11.04.2016

Твою ж... кому же должна подчиняться служба ИБ?

А ответа на вопрос, заданный в заголовке, нет :-) Как и серебряной пули в ИБ тоже нет. На Западе CISO часто подчиняется вообще COO (операционному директору). В прошлом году этот вопрос я задавал ИТ-директорам на IDC CIO Summit в Питере. Ответы выглядели следующим образом:


Неделю назад я задал аналогичный вопрос в своем Twitter. Ответило более 100 человек и ответы распределились следующим образом:

Интересно, что несмотря на серьезные различиях в аудитории, распределение ответов практически совпало в обоих случаях.

Если прочитать две предыдущие заметки (тут и тут), то может сложиться мнение, что ИБ не может быть ни под ИТ, ни под ИБ. На самом деле это все-таки не совсем так. Если за много лет служба ИБ все-таки чаще всего входит в состав ИТ, значит такой сценарий вполне возможен. Да, это так, кто бы и что бы ни говорил. Не забываем, что гораздо важнее подчиненности уметь разруливать конфликты и находить общий язык между подразделениями. Я много раз видел, когда ИБ и внутри ИТ неплохо существует, и когда ИБ, вынесенная отдельно, живет с ИТ как кошка с собакой, не говоря уже о восприятии ИБ рядовыми пользователями компании или руководством.

Но если все-таки посмотреть на эту проблему отстраненно, то куда лучше рапортовать ИБ?


Все очень зависит от того, зачем служба ИБ вообще создается на предприятии. Причин ведь может быть несколько:
  • Наладить процесс управления и обеспечения ИБ
  • Наладить процесс управления и обеспечения ИБ так, как это видит руководство (это не тоже самое, что в предыдущем варианте)
  • Создать службу, чтобы «как у всех»
  • Потому что так требует закон, регулятор и т.п. (он, правда, требует, чтобы безопасник выделенный был всегда, но не обязательно с подчинением топ-менеджменту)
  • Потому что был инцидент с безопасностью
  • Создать видимость работ, но не давать им делать реальное дело (а то еще вскроют махинации топ-менеджмента или приближенных лиц).
Мы видим, что причины разноплановые. И именно от того, какой вариант взял верх, и зависит место ИБ в иерархии на предприятии. Если информационная безопасность рассматривается руководством с классической точки зрения (защита информационных систем), то и место ее будет под ИТ. Если нужно бороться с инсайдерами или обеспечивать во что бы-то ни стало конфиденциальность, то ИБ вероятно попадет под СБ / СЭБ. Если же ИБ нужна именно для развития бизнеса, если CISO может показать, что он может стать агентом изменений на предприятии (не единственным, разумеется), то и место ИБ будет совсем другим - под CEO или, если компания большая и распределенная, под COO (операционный директор), но на одном уровне с ИТ.



Вообще, когда кто-то безапелляционно заявляет, что ИБ может и должна быть только под первым лицом, то это означает, что человек не работал в действительно крупном холдинге и компании, в котором может насчитывать несколько десятков тысяч, а то и сотен тысяч человек. Ни о каком подчинении первому лицу в такой ситуации быть не может - хорошо, если второму, а то и третьему. Это тоже надо четко понимать - масштаб имеет значение.

Разумеется, в ИТ остается достаточно большая часть функций ИБ. Кому-то же надо управлять учетными записями, устранять уязвимости, обновлять антивирусы, разбираться с межсетевыми экранами, настраивать VPN. Все это по-прежнему остается в ИТ, но за ИБ остается роль ГИБДД - она устанавливает правила и следит за их соблюдением, попутно занимаясь и другими важными задачами - повышением осведомленности пользователей, разбирательством инцидентов ИБ, внедрением культуры ИБ, взаимодействием с правоохранительными органами, внутренним и внешним compliance, а также другими задачами.


Не стоит забывать, что на место ИБ в иерархии влияет также и отрасль, в которой работает предприятие, на котором создается служба ИБ. Например, в компании, в которой информационные технологии играют важную роль, ИБ может вполне претендовать на роль за пределами ИТ и СБ. А вот на промышленном предприятии, на котором на 10 тысяч работников всего 100 компьютеров, а остальные работники заняты на производстве, ждать, что ИБ будут придавать много внимания не стоит. Ее, конечно, и на воде и хлебе держать не будут, но и пряников с черной икрой (крутое сочетание) не дождешься.

На прошедшей RSAC 2016 тема подчиненности ИБ поднималась неоднократно, но немного с другой точки зрения. Мало кто прямо говорил, что ИБ должна быть там-то или там-то. Как мне кажется, на Западе давно уже поняли, что это не тема для обсуждения. Совсем не важно, что у тебя написано на визитке (с точки зрения решения задачи, а не с точки зрения карьерного роста и самомнения), важнее - чем ты занимаешься и как тебя воспринимают окружающие. И будучи на втором уровне иерархии можно противопоставить себя всем в компании и превратиться во врага с большими регалиями, но отсутствием влияния. А можно и обычным специалистом по ИБ внутри ИТ-службы заслужить авторитет, к которому будут прислушиваться на самом верху.

Большинство докладчиков RSAC поднимали вопрос о роли CISO на современном предприятии. Именно роли, а не места. Ведь человек красит место, а не наоборот. Поэтому именно от того, как себя поставит CISO (или директор по ИБ, или руководитель отдела защиты информации) и зависит его место в иерархии и место его службы. Будет заниматься реализацией требований регуляторов, поиском инсайдеров с последующим и увольнением или закручиванием гаек в ИТ-сфере, так и останется в подчиненной роли (это нехорошо и неплохо - просто так есть). Будет пытаться "выйти" на уровень бизнеса, найти с ним общий язык и показать свой вклад в достижение бизнес-задач - сможет подняться гораздо выше; не только формально, но и фактически.

На RSAC много говорили не о CISO, а о сдвиге в сторону CIRO (Chief Information Risk Officer)

ЗЫ. Что-то затянула меня эта тема :-) Дальше попробую вспомнить, что говорили на RSAC касательно роли современного CISO, куда ему стремиться и чем он должен заниматься.

ЗЗЫ. В среднем у 8-11% компаний нет не то, что CISO, но и вообще выделенного безопасника... Но об этом поговорим отдельно :-)

ЗЗЗЫ. И все это мы будем также обсуждать на межотраслевом форуме директоров по ИБ 18-19 апреля в Москве.

1 коммент.:

p.a.kulikov комментирует...

Может все таки Л(Д)ПР?
Я думаю, что многое зависит от роли "информации" в бизнесе, конечного выгодоприобретателя от бизнеса ну и "потенции" лиц, (действительно) принимающих решения.
Пример:
Акционер в ЛПР ставит доверенное лицо, а в руководителя СБ - преданное лицо, а тот в CISO ставит родственничка и все - вот он конфликт интересов.