Просматривая на днях центр знаний сайта ISACA, наткнулся в очередной раз на документы из серии Val IT. Эта концепция направлена на то, чтобы показать значение/ценность ИТ для бизнеса. Ее можно применить и к ИБ. И вот в документе «Unlocking Value. An Executive Primer on the Critical Role of IT Governance» нашел 4 вопроса, которые по мнению авторов, интересуют топ-менеджеров и членов совета директоров:
- Мы делаем правильные вещи?
- Эти вещи мы делаем правильно?
- Мы преуспели в достижении этих вещей?
- Мы получили преимущества от того, что сделали эти правильные вещи?
В принципе, я эти вопросы уже описывал в своих презентациях по GRC несколько лет назад. Но хотелось бы вновь вернуться к этим вопросам и рассмотреть, что конкретно имеют ввиду топ-менеджеры задавая эти вопросы по тем или иным проектам, задачам, инициативам? Поняв это, мы сможем для себя определить, готовы ли мы выносить тему ИБ на уровень бизнеса. А если нет, то что нам нужно сделать, чтобы закрыть непростые вопросы.
Итак, первый, стратегический вопрос касается преимущественно инвестиций и разбивается на несколько более детальных:
- Мы инвестируем в соответствие с нашим видением?
- Наши инвестиции соответствуют нашим бизнес-принципам?
- Наши инвестиции содействуюи нашим стратегическим целям?
- Наши инвестиции оптимальны? Они находят баланс между размером инвестиций и уровнем принимаемых рисков?
- Наши информационные активы, сервисы и другие ресурсы ИТ/ИБ фокусируются на реальных потребностях бизнеса и учитывают его приоритеты?
- Мы знаем/понимаем, сколько мы всего тратим на ИБ?
Второй вопрос касается архитектуры и также может быть детализирован:
- Мы инвестируем в соответствие с архитектурой предприятия?
- Наши инвестиции соответствуют нашим архитектурным принципам и стандартам?
- Мы достигаем синергии между нашими инвестициаями в различные инициативы и программы?
- Наши сервисы ИБ/ИЬ бизируются на оптимальной инфраструктуре и ресурсах?
Третий вопрос касается реализации:
- У нас эффективные процессы управления, доставки сервисов и контроля изменений?
- У нас достаточно технических и бизнес ресурсов для реализации требуемых возможностей? Какие организационные изменения необходимо произвести для эффективного достижения поставленных целей?
- Предлагаемые сервисы доступны в любое время и из любого места? Они надежны и защищены?
И, наконец, декомпозиция последнего вопроса о ценности приводит нас к следующему:
- Мы понимаем ценность для нашего предприятия?
- Мы понимаем реальные преимущества для нашего предприятия от сделанных инвестиций в сервисы, активы и другие ресурсы ИБ?
- Мы понимаем, какими методами мы можем измерить достижение данных преимуществ?
- У нас выстроен эффективный процесс реализации преимуществ на всем этапе экономического цикла наших инвестиций с целью получения оптимальных бизнес-результатов?
Разумеется, каждый из этих вопросов может быть детализирован и в итоге мы получаем список вопросов/задач, не такой «абстрактный» и вполне решаемый на практике. Но, разумеется, не так просто и не так быстро реализуемый, как это выглядит после прочтения данной заметки.
Самый действенный метод донесения до руководства — ничего не делать, тогда инциденты ИБ сделают свое воспитательное дело, появится мотивация 🙂
"4 вопроса, которые по мнению авторов, интересуют топ-менеджеров и членов совета директоров"… Западные авторы. Западные компании. Западные менеджеры. На просторах РФ не так много компаний с развитой системой управления. Так что увы.
Согласен с Алексеем В. Нихера их не интересует. Их интересует продажа, количество клиентов. Ни ИБ ни даже ИТ их не интересует. ИТ и ИБ по их мнению это то что должно работать само собой — без денег и вопросов.
Если не работает — уволим тех кто это возглавляет и возьмем новых. Все.
Имхо — ИБ в РФ касается .. ну может банков и несколько десятков (один, два максимум)крупных компаний. Для остальных никакого ИБ не существует.
Алексей, Ваша вера в разум просто удивительна! Вы можете назвать хотя бы 1 (одного) реального топ-менеджера в России, с которым можно было бы поговорить на указанные Вами темы? Начальнику отдела ИБ?
Михаилу: он просто книжку пересказывает 😉 Толку от нее — не больше, чем от кама-сутры: полистаешь, посмотришь на картинки, подивишься и все равно будешь делать по-старинке, как умеешь или как привык, ибо партнер не поймет :))
Алексей, если уж говорить про Камасутру, то поверь, что не все такие 😉 Кто-то и стариной тряхнет и пойдет вытворять что-нибудь этакое из подсмотренного в Камасутре. Хотя в массе своей может быть ты и прав. На сегодняшний день
Михаил, я не буду скрывать, это редкость (хотя такие примеры и есть). В массе своей основным мотивом ИБ-решений является инцидент. Как сказал, Виталий Задорожный на конференции "Ведомостей": "Основных способов "продать" ИБ топ-менеджменту два — инцидент уровня out-of-business или в руководстве должен сидеть бывший безопасник". Правда, на мой вопрос, а какой из сценариев у них реализован, он ответил — что третий 😉 Т.е. топ-менеджеры ему доверяют, когда он приносит те или иные проекты и он часто использует указанную в посте мотивацию; не в полном объеме конечно, но отдельные ее элементы.
Поэтому могу резюмировать. Пока в России все эти подходы а-ля "Security Governance" в массе своей не работают, но… под лежачий камень вода не течет. Образовывать отрасль надо. И тема security governance ничем от персданных не отличается. Только в одном случае эта тема горяча и востребовано прямо сейчас, а в другом — спрос на нее отложенный и не такой явный.
И потом… став недавно членом ISACA я сейчас изучаю залежи имеющейся там полезной информации.
Стоимость членства всего 155 USD, а ценность гораздо выше той же АРСИБ, где стоимость членства почти аналогичная.
Так я и говорю — "на просторах РФ НЕ ТАК МНОГО компаний с развитой системой управления". Но они слава Богу есть, и не только "старинами" там трясут, а пытаются писать второй том индийского трактата с учетом российских реалий 🙂
А про "третий вариант" я у себя много писал разрозненных заметок. Попытаюсь сделать на будущую межрегиональную конференцию интересный доклад, а потом мож и пару статеек опубликую 😉
Согласен с Вашим более ранним выводом, Алексей, касаемо того, что в большинстве случаев виноват CISO в том, что диалог с бизнесом не строится, так как языки разные. В России каждый админ управляющий Cisco ASA (в лучшем случае) спешит назвать себя CISO. А ведь CISO это и есть тот самый топ менеджер, понимающий вопросы безопасности, и инциденты ИБ для обоснования внедрения мер не потребуются (ИСО 13569 в подтверждение, например). Организация ИБ включает в себя не только ЗИ, ИБ — это комплекс правовых, организационных, технических и физических мер, а у нас все заканчивается железками. Топы не понимают значения железок, для этого и должен быть CISO, а у нас только нач.служб ИБ, оторванные от реалий, так как их захлестнули амбиции (чиатать то нужно целиком иностранные документы). Все говорят об оценке рисков, это же указано в модном 27001, однако сертифицированных в РФ компаний по 27001 единицы, вывод — риски то никто и не считает. Нач. служб ИБ просто заявляют, что необходимо 20-30 млн. руб. на DLP — а что это, зачем и как — что этим бизнесменам объяснять, все равно не поймут. Таким образом бизнес лишен того самого CISO, которому они могут доверять, а нач. служб ИБ воспринимаются как желающие наживаться на откатах.
+1
> риски то никто и не считает
Риски считают все, даже если они об этом не знают. И если этот процесс носит интуитивный характер, то задача ИБ быть локомотивом и показать, какие выгоды можно приобрести от систематизации этого процесса, в том числе на примере ИБ. А для этого нужно перевести язык жестов и мимики в формализованный вид. Но это, правда, высший пилотаж.
"то задача ИБ быть локомотивом" — да бросьте, каким локомотивом, риски ИБ, конечно, специфичны, но покажите мне хоть одного риск-менеджера в России, занимающегося именно рисками ИБ. Риски ИБ — те же операционные риски. Наиболее отлаженная система оценки рисков в финансовом секторе, на мой взгляд, опять же не надо перетягивать чужую работу на себя, пусть рисками займутся профессионалы. Задача ИБ состоит в правильном предоставлении информации риск-менеджерам, а для CISO — это контроль и координация данного процесса.
Вы, видимо, меня не поняли.
> Риски ИБ — те же операционные риски.
Именно в том, чтобы объяснить эту мысль бизнесу, и заключается главная задача CISO. Контроль и координация могут быть только тогда, когда процесс уже выстроен. А когда его нет вообще ни для каких рисков — вот здесь и надо проявлять чудеса смекалки. Но это, повторяю — высший пилотаж.
Если в организации не ведется оценка никаких рисков, значит организация просто еще не дозрела до этого и оценка рисков ИБ будет скорее всего лишь требованием какого-то партнера по наличию сертификата соответствия модному импортному стандарту (тому же 27001). Практической пользы от такой оценки будет мало, и пилотаж даже на низких высотах тут не поможет. Соответствовать стандарту можно ведь и без DLP например, так дешевле, а утечку Пдн и КТ можно прикрыть запретом портов на BIOS, запретом gmail, yandex и прочего, а корпоративную почту можно и почитать если что — это тоже высший пилотаж??? Задача CISO более комплексная — мало найти конкретные решения (это как раз и нач. службы ИБ из отставных осуществит), нужно еще и скрестить со всем остальным, ведь перлюстрация почты незаконна, значит так делать нельзя, значит надо что-то другое, да и gmail co skype уже составляют в ряде организаций основу бизнеса, может тогда все таки DLP. Оценка риска и управление риском разные вещи, оценивать может и не CISO, а риск-менеджер, а вот управлять должен CISO, и сам CISO должен быть с собственным бюджетом, чтобы принимать решения (СТО БР кстати, так и советует). Доверие должно быть к CISO, а у нас никто не готовит CISO, у нас в лучшем случае учат на нач.службы ИБ, чему способствую наши общества профессионалов с большими взносами.
> Если в организации не ведется оценка никаких рисков
Любым лицом — хоть физическим, хоть юридическим, оценка рисков ведется. Есть разные уровни этого процесса, и зависят они от "зрелости", но не в смысле "лошара" или "продвинутый", а в смысле необходимости.
Алексей В., мы о разном, я об управлении рисками, а Вы об их оценке. CISO, по моему глубокому убеждению, птица более высокого полета чем риск-менеджер, и может оценку делегировать, зато CISO должен принимать непосредственное участие в управлении рисками: решать чем закрыть (а предложить ему должен на выбор нач. службы ИБ, например, либо другие нач. по своим отраслям), заниматься страхованием рисков (Вы же сами говорите, что не дозрели у нас пока), либо принимать решение о принятии риска! В идеале должен быть еще и какой-нибудь совет, но и в нем кто-то должен представлять интересы именного комплексной ИБ, а не точечной ЗИ. Генеральный директор или президент, должны быть вкурсе, но они не обладают нужной компитенцией чтобы все это грамотно разрулить, для этого и нужен СISO.
> мы о разном, я об управлении рисками, а Вы об их оценке.
Да, конечно, я сузил тему. Именно управление рисками. Когда бабушке нужно перейти дорогу — она как раз рисками управляет: оценивает, выбирает контрмеры, реализует их, принимает остаточный риск, получает результат 😉
> может оценку делегировать, зато CISO должен принимать непосредственное участие в управлении рисками
Оценка есть элемент управления, причем наиважнейший, и делегировать его во многом означает похерить всю работу ИМХО. Вот совместно с бизнесом их оценивать — это самое то.
> птица более высокого полета чем риск-менеджер, и
Пока CISO будет о себе так думать — будет либо пустышкой, либо очень больно будет падать.
+1 "Наверху" всегда все красиво …