Главная » Стратегия

С чем CISO ходят к своему руководству? 8 примеров

Совет директоров Стратегия
На чтение 6 мин Просмотров 3.1к. Опубликовано

Железный занавес опускается, но иногда из-за него прорываются искры и даже лучи лучших практик в области кибербезопасности, которыми я, по мере своих сил, делюсь. На этот раз мне хотелось бы привести 8 примеров содержания отчетов, с которыми руководители ИБ ходят к своему руководству. Делают они это достаточно регулярно и, в зависимости от аудитории, с разной длительностью:

  • Ежеквартально для отдельных управляющих комитетов (по аудиту, по рискам и технологиям, по соответствию). Учитывая специфику комитетов, CISO на них имеет больше возможностей для рассказа о своей деятельности и обычно на это выделяется до 30 минут.
  • Ежегодно для всего состава руководства и совета директоров. В этом случае у CISO есть всего 10 минут на то, чтобы поделиться наболевшим и планами по улучшению ситуации и достижению бизнес-целей.

Обратите внимание, что в обоих случаях, выделено не так уж и много времени на то, чтобы рассказать обо всем, что в ИБ сделано важного и на что нужно обратить внимание топ-менеджмента.

Проводимые мной штабные киберучения всегда показывают, что именно последнее задание «вас вызвали на ковер и у вас есть всего 5 минут, чтобы рассказать о результатах киберучений» вызывает основную проблему. Мало кто может в столь сжатые сроки донести основные мысли 🙁

Обычно, CISO оформляет свое «выступление» в формате презентации или мини-отчета на 3-5 страниц основного контента с более детальным приложением на 20-30 страниц. Наполнение презентации зависит от целевой аудитории и может разниться от комитета к комитету. Кто-то начинает с рассказа о внешних факторах, кто-то о произошедших важных инцидентах, кто-то о статусе стратегии ИБ компании. Итак, 8 примеров содержания презентаций/отчетов CISO для высшего руководства.

Содержание
  1. Пример 1. Как у нас все плохо!
  2. Пример 2. Мы умеем измерять все!
  3. Пример 3. Покажите мне ваши цифры!
  4. Пример 4. Как мы смотримся в глазах других?
  5. Пример 5. Доверяют ли нам клиенты?
  6. Пример 6. Сфокусируйтесь на ключевых вещах
  7. Пример 7. Обновите ваш статус!
  8. Пример 8. Покажите мне прогресс!
  9. Дополнительная информация (другие статьи серии)

Пример 1. Как у нас все плохо!

  • Ландшафт угроз
  • Статус в области ИБ
  • Покрываемые риски и теневые ИТ
  • Инциденты & причины
  • Остаточные риски и ключевые индикаторы рисков
  • Культура ИБ и формирование доверия
  • Стратегия ИБ

Пример 2. Мы умеем измерять все!

  • Ежеквартально
    • Метрики
    • Реестр рисков
    • Уровень зрелости ИБ
  • Инициативы по Security Governance
  • Стратегия ИБ (раз в год)
  • Рекрутинг и персонал (раз в год)
  • Специальные темы (дважды в год)
    • Ландшафт угроз / профиль рисков
    • Результаты пентестов
    • Состояние операционной ИБ (SecOps)

Я не знаю как нормально перевести Security Governance 🙁 Корпоративное управление ИБ?..

Пример 3. Покажите мне ваши цифры!

  • Статистика ИБ
  • Оценка уровня зрелости программы ИБ
  • Внешнее и внутреннее тестирования защитных мер
  • Ключевые риски
  • Ландшафт угроз
  • Время обнаружения и реагирования на события ИБ
  • Инициативы по ИБ
  • Тенденции в области уязвимостей и «средняя температура по больнице» в отрасли с точки зрения уровня рисков

Пример 4. Как мы смотримся в глазах других?

  • Ландшафт угроз и регуляторики
  • Результаты независимой оценки защищенности
  • Стратегия и программа ИБ
  • Реестр рисков и управление рисками
  • Инциденты ИБ
  • Ключевые метрики ИБ

Пример 5. Доверяют ли нам клиенты?

  • Результаты предыдущих программ по ИБ и приоритеты в новых программах ИБ
  • SDLC & Оценка защищенности & Нейтрализация рисков
  • Работа с клиентами (ответы на их вопросы об ИБ, приватности, доверии)
  • Результаты управления инцидентами

Пример 6. Сфокусируйтесь на ключевых вещах

  • Резюме: цели и требуемые шаги/активности по ИБ
  • Оценка общего профиля риска
  • Надзор за ИБ: аудиторы, регуляторы, клиенты
  • Ключевые факты и инициативы, сфокусированные на рисках
    • Текущий статус
    • Эффективность и зрелость защитных мер
    • Производительность и зрелость команды ИБ
  • Обзор ключевых событий ИБ
  • Прогноз на растущие тенденции и угрозы

Пример 7. Обновите ваш статус!

  • Резюме
  • Обзор основных проблем ИБ
  • Метрики для топ-менеджмента
  • Обновление статуса по основным инициативам
  • Обновление статуса по дорожной карте (раз в год)
  • Обзор фокусной темы
  • Приглашенный внешний докладчик (раз или два в год)
  • Штабные киберучения

Пример 8. Покажите мне прогресс!

  • Где мы находимся относительно многолетней дорожной карты (ежеквартально)
  • Ключевые метрики в отношении клиентов и регуляторов (ежеквартально)
  • Изменения в ключевых сотрудниках (если необходимо)
  • Важные инциденты
  • Прогресс относительно ключевых годовых инициатив (ежеквартально)
  • Предварительный обзор годовых инициатив следующего года (раз в год)
  • Оценка глобальных / внешних событий ИБ применительно к компании (если необходимо)
  • Стратегические инициативы

Обратите внимание, что общего в этих 8 отчетах немного, что лишний раз доказывает, что чем выше мы поднимаемся, тем меньше у нас стандартизации и больше уникальности в контенте, который интересен топ-менеджменту. Это как с драйверами продаж ИБ. Их всего три — страх, соответствие и бизнес. Первый — универсальный для всего мира, так как шифровальщики, DDoS, фишинг и т.п. одинаковы, что в России, что в Китае, что в США, что в Австралии. Compliance — тема уже и сфокусирована на конкретной стране (например, ФЗ-152 или ФЗ-187) или отрасли (например, ГОСТ 57580.3 или 17-й приказ ФСТЭК). А бизнес-обоснование ИБ — это уже история, которая, сработав в одной компании, может не сработать в другой, и наоборот. Поэтому сложно копировать успех одного CISO другому. И даже один и тот же CISO в разных компаниях может применять разные подходы к донесению своих инициатив до совета директоров или генерального директора, так как у них могут быть совсем разные цели и стратегические задачи.

С другой стороны, такое разнообразие отчетов позволяет экспериментировать и выбирать из них то, что лучше всего подходит именно в вашей организации. Тем более, что я немного слукавил в предыдущем абзаце. Есть у всех этих отчетов и нечто общее — это обзор инициатив/программ ИБ, которые должны соотноситься с целями бизнеса. Это первично. Внешние воздействующие факторы (угрозы, регуляторика, аудиторы и т.п.) интересны только тогда, когда они значимо влияют на цели бизнеса (кто сказал недопустимые события?). Внутренние инциденты интересны только если они повлекли за собой значимые последствия. MTTR/MTTD/MTTC и другие метрики никому из руководства не интересны, если только кто-то не спросит о них.

Ну а в следующих заметках я продолжу рассказ о том, с чем зарубежные CISO ходят к руководству, но уже с примерами соответствующих визуализаций. Например, вот такой:

Пример отчета CISO: статус защитных мер в странах присутствия компании
Пример отчета CISO: статус защитных мер в странах присутствия компании

Дополнительная информация (другие статьи серии)

CISO
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

Этот сайт использует cookies для улучшения взаимодействия с пользователями. Но так как Роскомнадзор считает cookie персональными данными, то продолжая находиться на этот сайте, вы даете свое согласие и на работу с cookie, и на обработку персональных данных.