30.9.21

Как может s-curve'иться CISO?

Последний круглый стол на конференции “Кибербезопасность нового времени” в рамках казанской DigitalWeek оказался мне ближе всех, так как обсуждаемая на нем тема интересует меня давно и мой блог по сути и начинался скоро уже 15 лет как именно с нее, а именно с бизнес-ориентации в деятельности службы ИБ. Это постоянная тема дискуссий последних пару лет и без нее не обходится ни одно мероприятие. Должен ли CISO заниматься только ИБ в классическом его понимании (борьба с угрозами и выполнение требований регуляторов) или ИБ - это более широкая тема и CISO может и должен выходить за привычный, но достаточно узкий мир нарушителей и compliance. В этой дискуссии, так уж случилось, участвовали только представители финансовой отрасли:

  • Яшкин Вячеслав - Управляющий директор Аппарата Правления ПАО «АК БАРС» БАНК
  • Титков Константин, Исполнительный директор Департамента защиты информации Газпромбанк
  • Демидов Сергей - Директор департамента операционных рисков, информационной безопасности и непрерывности бизнеса, Московская биржа
  • Волков Олег, начальник Департамента кибербезопасности ПАО "Банк ЗЕНИТ".

Но несмотря на это озвученные ими примеры могут быть применены не только там, а гораздо шире. Одним из таких примеров стали кадровые риски, в снижении которых ИБ может принять самое непосредственное участие и дело тут не только в том, чтобы заниматься повышением осведомленности персонала или поиском инсайдеров внутри компании, помогая экономической безопасности (хотя это тоже вполне себе интересный кейс, выходящий за рамки классической ИБ). Уже набивший оскомину пример с обнаружением работников, готовящихся к увольнению. Да, этот сценарий требует определенных условий для срабатывания (сотрудник должен пользоваться корпоративными устройствами для доступа на сайты для поиска работы, рассылку резюме или получение предложений о работе), но он вполне себе укладывается в возможности ИБ, имеющей весь необходимый инструментарий для того, чтобы оперативно обнаруживать тех, кто готов пойти на сторону. Возможно менее этичный, но недавно активно обсуждаемый кейс, - это анализ активности работника и предоставление кадрам и начальству данных об активности сотрудника и том, работает он вообще или балду гоняет. И вот тут закономерно развернулась некоторая дискуссия. Одни высказывались в пользу того, что не дело ИБ следить за тем, как тратится рабочее время компании. Другие говорили, а почему бы и нет?

Как мне кажется, все будет зависеть от того, с какой позиции мы смотрим на эти примеры; с точки зрения функции или инструмента? Да, возможно слежение за рабочим времени - это не функция ИБ (что не мешает ИБ-вендорам активно допиливать свои решения именно для этой задачи). Но не стоит забывать, что ИБ - это не только функция, но и инструмент, который может быть использован и другими подразделениями для их задач. ИБ дает возможность, а уж применить ее или нет - дело другое. Поэтому в описанных выше двух случаях ИБ имеет инструмент, который может собрать данные, которые могут быть предоставлены кадрам. Если для компании удержание сотрудников и снижение ротации важны, то ИБ может помочь решить эту задачу (наряду с другими подразделениями). Если в компании руководство беспокоится о том, не бездельничают ли сотрудники за зарплату, то ИБ может помочь и тут (хотя контроль рабочего времени - это вообще отдельная тема, имеющая очень много граней и нюансов).

Другой пример бизнес-ориентированности CISO - снижение CapEx. Да, урезание бюджета - вещь неприятная, но встречающаяся достаточно часто. Можно жаловаться на жизнь, а можно попробовать извлечь из нее пользу и показать, что ИБ разделяет интересы компании, перейдя в части своих услуг с CapEx-ной модели на OpEx-ную, заменив “железные” решения на облачные, а внутренние сервисы передав на аутсорсинг. Да, это грозит потерей компетенций и снижением контроля, но на то мы и говорим с позиций бизнеса, что нужно взвешивать все за и против, всю плюсы и минусы, предлагая взвешенное решение и демонстрируя бизнес-ориентированность.

А может ли ИБ зарабатывать? Такой вопрос тоже прозвучал на круглом столе и Сергей Демидов ответил на него положительно, хотя и не скажу, что озвученный им вариант подойдет многим. Сергей возглавляет небольшого оператора связи, работающего в интересах биржи, который помимо услуг связи предоставляет также услуги удостоверяющего центра, зарабатывая на них (есть и другие варианты, о которых говорится в видео по ссылке ниже). Да, это уже не совсем in-house функция, но все равно служит интересным примером того, как руководитель ИБ может выйти за пределы своих привычных задач. Я знаю пример финансовой организации, которая предлагает своим привилегированным клиентам, имеющим на счетах сумму, выше определенного значения, услуги по ИБ, в том числе и защиту бренда. В другом случае служба ИБ оказывает услуги своим клиентам из сегмента малого бизнеса, по сути выполняя для них роль сервис-провайдера по ИБ. Ведь малый бизнес не имеет возможности строить у себя нормальную ИБ. Почему бы тогда не возложить эту задачу на службу ИБ своего банка?

Если не заработок, то может ли ИБ влиять на прибыль компании? Надо отметить, что не слишком подкованные в финансах технари, часто путают прибыль и доход. Да, ИБ может не приносить дохода, но при этом влиять на снижение расходов, тем самым увеличивая прибыль предприятия. И дело не только и не столько в том, чтобы снижать стоимость инцидентов или предотвращать мошенничество, о чем мы тоже говорили. Например, можно существенно снизить затраты компании на отправку одноразовых кодов по SMS для входа в систему ДБО, если подумать о том, как обычно клиенты подключаются к своему онлайн-банкингу. Делается это обычно с одного и того же мобильного устройства, которое не меняется годами. Так зачем каждый раз спрашивать клиента “Это ты?”, если можно профилировать его устройство и в случае совпадения с профилем, считать устройство доверенным и не отвлекать пользователя смсками? Такой подход позволяет сократить 10-40% затрат на отправку SMS, что выливается при текущих расценках в кругленькую сумму. Заработок ли это? Нет. Влияет ли на прибыль? Безусловно. Интересно это бизнесу? Конечно. Об этом кейсе, кстати, можно послушать в "свежевыжатом подкасте", приуроченном к грядущему SOC Forum 2021, в котором моим гостем был Лев Шумский, глава кибербеза Яндекс.Банка (подкаст №2). 

Но такая ориентация на бизнес требует от CISO новых навыков. Как было правильно отмечено на круглом столе - CISO может быть “военным” или “предпринимателем”. В первом случае он может отлично выполнять традиционные для ИБ задачи, но не выходить за их рамки. Во втором случае он ищет как помочь бизнесу с позиций предпринимателя. И у него это получается. И тогда у него появляется шанс вырасти за пределы обычного руководителя ИБ, “подмяв” под себя управление операционными рисками, непрерывность бизнеса, операционную надежность. Сергей Демидов упомянул концепцию S-кривых, которая описывает эволюцию многих технологий, многих компаний и даже людей. Сначала вы растете в своей роли, но в какой-то момент достигаете пика в развитии и у вас начинается движение по длительному плато, которое может в любой момент прерваться, так как вас обойдут более агрессивные, опытные, квалифицированные коллеги. Чтобы расти дальше вам надо выйти за пределы своей роли и сделать шаг в неизвестность, который может вывести вас на новый уровень, на новую кривую. И так далее. Для ибешника это означает, что он может начать свою карьеру как обычный сотрудник отдела защиты информации, занимаясь своей узкой сферой, развиваясь в ней. Следующим кардинально новым шагом может стать желание быть руководителем, что требует новых навыков и знаний. Проработав в этой роли, CISO может захотеть пойти еще выше и тут варианты его карьеры могут разойтись. Он может пойти в корпоративную безопасность, подмяв под себя темы экономической, физической, антитеррористической безопасности. А может пойти в сторону рисков и непрерывности бизнеса. И это очередной вызов, требующий новых знаний и навыков. А потом это может быть собственный бизнес и т.д.

На круглом столе мы обсуждали еще многие темы, но я не хочу пересказывать абсолютно все и не буду раскрывать секрет, как связана деятельность CISO с движением Black Lives Matter или концепцией ответственного инвестирования ESG, о которой сегодня не говорит только ленивый и которая вроде как не имеет никакого отношения к ИБ, но оказывается, что имеет. А ESG - это повестка дня руководителей крупнейших мировых компаний. И если CISO может встроиться в эту повестку, то это отлично. Но об этом вы можете сами услышать, посмотрев эфир, любезно записанный компанией Innostage, которая и организовала этот и другие два круглых стола, которые я вел, ссылки на записи которых ниже, и о которых я писал последние заметки:

  • Запись первого круглого стола, о котором я писал
  • Запись второго круглого стола, о котором я писал
  • Запись третьего круглого стола, о котором данная заметка.