9.11.11

Как донести до руководства важность ИБ?

Вопрос, вынесенный в заглавие поста, возникает на протяжении многих лет. В последнее время его пытаются освещать на различных мероприятиях по ИБ. В частности на DLP Conference эту тему поднимал я, а неделей позже на DLP Russia - Евгений Климов. Все сходятся на том, что нет общего языка между безопасниками и бизнесом (я про это еще несколько лет назад писал; и тут). И вот решил вновь вернуться к этой теме.

Просматривая на днях центр знаний сайта ISACA, наткнулся в очередной раз на документы из серии Val IT. Эта концепция направлена на то, чтобы показать значение/ценность ИТ для бизнеса. Ее можно применить и к ИБ. И вот в документе "Unlocking Value. An Executive Primer on the Critical Role of IT Governance" нашел 4 вопроса, которые по мнению авторов, интересуют топ-менеджеров и членов совета директоров:
  • Мы делаем правильные вещи?
  • Эти вещи мы делаем правильно?
  • Мы преуспели в достижении этих вещей?
  • Мы получили преимущества от того, что сделали эти правильные вещи?


В принципе, я эти вопросы уже описывал в своих презентациях по GRC несколько лет назад. Но хотелось бы вновь вернуться к этим вопросам и рассмотреть, что конкретно имеют ввиду топ-менеджеры задавая эти вопросы по тем или иным проектам, задачам, инициативам? Поняв это, мы сможем для себя определить, готовы ли мы выносить тему ИБ на уровень бизнеса. А если нет, то что нам нужно сделать, чтобы закрыть непростые вопросы.

Итак, первый, стратегический вопрос касается преимущественно инвестиций и разбивается на несколько более детальных:
  • Мы инвестируем в соответствие с нашим видением?
  • Наши инвестиции соответствуют нашим бизнес-принципам?
  • Наши инвестиции содействуюи нашим стратегическим целям?
  • Наши инвестиции оптимальны? Они находят баланс между размером инвестиций и уровнем принимаемых рисков?
  • Наши информационные активы, сервисы и другие ресурсы ИТ/ИБ фокусируются на реальных потребностях бизнеса и учитывают его приоритеты?
  • Мы знаем/понимаем, сколько мы всего тратим на ИБ?

Второй вопрос касается архитектуры и также может быть детализирован:
  • Мы инвестируем в соответствие с архитектурой предприятия?
  • Наши инвестиции соответствуют нашим архитектурным принципам и стандартам?
  • Мы достигаем синергии между нашими инвестициаями в различные инициативы и программы?
  • Наши сервисы ИБ/ИЬ бизируются на оптимальной инфраструктуре и ресурсах?

Третий вопрос касается реализации:
  • У нас эффективные процессы управления, доставки сервисов и контроля изменений?
  • У нас достаточно технических и бизнес ресурсов для реализации требуемых возможностей? Какие организационные изменения необходимо произвести для эффективного достижения поставленных целей?
  • Предлагаемые сервисы доступны в любое время и из любого места? Они надежны и защищены?

И, наконец, декомпозиция последнего вопроса о ценности приводит нас к следующему:
  • Мы понимаем ценность для нашего предприятия?
  • Мы понимаем реальные преимущества для нашего предприятия от сделанных инвестиций в сервисы, активы и другие ресурсы ИБ?
  • Мы понимаем, какими методами мы можем измерить достижение данных преимуществ?
  • У нас выстроен эффективный процесс реализации преимуществ на всем этапе экономического цикла наших инвестиций с целью получения оптимальных бизнес-результатов?

Разумеется, каждый из этих вопросов может быть детализирован и в итоге мы получаем список вопросов/задач, не такой "абстрактный" и вполне решаемый на практике. Но, разумеется, не так просто и не так быстро реализуемый, как это выглядит после прочтения данной заметки.

    20 коммент.:

    biakus комментирует...

    Самый действенный метод донесения до руководства - ничего не делать, тогда инциденты ИБ сделают свое воспитательное дело, появится мотивация :)

    Alexey Volkov комментирует...

    "4 вопроса, которые по мнению авторов, интересуют топ-менеджеров и членов совета директоров"... Западные авторы. Западные компании. Западные менеджеры. На просторах РФ не так много компаний с развитой системой управления. Так что увы.

    Анонимный комментирует...

    Согласен с Алексеем В. Нихера их не интересует. Их интересует продажа, количество клиентов. Ни ИБ ни даже ИТ их не интересует. ИТ и ИБ по их мнению это то что должно работать само собой - без денег и вопросов.
    Если не работает - уволим тех кто это возглавляет и возьмем новых. Все.
    Имхо - ИБ в РФ касается .. ну может банков и несколько десятков (один, два максимум)крупных компаний. Для остальных никакого ИБ не существует.

    Михаил Юрьевич Емельянников комментирует...

    Алексей, Ваша вера в разум просто удивительна! Вы можете назвать хотя бы 1 (одного) реального топ-менеджера в России, с которым можно было бы поговорить на указанные Вами темы? Начальнику отдела ИБ?

    Alexey Volkov комментирует...

    Михаилу: он просто книжку пересказывает ;) Толку от нее - не больше, чем от кама-сутры: полистаешь, посмотришь на картинки, подивишься и все равно будешь делать по-старинке, как умеешь или как привык, ибо партнер не поймет :))

    Алексей Лукацкий комментирует...

    Алексей, если уж говорить про Камасутру, то поверь, что не все такие ;-) Кто-то и стариной тряхнет и пойдет вытворять что-нибудь этакое из подсмотренного в Камасутре. Хотя в массе своей может быть ты и прав. На сегодняшний день

    Алексей Лукацкий комментирует...

    Михаил, я не буду скрывать, это редкость (хотя такие примеры и есть). В массе своей основным мотивом ИБ-решений является инцидент. Как сказал, Виталий Задорожный на конференции "Ведомостей": "Основных способов "продать" ИБ топ-менеджменту два - инцидент уровня out-of-business или в руководстве должен сидеть бывший безопасник". Правда, на мой вопрос, а какой из сценариев у них реализован, он ответил - что третий ;-) Т.е. топ-менеджеры ему доверяют, когда он приносит те или иные проекты и он часто использует указанную в посте мотивацию; не в полном объеме конечно, но отдельные ее элементы.

    Поэтому могу резюмировать. Пока в России все эти подходы а-ля "Security Governance" в массе своей не работают, но... под лежачий камень вода не течет. Образовывать отрасль надо. И тема security governance ничем от персданных не отличается. Только в одном случае эта тема горяча и востребовано прямо сейчас, а в другом - спрос на нее отложенный и не такой явный.

    Алексей Лукацкий комментирует...

    И потом... став недавно членом ISACA я сейчас изучаю залежи имеющейся там полезной информации.

    Стоимость членства всего 155 USD, а ценность гораздо выше той же АРСИБ, где стоимость членства почти аналогичная.

    Alexey Volkov комментирует...

    Так я и говорю - "на просторах РФ НЕ ТАК МНОГО компаний с развитой системой управления". Но они слава Богу есть, и не только "старинами" там трясут, а пытаются писать второй том индийского трактата с учетом российских реалий :)

    А про "третий вариант" я у себя много писал разрозненных заметок. Попытаюсь сделать на будущую межрегиональную конференцию интересный доклад, а потом мож и пару статеек опубликую ;)

    Tomas комментирует...

    Согласен с Вашим более ранним выводом, Алексей, касаемо того, что в большинстве случаев виноват CISO в том, что диалог с бизнесом не строится, так как языки разные. В России каждый админ управляющий Cisco ASA (в лучшем случае) спешит назвать себя CISO. А ведь CISO это и есть тот самый топ менеджер, понимающий вопросы безопасности, и инциденты ИБ для обоснования внедрения мер не потребуются (ИСО 13569 в подтверждение, например). Организация ИБ включает в себя не только ЗИ, ИБ - это комплекс правовых, организационных, технических и физических мер, а у нас все заканчивается железками. Топы не понимают значения железок, для этого и должен быть CISO, а у нас только нач.служб ИБ, оторванные от реалий, так как их захлестнули амбиции (чиатать то нужно целиком иностранные документы). Все говорят об оценке рисков, это же указано в модном 27001, однако сертифицированных в РФ компаний по 27001 единицы, вывод - риски то никто и не считает. Нач. служб ИБ просто заявляют, что необходимо 20-30 млн. руб. на DLP - а что это, зачем и как - что этим бизнесменам объяснять, все равно не поймут. Таким образом бизнес лишен того самого CISO, которому они могут доверять, а нач. служб ИБ воспринимаются как желающие наживаться на откатах.

    Алексей Лукацкий комментирует...

    +1

    Alexey Volkov комментирует...

    > риски то никто и не считает

    Риски считают все, даже если они об этом не знают. И если этот процесс носит интуитивный характер, то задача ИБ быть локомотивом и показать, какие выгоды можно приобрести от систематизации этого процесса, в том числе на примере ИБ. А для этого нужно перевести язык жестов и мимики в формализованный вид. Но это, правда, высший пилотаж.

    Tomas комментирует...

    "то задача ИБ быть локомотивом" - да бросьте, каким локомотивом, риски ИБ, конечно, специфичны, но покажите мне хоть одного риск-менеджера в России, занимающегося именно рисками ИБ. Риски ИБ - те же операционные риски. Наиболее отлаженная система оценки рисков в финансовом секторе, на мой взгляд, опять же не надо перетягивать чужую работу на себя, пусть рисками займутся профессионалы. Задача ИБ состоит в правильном предоставлении информации риск-менеджерам, а для CISO - это контроль и координация данного процесса.

    Alexey Volkov комментирует...

    Вы, видимо, меня не поняли.

    > Риски ИБ - те же операционные риски.

    Именно в том, чтобы объяснить эту мысль бизнесу, и заключается главная задача CISO. Контроль и координация могут быть только тогда, когда процесс уже выстроен. А когда его нет вообще ни для каких рисков - вот здесь и надо проявлять чудеса смекалки. Но это, повторяю - высший пилотаж.

    Tomas комментирует...

    Если в организации не ведется оценка никаких рисков, значит организация просто еще не дозрела до этого и оценка рисков ИБ будет скорее всего лишь требованием какого-то партнера по наличию сертификата соответствия модному импортному стандарту (тому же 27001). Практической пользы от такой оценки будет мало, и пилотаж даже на низких высотах тут не поможет. Соответствовать стандарту можно ведь и без DLP например, так дешевле, а утечку Пдн и КТ можно прикрыть запретом портов на BIOS, запретом gmail, yandex и прочего, а корпоративную почту можно и почитать если что - это тоже высший пилотаж??? Задача CISO более комплексная - мало найти конкретные решения (это как раз и нач. службы ИБ из отставных осуществит), нужно еще и скрестить со всем остальным, ведь перлюстрация почты незаконна, значит так делать нельзя, значит надо что-то другое, да и gmail co skype уже составляют в ряде организаций основу бизнеса, может тогда все таки DLP. Оценка риска и управление риском разные вещи, оценивать может и не CISO, а риск-менеджер, а вот управлять должен CISO, и сам CISO должен быть с собственным бюджетом, чтобы принимать решения (СТО БР кстати, так и советует). Доверие должно быть к CISO, а у нас никто не готовит CISO, у нас в лучшем случае учат на нач.службы ИБ, чему способствую наши общества профессионалов с большими взносами.

    Alexey Volkov комментирует...

    > Если в организации не ведется оценка никаких рисков

    Любым лицом - хоть физическим, хоть юридическим, оценка рисков ведется. Есть разные уровни этого процесса, и зависят они от "зрелости", но не в смысле "лошара" или "продвинутый", а в смысле необходимости.

    Tomas комментирует...

    Алексей В., мы о разном, я об управлении рисками, а Вы об их оценке. CISO, по моему глубокому убеждению, птица более высокого полета чем риск-менеджер, и может оценку делегировать, зато CISO должен принимать непосредственное участие в управлении рисками: решать чем закрыть (а предложить ему должен на выбор нач. службы ИБ, например, либо другие нач. по своим отраслям), заниматься страхованием рисков (Вы же сами говорите, что не дозрели у нас пока), либо принимать решение о принятии риска! В идеале должен быть еще и какой-нибудь совет, но и в нем кто-то должен представлять интересы именного комплексной ИБ, а не точечной ЗИ. Генеральный директор или президент, должны быть вкурсе, но они не обладают нужной компитенцией чтобы все это грамотно разрулить, для этого и нужен СISO.

    Alexey Volkov комментирует...

    > мы о разном, я об управлении рисками, а Вы об их оценке.

    Да, конечно, я сузил тему. Именно управление рисками. Когда бабушке нужно перейти дорогу - она как раз рисками управляет: оценивает, выбирает контрмеры, реализует их, принимает остаточный риск, получает результат ;)

    Alexey Volkov комментирует...

    > может оценку делегировать, зато CISO должен принимать непосредственное участие в управлении рисками

    Оценка есть элемент управления, причем наиважнейший, и делегировать его во многом означает похерить всю работу ИМХО. Вот совместно с бизнесом их оценивать - это самое то.

    > птица более высокого полета чем риск-менеджер, и

    Пока CISO будет о себе так думать - будет либо пустышкой, либо очень больно будет падать.

    Void Z7 комментирует...

    +1 "Наверху" всегда все красиво ...