С чем CISO ходят к своему руководству? 8 примеров

Совет директоров Стратегия

Железный занавес опускается, но иногда из-за него прорываются искры и даже лучи лучших практик в области кибербезопасности, которыми я, по мере своих сил, делюсь. На этот раз мне хотелось бы привести 8 примеров содержания отчетов, с которыми руководители ИБ ходят к своему руководству. Делают они это достаточно регулярно и, в зависимости от аудитории, с разной длительностью:

  • Ежеквартально для отдельных управляющих комитетов (по аудиту, по рискам и технологиям, по соответствию). Учитывая специфику комитетов, CISO на них имеет больше возможностей для рассказа о своей деятельности и обычно на это выделяется до 30 минут.
  • Ежегодно для всего состава руководства и совета директоров. В этом случае у CISO есть всего 10 минут на то, чтобы поделиться наболевшим и планами по улучшению ситуации и достижению бизнес-целей.

Обратите внимание, что в обоих случаях, выделено не так уж и много времени на то, чтобы рассказать обо всем, что в ИБ сделано важного и на что нужно обратить внимание топ-менеджмента.

Проводимые мной штабные киберучения всегда показывают, что именно последнее задание «вас вызвали на ковер и у вас есть всего 5 минут, чтобы рассказать о результатах киберучений» вызывает основную проблему. Мало кто может в столь сжатые сроки донести основные мысли 🙁

Обычно, CISO оформляет свое «выступление» в формате презентации или мини-отчета на 3-5 страниц основного контента с более детальным приложением на 20-30 страниц. Наполнение презентации зависит от целевой аудитории и может разниться от комитета к комитету. Кто-то начинает с рассказа о внешних факторах, кто-то о произошедших важных инцидентах, кто-то о статусе стратегии ИБ компании. Итак, 8 примеров содержания презентаций/отчетов CISO для высшего руководства.

Пример 1. Как у нас все плохо!

  • Ландшафт угроз
  • Статус в области ИБ
  • Покрываемые риски и теневые ИТ
  • Инциденты & причины
  • Остаточные риски и ключевые индикаторы рисков
  • Культура ИБ и формирование доверия
  • Стратегия ИБ

Пример 2. Мы умеем измерять все!

  • Ежеквартально
    • Метрики
    • Реестр рисков
    • Уровень зрелости ИБ
  • Инициативы по Security Governance
  • Стратегия ИБ (раз в год)
  • Рекрутинг и персонал (раз в год)
  • Специальные темы (дважды в год)
    • Ландшафт угроз / профиль рисков
    • Результаты пентестов
    • Состояние операционной ИБ (SecOps)

Я не знаю как нормально перевести Security Governance 🙁 Корпоративное управление ИБ?..

Пример 3. Покажите мне ваши цифры!

  • Статистика ИБ
  • Оценка уровня зрелости программы ИБ
  • Внешнее и внутреннее тестирования защитных мер
  • Ключевые риски
  • Ландшафт угроз
  • Время обнаружения и реагирования на события ИБ
  • Инициативы по ИБ
  • Тенденции в области уязвимостей и «средняя температура по больнице» в отрасли с точки зрения уровня рисков

Пример 4. Как мы смотримся в глазах других?

  • Ландшафт угроз и регуляторики
  • Результаты независимой оценки защищенности
  • Стратегия и программа ИБ
  • Реестр рисков и управление рисками
  • Инциденты ИБ
  • Ключевые метрики ИБ

Пример 5. Доверяют ли нам клиенты?

  • Результаты предыдущих программ по ИБ и приоритеты в новых программах ИБ
  • SDLC & Оценка защищенности & Нейтрализация рисков
  • Работа с клиентами (ответы на их вопросы об ИБ, приватности, доверии)
  • Результаты управления инцидентами

Пример 6. Сфокусируйтесь на ключевых вещах

  • Резюме: цели и требуемые шаги/активности по ИБ
  • Оценка общего профиля риска
  • Надзор за ИБ: аудиторы, регуляторы, клиенты
  • Ключевые факты и инициативы, сфокусированные на рисках
    • Текущий статус
    • Эффективность и зрелость защитных мер
    • Производительность и зрелость команды ИБ
  • Обзор ключевых событий ИБ
  • Прогноз на растущие тенденции и угрозы

Пример 7. Обновите ваш статус!

  • Резюме
  • Обзор основных проблем ИБ
  • Метрики для топ-менеджмента
  • Обновление статуса по основным инициативам
  • Обновление статуса по дорожной карте (раз в год)
  • Обзор фокусной темы
  • Приглашенный внешний докладчик (раз или два в год)
  • Штабные киберучения

Пример 8. Покажите мне прогресс!

  • Где мы находимся относительно многолетней дорожной карты (ежеквартально)
  • Ключевые метрики в отношении клиентов и регуляторов (ежеквартально)
  • Изменения в ключевых сотрудниках (если необходимо)
  • Важные инциденты
  • Прогресс относительно ключевых годовых инициатив (ежеквартально)
  • Предварительный обзор годовых инициатив следующего года (раз в год)
  • Оценка глобальных / внешних событий ИБ применительно к компании (если необходимо)
  • Стратегические инициативы

Обратите внимание, что общего в этих 8 отчетах немного, что лишний раз доказывает, что чем выше мы поднимаемся, тем меньше у нас стандартизации и больше уникальности в контенте, который интересен топ-менеджменту. Это как с драйверами продаж ИБ. Их всего три — страх, соответствие и бизнес. Первый — универсальный для всего мира, так как шифровальщики, DDoS, фишинг и т.п. одинаковы, что в России, что в Китае, что в США, что в Австралии. Compliance — тема уже и сфокусирована на конкретной стране (например, ФЗ-152 или ФЗ-187) или отрасли (например, ГОСТ 57580.3 или 17-й приказ ФСТЭК). А бизнес-обоснование ИБ — это уже история, которая, сработав в одной компании, может не сработать в другой, и наоборот. Поэтому сложно копировать успех одного CISO другому. И даже один и тот же CISO в разных компаниях может применять разные подходы к донесению своих инициатив до совета директоров или генерального директора, так как у них могут быть совсем разные цели и стратегические задачи.

С другой стороны, такое разнообразие отчетов позволяет экспериментировать и выбирать из них то, что лучше всего подходит именно в вашей организации. Тем более, что я немного слукавил в предыдущем абзаце. Есть у всех этих отчетов и нечто общее — это обзор инициатив/программ ИБ, которые должны соотноситься с целями бизнеса. Это первично. Внешние воздействующие факторы (угрозы, регуляторика, аудиторы и т.п.) интересны только тогда, когда они значимо влияют на цели бизнеса (кто сказал недопустимые события?). Внутренние инциденты интересны только если они повлекли за собой значимые последствия. MTTR/MTTD/MTTC и другие метрики никому из руководства не интересны, если только кто-то не спросит о них.

Ну а в следующих заметках я продолжу рассказ о том, с чем зарубежные CISO ходят к руководству, но уже с примерами соответствующих визуализаций. Например, вот такой:

Пример отчета CISO: статус защитных мер в странах присутствия компании
Пример отчета CISO: статус защитных мер в странах присутствия компании

Дополнительная информация (другие статьи серии)

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).