Директор по информационной безопасности (CISO – Chief Information Security Officer) — это человек, который отвечает за развитие информационной безопасности в организации, определяет стратегию развития ИБ и выстраивает процессы защиты в соответствии с теми рисками, которые актуальны для организации, в зависимости ее деятельности и бизнес-процессов.
Хочу подчеркнуть, что CISO — не просто руководитель, который говорит, что организации надо купить межсетевой экран и куда-то его поставить. Роль данного человека в том, чтобы быть связующим звеном между регулятором, требованиями ИБ, рисками, которые существуют для организации, и бизнесом. CISO должен донести руководству организации на языке бизнеса о существовании определенных рисков, которые, к примеру, могут привести к потери данных клиентов, что повлечет за собой репутационные и финансовые потери, и дать решение, которое поможет этого избежать путем реализации и перестраивания процессов ИБ.
CISO, приходя на новое место работы в новую компанию, как и любой другой работник, должен пройти адаптацию на новом рабочем месте. Поговорим о том, с чего должен начинать свою работу CISO.
Нет ложных ожиданий – нет реальных разочарований
CISO также проходит собеседование, но бывает так, что что-то пошло не по плану и на какие-то вопросы не были получены ответы. Важно еще раз проговорить, какие ожидания у бизнеса от вас, как CISO, и какие ваши ожидания от работы в этой компании, какой степенью свободы в принятии решений вы обладаете. Не нужно думать, что все всё знают. Порой иногда очевидные вещи надо проговаривать. Поэтому необходимо скорректировать ожидания друг друга.
Оценить выделяемый бюджет на информационную безопасность
Вы должны понимать, какой бюджет (включая фонд оплаты труда) вам выделяют на средства защиты информации, привлечение подрядчиков по ИБ, сколько новых людей при необходимости вы можете набрать. Если бюджета не хватает или вы понимаете на перспективу, что его может не хватить, обсудите заблаговременно, какими ресурсами обладает организация, на сколько потенциально вам могут повысить бюджет, готово ли вообще на это руководство компании или вы можете рассчитывать на повышение бюджета и кадровой номенклатуры только на следующий год. Это напрямую будет влиять на вашу работу.
Пообщайтесь со своей командой и другими отделами
Команда – это основной наш ресурс. Задача CISO как руководителя – пообщаться не только с руководителями направлений, а также с другими своими работниками. Соберите максимальную обратную связь. Выясните у своих коллег, с какими принятыми решениями предыдущего руководителя они были не согласны, какие проблемы они видят и как их можно устранить, какие процессы можно переделать, узнать об их идеях, которые не были реализованы, а также выясните, что вашим работниками интересно, может, кто-то хотел бы заняться другим направлением. Сделайте необходимые кадровые перестановки. Нет ничего хуже человека, который потерял интерес, не реализовал свои идеи, потенциал.
Важную роль в вашей работе играет ИТ-отдел и другие отделы компании. ИТ-отдел управляет инфраструктурными ресурсами компании. Ваш отдел этот ресурс защищает. Если в вашей компании есть отдел разработки, то, вероятнее всего, у вас внедрены процессы безопасной разработки или вы их будете внедрять. Подружитесь с руководителем отдела, пообщайтесь с разработчиками, иначе потом недопонимание между вами приведет к саботированию работы друг друга, плохими, как правило, являются «ИБшники».
Пример: ваш отдел не выпускает в релиз очередную версию программного обеспечения. Разработчики жалуются руководству компании о том, какие вы плохие, мешаете бизнесу заработать деньги путем выпуска новой версии ПО. Плохими будете вы, поэтому позаботьтесь сразу о том, как вы будете выстраивать работу между вашими отделами.
И не стоит забывать об HR-отделе. Это наши друзья. HR-отдел поможет вам в организации процесса повышения осведомленности работников по вопросам информационной безопасности, распространения памяток по ИБ.
Соберите информацию
Как только CISO пришел в компанию, он пока как «крот». Ему необходимо собрать всю информацию, необходимую для своей работы. К примеру, вы выровняли ожидания с руководством компании, знаете бюджет, пообщались с командой и другими отделами. Теперь ваша задача – вникнуть в бизнес-процессы вашей компании, выстроенные процессы информационной безопасности. Да, вы уже пообщались с командой и сформировали первое представление, но ваша дальнейшая задача – начать всем этим управлять. Вам необходимо понять:
- Как информационная безопасность участвует в бизнес-процессах компании и как на них влияет?
- Есть ли избыточность в применяемых мерах информационной безопасности?
- Есть ли проблемы в доступах, которые выданы работникам? Возможно, процесс ушел из-под контроля, и какие-то работники имеют доступ туда, куда им не нужно или они с этим не работают.
- Какие инциденты информационной безопасности произошли за последние год-два? Какие меры были приняты? И т.д.
Минимизация риска
Вы как руководитель собрали всю необходимую информацию и выявили ключевые проблемы информационной безопасности, которые необходимо устранить. Все они разного масштаба, но для правильной стратегии применяйте риск-ориентированный подход. Двигаться от закрытия наиболее высокого риска к минимальному. Вы провели анализ защищенности инфраструктуры и выявили наиболее критичные точки и уязвимости, с помощью которых злоумышленник получает доступ к вашей инфраструктуре. Закрываем. Обратите внимание на compliance. Соответствуете ли требованиям законодательства? Провели ли все необходимые оценки соответствия, которые требуются в обязательном порядке? Какие требования не выполняются? Может ли ваша организация, к примеру, при проверке РКН получить штраф за нарушение обработки и защиты персональных данных?
Безопасность – это исключение недопустимого риска, связанного с возможностью нанесения неприемлемого ущерба для определенного или определяемого объекта от конкретных угроз в конкретных внутренних и внешних условиях. Оцените все возможные риски, приоритезируйте и займитесь их устранением.
Существует мнение, что информационная безопасность только вредит бизнесу или мешает ему. Но при правильном подходе безопасность – это друг бизнеса, цель которого – помочь и избавить бизнес от штрафов, утечки информации, репутационного ущерба, а также в определенных ситуациях помогает бизнесу экономить деньги или их зарабатывать.
Простой поверхностный пример. У вас есть риск проникновения в информационную инфраструктуру и нет актуального комплекта документации по персональным данным. Явно приоритетнее закрыть дыру в информационной инфраструктуре, чем тратить бюджет на разработку политики или инструкции.
Метрики информационной безопасности
Прошло несколько месяцев. Вы как CISO, вникли в бизнес-процессы, процессы информационной безопасности и сформировали перечень задач, которые необходимо выполнить в кратчайший срок для минимизации риска и закрытия всех проблемных мест.
Поезд тронулся. Теперь необходимо правильно управлять процессами ИБ.
В этом вам помогут метрики. Если их нет, необходимо разработать. Если были – оценить их полноту. Достаточно ли они информативны? Отражают ли полностью текущую ситуацию в части информационной безопасности? Метрики нужны не только вам, но и бизнесу. Метрики помогут отследить динамику тех или иных процессов, и в случае отрицательной динамики вы сможете своевременно принять необходимые меры.
Примером метрик могут служить результаты Vulnerability Management: сколько уязвимостей обнаружено за определенный период, сколько устраняется каждый день, неделю или месяц и т.д. Взяв определенные показатели, вы сможете оценить результаты, эффективность текущих процессов по устранению уязвимостей. Уязвимости будут всегда, вопрос в том, как вы их контролируете.
Другие средства защиты, такие как AV, EDR, DLP и др. имеют собственные статистические данные. Научитесь ими пользоваться.
Заключение
В данной статье мы рассмотрели подробно, кто такой CISO, какая его роль и что необходимо предпринять при выходе на новое место работы в крупную компанию.
Ответственность, возлагаемая на данную роль, очень высокая, и поэтому важно последовательно принять все необходимые меры по ознакомлению с текущими бизнес-процессами, процессами информационной безопасности, выстроенными в компании, командой и другими отделами, а также принять все необходимые меры по минимизации рисков, выявленных на первом этапе.
Автор: Александр Блезнеков, эксперт по информационной безопасности, основатель VELES.
Оригинал публикации на сайте CISOCLUB: "С чего должен начинать свою работу CISO на новом рабочем месте в крупной компании?".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
