30.1.19

12 причин, почему бизнес "не видит" ИБ, или кибербезопасность Шредингера

А продолжу-ка я тему с чеклистами и визуализацией :-) Тем более, что вчерашняя тема зашла очень хорошо - Андрей Прозоров даже флешмоб замутил и несколько человек в Фейсбуке на него уже откликнулись, опубликовав свои чеклисты CISO. Сегодня будет список из 12 причин, описывающих почему бизнес "не видит" ИБ и не ценит ее. Хотя после прочтения отчета anti-malware, в котором написано, что 63% компаний имеют бюджет менее полумиллиона рублей, становится понятно, почему. Это же в пределах погрешности для многих предприятий. За что любить ИБ, которая и не делает ничего (ибо не на что), и не тратит ничего, и не приносит ничего. Кибербезопасность Шредингера, которая вроде бы и есть, а вроде бы и нет :-(
Ну а чтобы заметка не выглядела совсем уж куце, прокомментирую эти причины.
  1. Вы считаете, что лучше знаете, что нужно бизнесу. Я поставил этот пункт первым, как и во вчерашнем первым стоял пункт, что вы знаете, что нужно бизнесу. Но вчера это звучало как выполненная после общения с бизнесом задача, а сегодня - как частая ошибка многих безопасников, считающих, что именно они могут диктовать своему работодателю, что ему нужно с точки зрения кибербезопасности.
  2. Вы прекрасно защищаете свою организацию, но совершенно не умеете “продать” это наверх. Говорите со своей аудиторией на ее языке! Я про это писал и говорил уже много раз - повторяться не буду (хотя одну ссылку приведу). Но планирую в блоге писать больше про это и публиковать больше примеров того, как можно доносить до бизнеса свою задачи и свои достижения.
  3. Вы не получили вовремя грамотную помощь или ее не было вовсе. Очень мало кто способен самостоятельно разобраться в том, чем живет бизнес, что ему нужно и как работают бизнес-процессы. В ВУЗах этому не учат, MBA безопасники пока массово не посещают (дорого). Отсюда и результат.
  4. Вы не делегируете. Один в поле не воин. В крупной организации, да и в небольшой тоже, нельзя все делать самому. Нужно уметь делегировать часть задач подчиненным, беря на себя контроль их исполнения. Наймите правильных сотрудников или отдайте задачи на выполнение подрядчикам. Все делать самому - значит не успеть все. Так делает бизнес, этого он ждет и от безопасника. 
  5. У вас нет бизнес-плана/цели/миссии, включая план действий на случай провала. Ну тут вроде все понятно и так :-)
  6. Вы ничем не отличаетесь от внутренних конкурентов, которые тоже хотят внимания руководства и бизнеса. Конкуренция сопровождает почти любой бизнес (только РЖД у нас монополист в России :-), как снаружи, так и внутри организации. На что потратить деньги? На кофе, туалетную бумагу, картриджи для принтера или безопасность? Надо уметь бороться с внутренними конкурентами; иначе проиграешь!
  7. Вы не относитесь к своей работе всерьез. Без комментариев.
  8. Вы тратите неоправданно мало на безопасность, стараясь сделать все подешевле и попроще. Бизнес умеет считать деньги, но это не значит, что он готов покупать дешевку. Он хочет получить то, что нужно, и с предсказуемым результатом. Нужен миллион? Хорошо. Но обоснуйте. Нужно десять? Обоснуйте. Можете сделать все бесплатно? Обоснуйте (бесплатный сыр только в мышеловке и чтобы бесплатное решение заработало возможно нужен соответствующий недешевый персонал).
  9. Вы тратите неоправданно много на безопасность. А это обратная сторона медали. Вы приносите бизнесу счет на проект по ПДн стоимостью в полмиллиона рублей. Ну ОК? А что теряет бизнес от невыполнения законодательства? 10 тысяч рублей? Дебет с кредитом не сходится - никакого смысла в такой инвестиции нет. Затраты в 50 раз превышают возможные предотвращаемые потери? Ну-ну...
  10. В вашей стратегии ИБ нет фокуса - вы пытаетесь защитить все. Защитить все нельзя - нужна концентрация на ключевых задачах и проектах. Нет ее, значит вы не умеете выделять главное, что и сказывается на отношении бизнеса.
  11. Вы не умеете сотрудничать. Научитесь общаться с бизнес-подразделениями, чтобы получать от них данные для своей работы, чтобы заручиться их поддержкой при защите проектов, чтобы понять их нужды, чтобы помогать им, а не мешать. 
  12. Вы склонны недооценивать, сколько времени и денег потратите, пока ваша служба встанет на ноги. Неумение считать деньги и время - это плохой знак для вас и для бизнеса. Как вам можно поручать задания и выделять бюджеты, если вы не умеете ими распоряжаться?
Если приглядеться внимательно, то эти 12 причин совпадают с вчерашним чеклистом, который направлен на их устранение. Здравый смысл подсказывает, что начать надо было с проблем, чтобы потом наметить пути их решения, но я решил немного нарушить логику и сделал наоборот. И получилось хорошо - мне, по крайней мере, понравилось как повернулась тема, - дискуссия, флешмоб, новые идеи и мысли...

ЗЫ. Тут можно скачать файл в PDF.

4 коммент.:

Valery Estekhin комментирует...

К сожалению, план не очень актуальный для тех 63% компаний, службы ИБ которых имеют годовой бюджет менее полумиллиона рублей. Вот как выглядят 63% планов CISO...

План CISO "Кранты-Банка" на 2019 год

- подружиться с ИТ;
- заманить директора по общей безопасности (ИБ в его подчинении) на Уральский форум, чтобы он понахватался там правильных слов для представления интересов ИБ на Правлении банка;
- составить План тренировки паники (план ОНиВД);
- избавиться от Windows XP (на 110 ПК);
- найти того, кому делегировать;
- разобраться с АРМ КБР-Н;
- понять, что делать с биометрией в банке и могут ли за это уволить;
- найти фокус в ИБ, а не пытаться защитить всё на пределе возможностей;
- почитать в Интернете про План/Цель/Миссию ИБ;
- обновить своё резюме.

Алексей Лукацкий комментирует...

Прекрасный план!

pereprorubkin комментирует...

Жизенно... сейчас на последнем пункте...

Ryi комментирует...

Win7 через год кончится. Надо её уже сейчас начинать обновлять, а не только хр )