Служба информационной безопасности (ИБ) является вспомогательной структурой, и, стало быть, ее деятельность должна подчиняться интересам основного бизнеса компании. Это означает, что в идеале инициатором и постановщиком задач для нее должны быть основные бизнес-подразделения.
Кстати, в таком случае ИБ-служба оказывается в выгодном положении, поскольку выступает не в роли просителя средств на непонятные для бизнеса (и потому отторгаемые им) оборудование и работы, а единственным в компании компетентным помощником в решении её насущных задач. И именно бизнес-подразделение — профильное, финансовое, кадровое, маркетинговое, бухгалтерское или иное (в зависимости от того, кто из них окажется внутренним постановщиком ИБ-задачи) — будет добиваться на бюджетном комитете выделения средств под новый ИБ-проект.
Однако, являясь носителями специальных (в данном случае находящихся в области защиты информации) знаний, безопасники в состоянии прогнозировать такие ИБ-риски, которые могут пока и не отражаться на бизнесе, не восприниматься им как актуальные, но если загодя не предпринять против них необходимые ИБ-меры, то спустя какое-то время они могут причинить компании ощутимый ущерб.
Такая ситуация требует инициативы для новых ИБ-проектов уже от ИБ-службы. При ее возникновении ИБ-службе приходится разъяснять руководству компании суть назревающей проблемы и обосновывать на понятном бизнесу языке необходимость дополнительных мер.
Как любая система, бизнес встречает новации настороженно, и поэтому ИБ-специалистам следует быть готовыми к неприятию своих предложений, к сопротивлению их инициативам. У безопасников может появиться соблазн “не бежать впереди паровоза”: раз, мол, бизнес не транслирует прогнозируемые ими ИБ-угрозы в свои риски, нужно подождать, когда “грянет гром”. Однако им следует иметь в виду, что если неприятности все же случатся, то ссылки на отвергнутые превентивные инициативы (особенно если отказы от предлагаемых проектов не будут оформлены официально) не сработают и виновным будет назначен начальник ИБ-службы.
Случаи, когда инициация ИБ-проектов должна исходить от ИБ-службы, являются наиболее распространенными в российской практике. Чтобы успешно работать в этих условиях, ИБ-руководитель должен иметь авторитет в компании, т. е. по сути быть в статусе ИБ-директора (CISO) — входить в состав высшего руководства.
Увы, но для большей части российских ИБ-руководителей это отдаленное будущее, а работать приходится сегодня. Они должны быть готовы проявлять настойчивость и применять в общении с бизнесом тактику “торга”, добиваясь согласия хотя бы на промежуточные варианты (такие, например, как пилотные проекты, на которые вендоры идут бесплатно — только бы получить полигон для еще одного опробования своего продукта). Чтобы успешно отстаивать свои позиции в офисных интригах, им следует в числе прочего развивать навыки психологии деловых отношений.
Быть убедительным ИБ-руководителю помогает освоение расчета экономических показателей работы ИБ-систем и процессов. Наиболее распространенными из них являются оценки совокупной стоимости владения (Total Cost of Ownership,TCO) и возврата инвестиций (Return of Investments, ROI).
Как показывает практика, TCO (куда входит стоимость ИБ-продукта, консалтинга, внедрения, сопровождения, технической поддержки вплоть до завершения жизненного цикла) в три-пять раз превышает стоимость продукта, которую указывает поставщик.
Расчет ROI является более творческим процессом, нежели расчет TCO, и сильно зависит от бизнеса компании и от того, как внедренное ИБ-решение на него влияет. Рассчитать ROI можно, монетизируя все выгоды, связанные с эксплуатацией нового ИБ-решения, и сравнивая их с TCO.
Однако главное, чем начальник ИБ-службы должен руководствоваться (разумеется, его состоятельность как ИБ-специалиста при этом соответствует занимаемой позиции), это — рассматривать деятельность вверенной ему структуры с позиции интересов бизнеса, т. е. вектор соей карьеры он должен направить на достижение позиции ИБ-директора.
CISO и “бумажная” ИБ
Одним из следствий ориентации ИБ-руководителя на задачи бизнеса является так называемая “бумажная” ИБ. Некоторые примеры из российской и международной практики “бумажного” соответствия регулятивным требованиям (которые тоже относят к ИБ-рискам) явно показывают, что ничего катастрофического в этом нет.
Так, на протяжении семи лет в состоянии явно “бумажного” соответствия без ощутимого ущерба для всех охваченных требованиями закона “О персональных данных” сторон пребывает реагирование российских компаний и организаций на эти требования.
Из международной практики можно привести соответствие требованиям стандарта PCI DSS. До недавнего времени руководство Payment Card Industry Security Standards Council (PCI SSC) считало вполне достаточным проводить аудит участников платежных систем Visa и MasterCard на соответствие стандарту только раз в год. Эта процедура сильно формализовалась, превратилась в “бумажную”, тем не менее она удовлетворяла всех участников. Но как только такое положение дел перестало соответствовать актуальным угрозам безопасности экосистемы электронных платежей, PCI SSC озаботился модернизацией стандарта. Поэтому с будущего года, с внедрением третьей версии, в нем реализуется процессный подход к обеспечению соответствия, повляются политики соответствия и постоянные (а не проверяемые раз в год) оценки рисков. Можно предположить, что со временем, ввиду прозрачности требований и процедуры аудита, соответствие стандарту PCI DSS 3.0 вновь станет для участников системы “бумажным”. Главное, чтобы требования стандарта соответствовали уровню актуальных угроз.
О расчете выгодности наиболее распространенных ИБ-проектов
Директор по развитию бизнеса компании Pointlane Павел Мельников, имеющий большой опыт работы в качестве ИБ-специалиста, делится своей экспертной оценкой сложности расчета выгодности наиболее распространенных ИБ-проектов.
ИБ-проекты, выгодность которых рассчитать легко
- Антиспам
- Управление доступом
- Обеспечение безопасности удаленного доступа
- Веб-фильтрация
- Шифрование носителей данных
ИБ-проекты, выгодность которых рассчитать трудно
- Управление ИБ-информацией и ИБ-событиями (SIEM)
- Системы управления жизненным циклом (SDLC)
- DLP-системы
- Системы защиты персональных данных
- Системы повышения ИБ-осведомленности (IS Awareness)
