позиционированием, стилем изложения и т.д. Но есть и то, что их объединяет:
Если говорить про кибербез, то можно назвать следующие:
- международный стандарт ISO/IEC 27001 (+ идентичный ему российский национальный стандарт ГОСТ Р ИСО/МЭК 27001-2021+ целая серия международных стандартов ISO/IEC 27xxx);
- NIST CSF (+ множество публикаций по отдельным направлениям NIST special publications);
- CIS Controls (+ дополнительные модели, инструменты, маппинги и пр.).
Что в них говорится?
Если коротко – это сборники рекомендаций, следуя которым можно в ограниченный срок достигнуть определенных успехов в кибербезе. Различий в них предостаточно – начиная с концепции, структуры и состава мер управления и заканчивая детализацией, позиционированием, стилем изложения и т.д. Но есть и то, что их объединяет:
- наличие верхнеуровневого управления (governance);
- процессный риск-ориентированный подход (привет, PDCA!);
- структурированные наборы взаимосвязанных мер управления (controls);
- элементы внутреннего контроля и непрерывного совершенствования.
Блеск и нищета
Проблемы «книг мудрости» начинаются там же, где заканчиваются их преимущества. Судите сами. С одной стороны – универсальный фреймворк, исчерпывающий по полноте, подходящий для компании любой отрасли и размера, с другой – расплывчатые формулировки, дискуссии из серии «что хотел сказать автор», слишком много абстракции, слишком много вариативности и т.д. Многих это разочаровывает уже на старте. Хуже того, многие ошибочно воспринимают эти «книги» как руководство к действию (чем они в действительности не являются) и разочаровываются уже окончательно.
Так что же, садимся писать свой фреймворк?
Возможно, вы не знали, но да, компании активно пишут и продвигают собственные методологии и фреймворки. В последние два-три года на слуху сразу несколько таких попыток только в России (приводить примеры мы, конечно, не будем). Интеграторы, вендоры, холдинговые структуры – все они преследуют очень разные долгосрочные цели и в то же время предлагают очень схожие средства.
И каков рецепт? Как переизобрести кибербезопасность, риск-менеджмент, киберустойчивость, да всё что угодно? Очевидно, взять лучшее из готового и добавить недостающее.
Так что же, садимся писать свой фреймворк?
Возможно, вы не знали, но да, компании активно пишут и продвигают собственные методологии и фреймворки. В последние два-три года на слуху сразу несколько таких попыток только в России (приводить примеры мы, конечно, не будем). Интеграторы, вендоры, холдинговые структуры – все они преследуют очень разные долгосрочные цели и в то же время предлагают очень схожие средства.
И каков рецепт? Как переизобрести кибербезопасность, риск-менеджмент, киберустойчивость, да всё что угодно? Очевидно, взять лучшее из готового и добавить недостающее.
- Недостаточно конкретики? Формулируем, что именно нужно сделать и как потом проверить (!), что сделано действительно так, как написано.
- Не понятно, с чего начать и чем продолжить? Определяем уровни зрелости, соотносим с ними те или иные меры управления.
- Не учитывается специфика конкретной организации? Определяем специфичный для организации профиль риска (т.е. даем пошаговое руководство, как его определить).
- Нет уверенности, что кибербез действительно работает? Пробуем «сломать» чужими руками.
- Нет конечной цели, где следует остановиться? Не понятно, как все это соотносится с рынком продуктов и услуг РФ? Нет привязки к деньгам? Вы уже знаете ответ.
Мы как-нибудь сами
Все это очень интересно, но мы не можем сидеть и ждать, когда нам дадут конкретную инструкцию. Тут мы возвращаемся к самому началу и вспоминаем, какую задачу решаем.
Нам нужно построить кибербез – значит, нужно построить систему управления, которая гарантирует управляемый, предсказуемый (и, главное, соответствующий ожиданиям) результат в отдельно взятой компании. В этом смысле система управления кибербезом не может являться чем-то отдельным, «вещью в себе», «нашлепкой» над ИТ. Напротив, ее следует рассматривать как неотъемлемую часть корпоративного управления.
Система управления кибербезопасностью глубоко интегрируется во все ключевые направления бизнеса, не говоря уже о поддерживающих функциях – от управления персоналом и юридического сопровождения до взаимодействия с третьими сторонами и работы с документами. Здесь самое время вспомнить про триаду «процессы – люди – технологии» – все это должно быть не просто в наличии, но логически объединено и структурировано, чтобы создать целостную управляемую систему, понятную топ-менеджменту и собственникам бизнеса.
Руководителям компании такая система предоставляет инструменты для принятия решений. Академически было бы корректно говорить о политике, культуре, управлении рисками и т.д., но на бытовом уровне мы все время ведем разговор о границах ответственности, выделении (или НЕвыделении) бюджетов и найме персонала.
Дело осталось за малым – понять те самые специфические особенности отдельно взятой компании, выбрать систему координат и точку отсчета, как следует все спланировать, сделать как наметили, проверить себя и уйти на следующий круг непрерывного улучшения.
И если уже с этим пониманием мы заглянем в те книги, с обзора которых начиналась статья, то увидим модель для сборки – берем только то, что нужно, и приземляем на нашу реальность.
Просто как 1-2-3-4 (снова привет, PDCA!). Или все-таки не очень просто?
Нам нужно построить кибербез – значит, нужно построить систему управления, которая гарантирует управляемый, предсказуемый (и, главное, соответствующий ожиданиям) результат в отдельно взятой компании. В этом смысле система управления кибербезом не может являться чем-то отдельным, «вещью в себе», «нашлепкой» над ИТ. Напротив, ее следует рассматривать как неотъемлемую часть корпоративного управления.
Система управления кибербезопасностью глубоко интегрируется во все ключевые направления бизнеса, не говоря уже о поддерживающих функциях – от управления персоналом и юридического сопровождения до взаимодействия с третьими сторонами и работы с документами. Здесь самое время вспомнить про триаду «процессы – люди – технологии» – все это должно быть не просто в наличии, но логически объединено и структурировано, чтобы создать целостную управляемую систему, понятную топ-менеджменту и собственникам бизнеса.
Руководителям компании такая система предоставляет инструменты для принятия решений. Академически было бы корректно говорить о политике, культуре, управлении рисками и т.д., но на бытовом уровне мы все время ведем разговор о границах ответственности, выделении (или НЕвыделении) бюджетов и найме персонала.
Дело осталось за малым – понять те самые специфические особенности отдельно взятой компании, выбрать систему координат и точку отсчета, как следует все спланировать, сделать как наметили, проверить себя и уйти на следующий круг непрерывного улучшения.
И если уже с этим пониманием мы заглянем в те книги, с обзора которых начиналась статья, то увидим модель для сборки – берем только то, что нужно, и приземляем на нашу реальность.
Просто как 1-2-3-4 (снова привет, PDCA!). Или все-таки не очень просто?
Узнайте, как сделать кибербезопасность частью вашего управленческого процесса и обеспечить устойчивость вашего бизнеса в цифровую эпоху. Оставьте заявку на консультацию с экспертами >>>
Контекст (поиграем в бизнес)
CISO должен глубоко погрузиться в специфику деятельности компании. Это не просто формальное изучение организационной структуры или регламентов выполнения бизнес-процессов. Ключевая задача на этом этапе – понять, как компания зарабатывает деньги и, что еще важнее, как она может их потерять в контексте кибербезопасности. В какой-то степени CISO должен стать бизнес-аналитиком, начать говорить на языке бизнеса, проявлять эмпатию, понимать финансы не просто на уровне бюджетирования затрат и фактически ассоциировать себя с топ-менеджментом, а не с техническими экспертами.
В последние пару лет модно говорить о недопустимых для бизнеса событиях. И хотя концептуально в этом нет ничего нового (найдите хотя бы пару отличий от классического сценарного анализа), главная ценность такого «мостика» между бизнесом и кибербезом в том, что он сформулирован в терминах, понятных обеим сторонам.
Нарушение работы склада и остановка отгрузки товаров? Недоступность партнерского API и остановка канала продаж? Остановка процессинга платежных карт на транспорте? Недоступность электронных карт в медицинском учреждении? Таким образом мы сразу описываем события в бизнес-терминах! Казалось бы, причем здесь шифровальщики и APT-группировки?
Добавьте к любой из этих формулировок подробности – что именно произошло, кто действующие лица, каковы последствия для бизнеса – и вот у нас готовы детальные сценарии для анализа. Привяжите эти сценарии к ИТ-ландшафту, и пазл собрался.
Забавно, что до введения оборотных штрафов утечки данных интересовали бизнес гораздо меньше, чем остановка предоставления услуг (особенно, если это транзакционный бизнес). Как это резко контрастирует с желанием поскорее установить DLP-систему и ввести режим коммерческой тайны!
В последние пару лет модно говорить о недопустимых для бизнеса событиях. И хотя концептуально в этом нет ничего нового (найдите хотя бы пару отличий от классического сценарного анализа), главная ценность такого «мостика» между бизнесом и кибербезом в том, что он сформулирован в терминах, понятных обеим сторонам.
Нарушение работы склада и остановка отгрузки товаров? Недоступность партнерского API и остановка канала продаж? Остановка процессинга платежных карт на транспорте? Недоступность электронных карт в медицинском учреждении? Таким образом мы сразу описываем события в бизнес-терминах! Казалось бы, причем здесь шифровальщики и APT-группировки?
Добавьте к любой из этих формулировок подробности – что именно произошло, кто действующие лица, каковы последствия для бизнеса – и вот у нас готовы детальные сценарии для анализа. Привяжите эти сценарии к ИТ-ландшафту, и пазл собрался.
Забавно, что до введения оборотных штрафов утечки данных интересовали бизнес гораздо меньше, чем остановка предоставления услуг (особенно, если это транзакционный бизнес). Как это резко контрастирует с желанием поскорее установить DLP-систему и ввести режим коммерческой тайны!
Планирование
Сложно планировать, когда нет цели. А цель сложно сформулировать, когда нет системы координат. И «книги мудрости» вполне могут сгодиться в качестве такой системы координат (отмечаем, где мы сейчас и куда хотим прийти). Теперь понятно, в каких терминах можно сформулировать цель относительно текущего состояния, но это не язык бизнеса. К тому же целевое состояние – это далеко не всегда 100%-ное соответствие чему бы то ни было. Нужно что-то еще.
Хорошо, что теперь у нас есть «мостик» к бизнесу через риски – величину риска «до» и «после» вполне можно использовать как один из параметров при определении целевого состояния. Добавим к этому практическую составляющую – одно дело рисовать рисковые сценарии на бумаге, совсем другое – проверить их правдоподобность. Тестирование на проникновение, редтиминг, кибериспытания – быстрый способ перейти от слов к делу и продемонстрировать реальность угроз и последствий.
Не забудем учесть запланированные изменения внутри компании (хорошо, если у бизнеса и ИТ есть стратегия, которую можно прочесть, но это далеко всегда так – и тогда анализ портфеля проектов нам поможет). Добавим к этому происходящие за окном события – ландшафт угроз и паттерны атак постоянно меняются и развиваются, регуляторы не сидят без дела, рынок средств защиты и связанных услуг тоже движется вперед. Кто-то будет посматривать одним глазом в сторону конкурентов в пределах отрасли – а как у них?
Теперь нам должно хватить информации, чтобы сформулировать целевое состояние в перспективе как минимум двух-трех, а лучше пяти лет. Пока мы формулировали цель, у нас почти автоматически собрался портфель проектов для достижения этого целевого состояния. Дело за малым – составить дорожную дорожную карту, отранжировав проекты (например, по влиянию на риск, сложности, срокам реализации, стоимости и т.д.).
Помните про «мостик»? Это наш хороший шанс не просто декларировать движение к светлому будущему, а конкретно и предметно показать топ-менеджменту, зачем мы делаем то, что делаем, и как это связано со способностью компании зарабатывать деньги. И не просто показать, а согласовать, заручиться поддержкой и получить необходимые ресурсы.
Хорошо, что теперь у нас есть «мостик» к бизнесу через риски – величину риска «до» и «после» вполне можно использовать как один из параметров при определении целевого состояния. Добавим к этому практическую составляющую – одно дело рисовать рисковые сценарии на бумаге, совсем другое – проверить их правдоподобность. Тестирование на проникновение, редтиминг, кибериспытания – быстрый способ перейти от слов к делу и продемонстрировать реальность угроз и последствий.
Не забудем учесть запланированные изменения внутри компании (хорошо, если у бизнеса и ИТ есть стратегия, которую можно прочесть, но это далеко всегда так – и тогда анализ портфеля проектов нам поможет). Добавим к этому происходящие за окном события – ландшафт угроз и паттерны атак постоянно меняются и развиваются, регуляторы не сидят без дела, рынок средств защиты и связанных услуг тоже движется вперед. Кто-то будет посматривать одним глазом в сторону конкурентов в пределах отрасли – а как у них?
Теперь нам должно хватить информации, чтобы сформулировать целевое состояние в перспективе как минимум двух-трех, а лучше пяти лет. Пока мы формулировали цель, у нас почти автоматически собрался портфель проектов для достижения этого целевого состояния. Дело за малым – составить дорожную дорожную карту, отранжировав проекты (например, по влиянию на риск, сложности, срокам реализации, стоимости и т.д.).
Помните про «мостик»? Это наш хороший шанс не просто декларировать движение к светлому будущему, а конкретно и предметно показать топ-менеджменту, зачем мы делаем то, что делаем, и как это связано со способностью компании зарабатывать деньги. И не просто показать, а согласовать, заручиться поддержкой и получить необходимые ресурсы.
Реализация
У нас есть портфель проектов – это очень хорошо. У каждого проекта есть цели, задачи, примерный график реализации и бюджет, и это тоже хорошо. (Кстати, про цели проектов: «внедрить SIEM» – это не цель.) Но когда мы доходим до реализации, все быстро превращается в клубок взаимосвязанных активностей, в которых нужно постараться не запутаться.
Выстраивание процессов: разработка и внедрение политик, процедур и регламентов, определяющих, как должна функционировать система информационной безопасности. Да, бумага – это не цель, но без бумаги мы не достигнем нужного уровня управляемости (тут надо оговориться, что «бумага» – это не обязательно документ с синей печатью, страничка в конфлюэнсе иной раз может подойти не хуже).
Внедрение технологий: выбор и интеграция технических средств защиты информации. Здесь все понятно – выбрал, купил (или все-таки скачал?), поставил, включил, отладил и…начинается текучка. Если это не интегрировано в процесс, в котором работают люди, мы не достигнем своих целей, и деньги на ветер.
Работа с персоналом: пожалуй, самый важный и сложный аспект. Он включает в себя не только обучение сотрудников новым правилам и процедурам, но и формирование культуры информационной безопасности в компании. И дело не только в бесконечной битве с фишингом, нужно научить людей в той же ситуации поступать так, как нужно нам (зачастую это означает «по-другому»). Хуже того, не всегда понятно, кого и чему учить. Теоретически потребность в обучении должна определяться моделью компетенций и функционалом конкретной позиции – нужно понимать состав необходимых навыков, требования к уровню их развития и т.д. Как только мы решим эту задачу, неожиданно столкнемся с тем, что «рынок знаний» недостаточно зрелый. В результате мы снова пытаемся все решить сами.
Выстраивание процессов: разработка и внедрение политик, процедур и регламентов, определяющих, как должна функционировать система информационной безопасности. Да, бумага – это не цель, но без бумаги мы не достигнем нужного уровня управляемости (тут надо оговориться, что «бумага» – это не обязательно документ с синей печатью, страничка в конфлюэнсе иной раз может подойти не хуже).
Внедрение технологий: выбор и интеграция технических средств защиты информации. Здесь все понятно – выбрал, купил (или все-таки скачал?), поставил, включил, отладил и…начинается текучка. Если это не интегрировано в процесс, в котором работают люди, мы не достигнем своих целей, и деньги на ветер.
Работа с персоналом: пожалуй, самый важный и сложный аспект. Он включает в себя не только обучение сотрудников новым правилам и процедурам, но и формирование культуры информационной безопасности в компании. И дело не только в бесконечной битве с фишингом, нужно научить людей в той же ситуации поступать так, как нужно нам (зачастую это означает «по-другому»). Хуже того, не всегда понятно, кого и чему учить. Теоретически потребность в обучении должна определяться моделью компетенций и функционалом конкретной позиции – нужно понимать состав необходимых навыков, требования к уровню их развития и т.д. Как только мы решим эту задачу, неожиданно столкнемся с тем, что «рынок знаний» недостаточно зрелый. В результате мы снова пытаемся все решить сами.
Проверка, анализ и корректировка
На каждом витке развития на пути к нашей цели необходимо сверять часы. Мы вложили ресурс, свое время, время других людей и в результате должны понять – стало лучше или мы находимся примерно там же, откуда начинали. И снова нам в помощь пентест, кибериспытания и багбаунти. Инциденты происходили и неизбежно будут происходить. Важно то, как мы справляемся с ними и какие делаем выводы.
Время от времени с учетом результатов проверочных мероприятий и инцидентов может потребоваться корректировка. Она может касаться как отдельных процессов или технических решений, так и общего подхода к управлению кибербезопасностью.
Важно понимать, что выстраивание системы – это не разовое мероприятие, а непрерывный процесс. Контекст деятельности компании, угрозы и риски буду постоянно меняться, и система должна адаптироваться к этим изменениям
Время от времени с учетом результатов проверочных мероприятий и инцидентов может потребоваться корректировка. Она может касаться как отдельных процессов или технических решений, так и общего подхода к управлению кибербезопасностью.
Важно понимать, что выстраивание системы – это не разовое мероприятие, а непрерывный процесс. Контекст деятельности компании, угрозы и риски буду постоянно меняться, и система должна адаптироваться к этим изменениям
Ключевые роли и обязанности
Система управления кибербезом охватывает гораздо более широкий спектр ролей и обязанностей, чем может показаться на первый взгляд. Она не ограничивается подразделением информационной безопасности, а пронизывает всю организационную структуру компании.
CISO – ключевая фигура в управлении кибербезопасностью, соединяющая в себе множество функций и обязанностей. Хотя CISO – первый человек, к которому приходят, если случается инцидент, неверно считать, что вся ответственность лежит исключительно на нем.
Важную роль играет топ-менеджмент компании. Руководители высшего звена, понимая, как кибербезопасность влияет на бизнес-результаты компании, должны активно участвовать в принятии решений. Более того, именно топ-менеджмент должен способствовать внедрению и соблюдению тех норм и требований безопасности, которые выбраны, согласованы и применяются в компании.
Вслед за топ-менеджментом в обеспечение кибербезопасности вовлекается весь персонал (в плане соблюдения принятых норм и требований). Значительный вклад вносят и смежные подразделения. Мы уже сказали несколько слов про ИТ-службу, без которой не имеет смысла все остальное. Следует отметить также директора по персоналу (кадровое администрирование и развитие персонала), корпоративную безопасность (физическая и/или экономическая безопасность), юридическое обеспечение и закупки (формальные и договорные аспекты кибербеза), корпоративный риск-менеджмент и многое другое.
Ключевой момент – установление эффективного взаимодействия между CISO, топ-менеджментом и другими руководителями, обсуждение взаимных ожиданий, выбор понятных способов коммуникации, согласование или даже выбор общих (!) целей и KPI.
CISO – ключевая фигура в управлении кибербезопасностью, соединяющая в себе множество функций и обязанностей. Хотя CISO – первый человек, к которому приходят, если случается инцидент, неверно считать, что вся ответственность лежит исключительно на нем.
Важную роль играет топ-менеджмент компании. Руководители высшего звена, понимая, как кибербезопасность влияет на бизнес-результаты компании, должны активно участвовать в принятии решений. Более того, именно топ-менеджмент должен способствовать внедрению и соблюдению тех норм и требований безопасности, которые выбраны, согласованы и применяются в компании.
Вслед за топ-менеджментом в обеспечение кибербезопасности вовлекается весь персонал (в плане соблюдения принятых норм и требований). Значительный вклад вносят и смежные подразделения. Мы уже сказали несколько слов про ИТ-службу, без которой не имеет смысла все остальное. Следует отметить также директора по персоналу (кадровое администрирование и развитие персонала), корпоративную безопасность (физическая и/или экономическая безопасность), юридическое обеспечение и закупки (формальные и договорные аспекты кибербеза), корпоративный риск-менеджмент и многое другое.
Ключевой момент – установление эффективного взаимодействия между CISO, топ-менеджментом и другими руководителями, обсуждение взаимных ожиданий, выбор понятных способов коммуникации, согласование или даже выбор общих (!) целей и KPI.
Почему не бывает просто
Построение системы менеджмента в любой организации неизбежно сталкивается с рядом серьезных вызовов. Один из ключевых – сопротивление изменениям со стороны персонала. Люди привыкли работать определенным образом, принимать решения по устоявшимся схемам. Внедрение изменений, новых правил и процессов требует выхода из зоны комфорта, вызывает стресс, непонимание и нежелание сотрудников менять сложившийся порядок.
Другой серьезный вызов заключается в недостатке финансовых и человеческих ресурсов для изменений. Часто организации недооценивают объем необходимых ресурсов, как денежных, так и временных, а также усилий работников и считают, что можно перейти из точки "А" в точку "Б" в перерывах между основными задачами или в свободное от работы время. Понятно, что начинания, не обеспеченные ресурсами, непрогнозируемо затягиваются, не достигают целей и подрывают взаимное доверие.
Для преодоления этих вызовов критически важна поддержка высшего руководства – топ-менеджмент должен понимать необходимость изменений и вовремя предоставлять ресурсы. Все понятно, но звучит как лозунг. Поэтому здесь необходимо уточнить – «в оговоренном объеме». Помните, у нас была задача по планированию? Это отправная точка, чтобы сверить взаимные ожидания с топ-менеджментом и подтвердить потребность в ресурсах.
Кроме того, важно понять и принять, что ресурсы требуются не только подразделению кибербезопасности. Сотрудники ИТ-подразделения с трепетом ждут появления новых игрушек кибербеза, которые не только могут неожиданно все поломать, но и внедрить которые без прямого участия ИТ не получится. На макроуровне ответ тот же самый – на этапе планирования это можно и нужно обсуждать и учитывать. Но на операционном уровне возникают противоречия. Составить и отранжировать какой-нибудь перечень в драфте? Предложить безопасное решение той или иной задачи (а не просто прислать отписку с цитатами из приказа ФСТЭК)? Помочь найти причину ИТ-инцидента (вдруг он связан с работой СЗИ)? Помочь обучить персонал? Поработать рассыльщиком служебных записок и корректором приказов? В этот момент мы неожиданно для себя начинаем внимательно вчитываться в положения о подразделениях, апеллировать к концепции уровней защиты в рамках системы внутреннего контроля (вы же помните, что функцию кибербезопасности традиционно относят ко второй линии защиты, почему вдруг мы должны опускаться до уровня первой линии?) и занимать выжидательную позицию, ведь «мяч больше не у нас». И это может стать реальной проблемой – мы не только не уменьшаем сопротивление изменениям, но и начинаем терять время и в результате не достигаем своих целей.
Другой серьезный вызов заключается в недостатке финансовых и человеческих ресурсов для изменений. Часто организации недооценивают объем необходимых ресурсов, как денежных, так и временных, а также усилий работников и считают, что можно перейти из точки "А" в точку "Б" в перерывах между основными задачами или в свободное от работы время. Понятно, что начинания, не обеспеченные ресурсами, непрогнозируемо затягиваются, не достигают целей и подрывают взаимное доверие.
Для преодоления этих вызовов критически важна поддержка высшего руководства – топ-менеджмент должен понимать необходимость изменений и вовремя предоставлять ресурсы. Все понятно, но звучит как лозунг. Поэтому здесь необходимо уточнить – «в оговоренном объеме». Помните, у нас была задача по планированию? Это отправная точка, чтобы сверить взаимные ожидания с топ-менеджментом и подтвердить потребность в ресурсах.
Кроме того, важно понять и принять, что ресурсы требуются не только подразделению кибербезопасности. Сотрудники ИТ-подразделения с трепетом ждут появления новых игрушек кибербеза, которые не только могут неожиданно все поломать, но и внедрить которые без прямого участия ИТ не получится. На макроуровне ответ тот же самый – на этапе планирования это можно и нужно обсуждать и учитывать. Но на операционном уровне возникают противоречия. Составить и отранжировать какой-нибудь перечень в драфте? Предложить безопасное решение той или иной задачи (а не просто прислать отписку с цитатами из приказа ФСТЭК)? Помочь найти причину ИТ-инцидента (вдруг он связан с работой СЗИ)? Помочь обучить персонал? Поработать рассыльщиком служебных записок и корректором приказов? В этот момент мы неожиданно для себя начинаем внимательно вчитываться в положения о подразделениях, апеллировать к концепции уровней защиты в рамках системы внутреннего контроля (вы же помните, что функцию кибербезопасности традиционно относят ко второй линии защиты, почему вдруг мы должны опускаться до уровня первой линии?) и занимать выжидательную позицию, ведь «мяч больше не у нас». И это может стать реальной проблемой – мы не только не уменьшаем сопротивление изменениям, но и начинаем терять время и в результате не достигаем своих целей.
У этого вообще есть конец?
Если в какой-то момент пришло осознание, что светлое будущее наступило, мы справились со всеми угрозами, все сделали и внедрили, наш список желаний пуст, не спешите радоваться, нас ждут плохие новости – компания, похоже, при смерти. Можно сколько угодно рассуждать о неизменности бизнес-модели, но стремление к изменениям (не столь важно, чем именно оно вызвано) – в самой сути бизнеса. Точно также и кибербез необходимо постоянно адаптировать к меняющимся условиям. Конечно, необходимо определить контрольные точки для изменений. Когда организация запускает новые проекты и инициативы, направленные на увеличение прибыли и рост капитализации, неизбежно возникают новые аспекты безопасности. Задача состоит в том, чтобы выстроить процесс принятия решений так, чтобы функция кибербезопасности была органично встроена в него. При этом роль специалистов по ИБ не должна сводиться к формальному выдвижению требований. Напротив, они должны активно участвовать в решении проблем, предлагая готовые типовые ответы и помогая бизнесу развиваться безопасно.
Другая важная составляющая – непрерывный мониторинг внешних факторов: изменений в регуляторной среде, эволюции ландшафта угроз, появления новых средств и методов защиты. Эта деятельность должна осуществляться постоянно, в фоновом режиме. Это требует определенной воли и настойчивости, иначе в погоне за краткосрочными целями компания может пренебречь долгосрочным развитием.
Можно продолжить этот список изменениями организационной структуры, слияниями и поглощениями и т.д., но суть не изменится – кибербезопасность должна оставаться одним из аспектов любых серьезных изменений.
Другая важная составляющая – непрерывный мониторинг внешних факторов: изменений в регуляторной среде, эволюции ландшафта угроз, появления новых средств и методов защиты. Эта деятельность должна осуществляться постоянно, в фоновом режиме. Это требует определенной воли и настойчивости, иначе в погоне за краткосрочными целями компания может пренебречь долгосрочным развитием.
Можно продолжить этот список изменениями организационной структуры, слияниями и поглощениями и т.д., но суть не изменится – кибербезопасность должна оставаться одним из аспектов любых серьезных изменений.
И снова про деньги
Нужно понимать, что оценка эффективности кибербеза неразрывно связана с управлением рисками, так как в большинстве случаев кибербезопасность является для компании не прямым источником дохода, а, скорее, расходной статьей бюджета. Если максимально упростить, на одной чаше весов – величина рисков для бизнеса, на другой – величина затрат на кибербез.
Как только мы начинаем говорить про деньги, обсуждение быстро смещается к концепции и детальной методике расчета ROSI (Return on Security Investment) и переходит от качественных оценок («зеленый – желтый – красный») к количественным (рубли). Действительно, когда CISO пытается объяснить финдиректору, что конкретная сумма денег необходима для того, чтобы перевести киберриск «из красного квадратика в желтый», это не всегда встречает понимание.
В то же время более важно дать бизнесу возможность принять столько риска, сколько ему (бизнесу) нужно (потратить столько денег на кибербез, сколько необходимо для достижения этой планки). И задача кибербеза – предоставить бизнесу информацию на понятном ему языке и механизмы для принятия решений. Понимание взаимосвязей между затратами на кибербезопасность и бизнес-целями компании укрепляет доверие руководства и ведет к выстраиванию долгосрочных и нетоксичных отношений.
Как только мы начинаем говорить про деньги, обсуждение быстро смещается к концепции и детальной методике расчета ROSI (Return on Security Investment) и переходит от качественных оценок («зеленый – желтый – красный») к количественным (рубли). Действительно, когда CISO пытается объяснить финдиректору, что конкретная сумма денег необходима для того, чтобы перевести киберриск «из красного квадратика в желтый», это не всегда встречает понимание.
В то же время более важно дать бизнесу возможность принять столько риска, сколько ему (бизнесу) нужно (потратить столько денег на кибербез, сколько необходимо для достижения этой планки). И задача кибербеза – предоставить бизнесу информацию на понятном ему языке и механизмы для принятия решений. Понимание взаимосвязей между затратами на кибербезопасность и бизнес-целями компании укрепляет доверие руководства и ведет к выстраиванию долгосрочных и нетоксичных отношений.
