Как донести до руководства важность ИБ?

Вопрос, вынесенный в заглавие поста, возникает на протяжении многих лет. В последнее время его пытаются освещать на различных мероприятиях по ИБ. В частности на DLP Conference эту тему поднимал я, а неделей позже на DLP Russia — Евгений Климов. Все сходятся на том, что нет общего языка между безопасниками и бизнесом (я про это еще несколько лет назад писал; и тут). И вот решил вновь вернуться к этой теме.

Просматривая на днях центр знаний сайта ISACA, наткнулся в очередной раз на документы из серии Val IT. Эта концепция направлена на то, чтобы показать значение/ценность ИТ для бизнеса. Ее можно применить и к ИБ. И вот в документе «Unlocking Value. An Executive Primer on the Critical Role of IT Governance» нашел 4 вопроса, которые по мнению авторов, интересуют топ-менеджеров и членов совета директоров:

  • Мы делаем правильные вещи?
  • Эти вещи мы делаем правильно?
  • Мы преуспели в достижении этих вещей?
  • Мы получили преимущества от того, что сделали эти правильные вещи?

В принципе, я эти вопросы уже описывал в своих презентациях по GRC несколько лет назад. Но хотелось бы вновь вернуться к этим вопросам и рассмотреть, что конкретно имеют ввиду топ-менеджеры задавая эти вопросы по тем или иным проектам, задачам, инициативам? Поняв это, мы сможем для себя определить, готовы ли мы выносить тему ИБ на уровень бизнеса. А если нет, то что нам нужно сделать, чтобы закрыть непростые вопросы.

Итак, первый, стратегический вопрос касается преимущественно инвестиций и разбивается на несколько более детальных:

  • Мы инвестируем в соответствие с нашим видением?
  • Наши инвестиции соответствуют нашим бизнес-принципам?
  • Наши инвестиции содействуюи нашим стратегическим целям?
  • Наши инвестиции оптимальны? Они находят баланс между размером инвестиций и уровнем принимаемых рисков?
  • Наши информационные активы, сервисы и другие ресурсы ИТ/ИБ фокусируются на реальных потребностях бизнеса и учитывают его приоритеты?
  • Мы знаем/понимаем, сколько мы всего тратим на ИБ?

Второй вопрос касается архитектуры и также может быть детализирован:

  • Мы инвестируем в соответствие с архитектурой предприятия?
  • Наши инвестиции соответствуют нашим архитектурным принципам и стандартам?
  • Мы достигаем синергии между нашими инвестициаями в различные инициативы и программы?
  • Наши сервисы ИБ/ИЬ бизируются на оптимальной инфраструктуре и ресурсах?

Третий вопрос касается реализации:

  • У нас эффективные процессы управления, доставки сервисов и контроля изменений?
  • У нас достаточно технических и бизнес ресурсов для реализации требуемых возможностей? Какие организационные изменения необходимо произвести для эффективного достижения поставленных целей?
  • Предлагаемые сервисы доступны в любое время и из любого места? Они надежны и защищены?

И, наконец, декомпозиция последнего вопроса о ценности приводит нас к следующему:

  • Мы понимаем ценность для нашего предприятия?
  • Мы понимаем реальные преимущества для нашего предприятия от сделанных инвестиций в сервисы, активы и другие ресурсы ИБ?
  • Мы понимаем, какими методами мы можем измерить достижение данных преимуществ?
  • У нас выстроен эффективный процесс реализации преимуществ на всем этапе экономического цикла наших инвестиций с целью получения оптимальных бизнес-результатов?

Разумеется, каждый из этих вопросов может быть детализирован и в итоге мы получаем список вопросов/задач, не такой «абстрактный» и вполне решаемый на практике. Но, разумеется, не так просто и не так быстро реализуемый, как это выглядит после прочтения данной заметки.

    Оцените статью
    Бизнес без опасности
    Есть что добавить? Добавьте!

    Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

    1. biakus

      Самый действенный метод донесения до руководства — ничего не делать, тогда инциденты ИБ сделают свое воспитательное дело, появится мотивация 🙂

      Ответить
    2. Unknown

      "4 вопроса, которые по мнению авторов, интересуют топ-менеджеров и членов совета директоров"… Западные авторы. Западные компании. Западные менеджеры. На просторах РФ не так много компаний с развитой системой управления. Так что увы.

      Ответить
    3. Анонимный

      Согласен с Алексеем В. Нихера их не интересует. Их интересует продажа, количество клиентов. Ни ИБ ни даже ИТ их не интересует. ИТ и ИБ по их мнению это то что должно работать само собой — без денег и вопросов.
      Если не работает — уволим тех кто это возглавляет и возьмем новых. Все.
      Имхо — ИБ в РФ касается .. ну может банков и несколько десятков (один, два максимум)крупных компаний. Для остальных никакого ИБ не существует.

      Ответить
    4. Михаил Юрьевич Емельянников

      Алексей, Ваша вера в разум просто удивительна! Вы можете назвать хотя бы 1 (одного) реального топ-менеджера в России, с которым можно было бы поговорить на указанные Вами темы? Начальнику отдела ИБ?

      Ответить
    5. Unknown

      Михаилу: он просто книжку пересказывает 😉 Толку от нее — не больше, чем от кама-сутры: полистаешь, посмотришь на картинки, подивишься и все равно будешь делать по-старинке, как умеешь или как привык, ибо партнер не поймет :))

      Ответить
    6. Алексей Лукацкий

      Алексей, если уж говорить про Камасутру, то поверь, что не все такие 😉 Кто-то и стариной тряхнет и пойдет вытворять что-нибудь этакое из подсмотренного в Камасутре. Хотя в массе своей может быть ты и прав. На сегодняшний день

      Ответить
    7. Алексей Лукацкий

      Михаил, я не буду скрывать, это редкость (хотя такие примеры и есть). В массе своей основным мотивом ИБ-решений является инцидент. Как сказал, Виталий Задорожный на конференции "Ведомостей": "Основных способов "продать" ИБ топ-менеджменту два — инцидент уровня out-of-business или в руководстве должен сидеть бывший безопасник". Правда, на мой вопрос, а какой из сценариев у них реализован, он ответил — что третий 😉 Т.е. топ-менеджеры ему доверяют, когда он приносит те или иные проекты и он часто использует указанную в посте мотивацию; не в полном объеме конечно, но отдельные ее элементы.

      Поэтому могу резюмировать. Пока в России все эти подходы а-ля "Security Governance" в массе своей не работают, но… под лежачий камень вода не течет. Образовывать отрасль надо. И тема security governance ничем от персданных не отличается. Только в одном случае эта тема горяча и востребовано прямо сейчас, а в другом — спрос на нее отложенный и не такой явный.

      Ответить
    8. Алексей Лукацкий

      И потом… став недавно членом ISACA я сейчас изучаю залежи имеющейся там полезной информации.

      Стоимость членства всего 155 USD, а ценность гораздо выше той же АРСИБ, где стоимость членства почти аналогичная.

      Ответить
    9. Unknown

      Так я и говорю — "на просторах РФ НЕ ТАК МНОГО компаний с развитой системой управления". Но они слава Богу есть, и не только "старинами" там трясут, а пытаются писать второй том индийского трактата с учетом российских реалий 🙂

      А про "третий вариант" я у себя много писал разрозненных заметок. Попытаюсь сделать на будущую межрегиональную конференцию интересный доклад, а потом мож и пару статеек опубликую 😉

      Ответить
    10. Tomas

      Согласен с Вашим более ранним выводом, Алексей, касаемо того, что в большинстве случаев виноват CISO в том, что диалог с бизнесом не строится, так как языки разные. В России каждый админ управляющий Cisco ASA (в лучшем случае) спешит назвать себя CISO. А ведь CISO это и есть тот самый топ менеджер, понимающий вопросы безопасности, и инциденты ИБ для обоснования внедрения мер не потребуются (ИСО 13569 в подтверждение, например). Организация ИБ включает в себя не только ЗИ, ИБ — это комплекс правовых, организационных, технических и физических мер, а у нас все заканчивается железками. Топы не понимают значения железок, для этого и должен быть CISO, а у нас только нач.служб ИБ, оторванные от реалий, так как их захлестнули амбиции (чиатать то нужно целиком иностранные документы). Все говорят об оценке рисков, это же указано в модном 27001, однако сертифицированных в РФ компаний по 27001 единицы, вывод — риски то никто и не считает. Нач. служб ИБ просто заявляют, что необходимо 20-30 млн. руб. на DLP — а что это, зачем и как — что этим бизнесменам объяснять, все равно не поймут. Таким образом бизнес лишен того самого CISO, которому они могут доверять, а нач. служб ИБ воспринимаются как желающие наживаться на откатах.

      Ответить
    11. Алексей Лукацкий

      +1

      Ответить
    12. Unknown

      > риски то никто и не считает

      Риски считают все, даже если они об этом не знают. И если этот процесс носит интуитивный характер, то задача ИБ быть локомотивом и показать, какие выгоды можно приобрести от систематизации этого процесса, в том числе на примере ИБ. А для этого нужно перевести язык жестов и мимики в формализованный вид. Но это, правда, высший пилотаж.

      Ответить
    13. Tomas

      "то задача ИБ быть локомотивом" — да бросьте, каким локомотивом, риски ИБ, конечно, специфичны, но покажите мне хоть одного риск-менеджера в России, занимающегося именно рисками ИБ. Риски ИБ — те же операционные риски. Наиболее отлаженная система оценки рисков в финансовом секторе, на мой взгляд, опять же не надо перетягивать чужую работу на себя, пусть рисками займутся профессионалы. Задача ИБ состоит в правильном предоставлении информации риск-менеджерам, а для CISO — это контроль и координация данного процесса.

      Ответить
    14. Unknown

      Вы, видимо, меня не поняли.

      > Риски ИБ — те же операционные риски.

      Именно в том, чтобы объяснить эту мысль бизнесу, и заключается главная задача CISO. Контроль и координация могут быть только тогда, когда процесс уже выстроен. А когда его нет вообще ни для каких рисков — вот здесь и надо проявлять чудеса смекалки. Но это, повторяю — высший пилотаж.

      Ответить
    15. Tomas

      Если в организации не ведется оценка никаких рисков, значит организация просто еще не дозрела до этого и оценка рисков ИБ будет скорее всего лишь требованием какого-то партнера по наличию сертификата соответствия модному импортному стандарту (тому же 27001). Практической пользы от такой оценки будет мало, и пилотаж даже на низких высотах тут не поможет. Соответствовать стандарту можно ведь и без DLP например, так дешевле, а утечку Пдн и КТ можно прикрыть запретом портов на BIOS, запретом gmail, yandex и прочего, а корпоративную почту можно и почитать если что — это тоже высший пилотаж??? Задача CISO более комплексная — мало найти конкретные решения (это как раз и нач. службы ИБ из отставных осуществит), нужно еще и скрестить со всем остальным, ведь перлюстрация почты незаконна, значит так делать нельзя, значит надо что-то другое, да и gmail co skype уже составляют в ряде организаций основу бизнеса, может тогда все таки DLP. Оценка риска и управление риском разные вещи, оценивать может и не CISO, а риск-менеджер, а вот управлять должен CISO, и сам CISO должен быть с собственным бюджетом, чтобы принимать решения (СТО БР кстати, так и советует). Доверие должно быть к CISO, а у нас никто не готовит CISO, у нас в лучшем случае учат на нач.службы ИБ, чему способствую наши общества профессионалов с большими взносами.

      Ответить
    16. Unknown

      > Если в организации не ведется оценка никаких рисков

      Любым лицом — хоть физическим, хоть юридическим, оценка рисков ведется. Есть разные уровни этого процесса, и зависят они от "зрелости", но не в смысле "лошара" или "продвинутый", а в смысле необходимости.

      Ответить
    17. Tomas

      Алексей В., мы о разном, я об управлении рисками, а Вы об их оценке. CISO, по моему глубокому убеждению, птица более высокого полета чем риск-менеджер, и может оценку делегировать, зато CISO должен принимать непосредственное участие в управлении рисками: решать чем закрыть (а предложить ему должен на выбор нач. службы ИБ, например, либо другие нач. по своим отраслям), заниматься страхованием рисков (Вы же сами говорите, что не дозрели у нас пока), либо принимать решение о принятии риска! В идеале должен быть еще и какой-нибудь совет, но и в нем кто-то должен представлять интересы именного комплексной ИБ, а не точечной ЗИ. Генеральный директор или президент, должны быть вкурсе, но они не обладают нужной компитенцией чтобы все это грамотно разрулить, для этого и нужен СISO.

      Ответить
    18. Unknown

      > мы о разном, я об управлении рисками, а Вы об их оценке.

      Да, конечно, я сузил тему. Именно управление рисками. Когда бабушке нужно перейти дорогу — она как раз рисками управляет: оценивает, выбирает контрмеры, реализует их, принимает остаточный риск, получает результат 😉

      Ответить
    19. Unknown

      > может оценку делегировать, зато CISO должен принимать непосредственное участие в управлении рисками

      Оценка есть элемент управления, причем наиважнейший, и делегировать его во многом означает похерить всю работу ИМХО. Вот совместно с бизнесом их оценивать — это самое то.

      > птица более высокого полета чем риск-менеджер, и

      Пока CISO будет о себе так думать — будет либо пустышкой, либо очень больно будет падать.

      Ответить
    20. Void Z7

      +1 "Наверху" всегда все красиво …

      Ответить