А продолжу-ка я тему с чеклистами и визуализацией 🙂 Тем более, что вчерашняя тема зашла очень хорошо — Андрей Прозоров даже флешмоб замутил и несколько человек в Фейсбуке на него уже откликнулись, опубликовав свои чеклисты CISO. Сегодня будет список из 12 причин, описывающих почему бизнес «не видит» ИБ и не ценит ее. Хотя после прочтения отчета anti-malware, в котором написано, что 63% компаний имеют бюджет менее полумиллиона рублей, становится понятно, почему. Это же в пределах погрешности для многих предприятий. За что любить ИБ, которая и не делает ничего (ибо не на что), и не тратит ничего, и не приносит ничего. Кибербезопасность Шредингера, которая вроде бы и есть, а вроде бы и нет 🙁
Ну а чтобы заметка не выглядела совсем уж куце, прокомментирую эти причины.
- Вы считаете, что лучше знаете, что нужно бизнесу. Я поставил этот пункт первым, как и во вчерашнем первым стоял пункт, что вы знаете, что нужно бизнесу. Но вчера это звучало как выполненная после общения с бизнесом задача, а сегодня — как частая ошибка многих безопасников, считающих, что именно они могут диктовать своему работодателю, что ему нужно с точки зрения кибербезопасности.
- Вы прекрасно защищаете свою организацию, но совершенно не умеете “продать” это наверх. Говорите со своей аудиторией на ее языке! Я про это писал и говорил уже много раз — повторяться не буду (хотя одну ссылку приведу). Но планирую в блоге писать больше про это и публиковать больше примеров того, как можно доносить до бизнеса свою задачи и свои достижения.
- Вы не получили вовремя грамотную помощь или ее не было вовсе. Очень мало кто способен самостоятельно разобраться в том, чем живет бизнес, что ему нужно и как работают бизнес-процессы. В ВУЗах этому не учат, MBA безопасники пока массово не посещают (дорого). Отсюда и результат.
- Вы не делегируете. Один в поле не воин. В крупной организации, да и в небольшой тоже, нельзя все делать самому. Нужно уметь делегировать часть задач подчиненным, беря на себя контроль их исполнения. Наймите правильных сотрудников или отдайте задачи на выполнение подрядчикам. Все делать самому — значит не успеть все. Так делает бизнес, этого он ждет и от безопасника.
- У вас нет бизнес-плана/цели/миссии, включая план действий на случай провала. Ну тут вроде все понятно и так 🙂
- Вы ничем не отличаетесь от внутренних конкурентов, которые тоже хотят внимания руководства и бизнеса. Конкуренция сопровождает почти любой бизнес (только РЖД у нас монополист в России :-), как снаружи, так и внутри организации. На что потратить деньги? На кофе, туалетную бумагу, картриджи для принтера или безопасность? Надо уметь бороться с внутренними конкурентами; иначе проиграешь!
- Вы не относитесь к своей работе всерьез. Без комментариев.
- Вы тратите неоправданно мало на безопасность, стараясь сделать все подешевле и попроще. Бизнес умеет считать деньги, но это не значит, что он готов покупать дешевку. Он хочет получить то, что нужно, и с предсказуемым результатом. Нужен миллион? Хорошо. Но обоснуйте. Нужно десять? Обоснуйте. Можете сделать все бесплатно? Обоснуйте (бесплатный сыр только в мышеловке и чтобы бесплатное решение заработало возможно нужен соответствующий недешевый персонал).
- Вы тратите неоправданно много на безопасность. А это обратная сторона медали. Вы приносите бизнесу счет на проект по ПДн стоимостью в полмиллиона рублей. Ну ОК? А что теряет бизнес от невыполнения законодательства? 10 тысяч рублей? Дебет с кредитом не сходится — никакого смысла в такой инвестиции нет. Затраты в 50 раз превышают возможные предотвращаемые потери? Ну-ну…
- В вашей стратегии ИБ нет фокуса — вы пытаетесь защитить все. Защитить все нельзя — нужна концентрация на ключевых задачах и проектах. Нет ее, значит вы не умеете выделять главное, что и сказывается на отношении бизнеса.
- Вы не умеете сотрудничать. Научитесь общаться с бизнес-подразделениями, чтобы получать от них данные для своей работы, чтобы заручиться их поддержкой при защите проектов, чтобы понять их нужды, чтобы помогать им, а не мешать.
- Вы склонны недооценивать, сколько времени и денег потратите, пока ваша служба встанет на ноги. Неумение считать деньги и время — это плохой знак для вас и для бизнеса. Как вам можно поручать задания и выделять бюджеты, если вы не умеете ими распоряжаться?
Если приглядеться внимательно, то эти 12 причин совпадают с вчерашним чеклистом, который направлен на их устранение. Здравый смысл подсказывает, что начать надо было с проблем, чтобы потом наметить пути их решения, но я решил немного нарушить логику и сделал наоборот. И получилось хорошо — мне, по крайней мере, понравилось как повернулась тема, — дискуссия, флешмоб, новые идеи и мысли…
ЗЫ. Тут можно скачать файл в PDF.
К сожалению, план не очень актуальный для тех 63% компаний, службы ИБ которых имеют годовой бюджет менее полумиллиона рублей. Вот как выглядят 63% планов CISO…
План CISO "Кранты-Банка" на 2019 год
— подружиться с ИТ;
— заманить директора по общей безопасности (ИБ в его подчинении) на Уральский форум, чтобы он понахватался там правильных слов для представления интересов ИБ на Правлении банка;
— составить План тренировки паники (план ОНиВД);
— избавиться от Windows XP (на 110 ПК);
— найти того, кому делегировать;
— разобраться с АРМ КБР-Н;
— понять, что делать с биометрией в банке и могут ли за это уволить;
— найти фокус в ИБ, а не пытаться защитить всё на пределе возможностей;
— почитать в Интернете про План/Цель/Миссию ИБ;
— обновить своё резюме.
Win7 через год кончится. Надо её уже сейчас начинать обновлять, а не только хр )
Прекрасный план!
Жизенно… сейчас на последнем пункте…