CISO
5 лет назад я написал заметку про шкалу значимости CISO, в которой попробовал посмотреть на руководителя ИБ глазами аудитории, которая смотрит на него и его активность внутри компании. А как на CISO смотрят топ-менеджеры? Как оценивают их зрелость? Мне тут в руки (и не спрашивайте, откуда) попала модель CALM (The CISO Assessment Level Model), которая […
В прошлой заметке я писал про то, что на Западе очень активно стала продвигаться тема со страхованием ответственности за действия CISO в двух формах: Страхование ответственности директоров и должностных лиц (Directors & Officers Liability, D&O). Этот вид страхования защищает директоров и должностных лиц компании от личной ответственности за
За последнее время в американской ИБ проявилась и активно муссируется тема, которая пока непривычно звучит для российских CISO, — риск сесть в тюрьму! Список уголовных преследований уже не ограничивается только CISO Uber и SolarWinds, о которых все слышали. Я напомню список топ-менеджеров, пострадавших за инциденты ИБ или иные связанные нарушения
Почти все умные стандарты по кибербезопасности говорят о том, что для успеха ИБ нужна поддержка топ-менеджмента. Но никто не говорит, как эту поддержку получить. А в других умных книжках говорится, что с бизнесом надо говорить на его языке. Но опять же мало где учат этому языку. Можно пойти, конечно, на курсы MBA или EMBA, но […]
7 лет я не обращался к этой теме, что является достаточно большим сроком, чтобы вновь поднять ее на флаг и посмотреть с высоты накопленного опыта. На тот момент одним из самых популярных подходов в выделении денег на ИБ было использование % от ИТ-бюджета и ключевой вопрос был в том, каков должен быть этот процент. До […]
В пятницу прошел , на котором мне довелось модерировать пленарную секцию с восемью достойными CISO, представляющими различные компании и сектора российской экономики. У нас был всего 1 час на дискуссию и мне, как это часто бывает, не удалось расспросить коллег обо всем, о чем я хотел. Но на многие вопросы коллеги все-таки ответили и я […]
На этой неделе, а именно завтра, пройдет и вспомнил я тут недавно одну дискуссию о том, кто такой CISO и сколько вообще CISO может быть в организации. Последний вопрос, вроде бы имеет один и очевидный ответ, но это поверхностная точка зрения. Дело в том, что мы привыкли к работе в небольших компаниях, в которых действительно […]
Ну что, завершаем серию заметок про то, как иностранные CISO ходят к топ-менеджменту, защищая себя, свои проекты, своих подчиненных, свои инициативы. На этот раз поговорим на мою любимую тему — о метриках, которые позволяют демонстрировать определенные достижения в области кибербезопасности. CISO из описываемых мной примеров в части применения
С инициативами ИБ у CISO, общающегося с топ-менеджментом, обычно вопросов не возникает. Об этом приятно говорить, так как они носят позитивный характер, позволяют показать движение вперед, а не латание дыр, помогают получить ресурсы и т.п. Но и требуют выполнения обещаний в указанные сроки с заданным качеством и в рамках установленного бюджета. Хотя мы понимаем, что […
История с донесением до топов темы с инцидентами всегда не очень простая. В отличие от демонстрации уровня зрелости, инициатив ИБ, метрик и т.п., много и подробно разговаривать о том, что стало результатом упущения CISO. Поэтому и презентация этой темы обычно не очень детальная. Однако даже в этом примере видно, что информация об имевших место инцидентах […