30 марта 2021 г.

Business Information Security Officer – востребованный герой нашего времени

Статья впервые была опубликована в журнале "Information Security/Информационная безопасность", №1, 2021.

Проверка на читабельность текста выполнена с помощью сервиса PlainRussian.ru 


Как ИБ стать стратегическим партнёром бизнесу?

Основная цель процессов ИТ и ИБ в компаниях – это предоставление бизнесу оптимальных сервисов по обоснованной цене с учётом сопутствующих рисков. Управление этими рисками даёт бизнесу разумную гарантию, что не реализуется такой сценарий, который сможет существенным образом повлиять на достижение компанией стратегических целей. К сожалению, риски ИТ- и ИБ-риски во многих компаниях часто оказываются вторичными по отношению к бизнес-целям.

Вот почему для некоторых крупных компаний уже недостаточно директора по информационным технологиям (CIO) и директора по информационной безопасности (CISO). Нужен тот, кто умеет “продавать” топ-менеджменту идеальную модель безопасной компании - "деловой" директор по информационной безопасности - Business Information Security Officer (BISO). Он должен объединить стратегию кибербезопасности с бизнес-целями компании. Для этого BISO необходимо не только обладать высокой осведомленностью в ключевых технологических тенденциях ИТ и ИБ, но и разбираться в бизнес-процессах компании. 

Основные задачи BISO

  • понимать реальную экономику бизнеса;
  • способствовать включению информационной безопасности во внутреннюю культуру бизнеса;
  • переводить технические вопросы ИТ и ИБ в русло бизнес-требований;
  • четко и эффективно общаться как с технологическими, так и с деловыми партнерами, выступая в качестве контактного лица - советника по вопросам ИБ;
  • способствовать соблюдению политик и нормативных требований ИБ;
  • управлять рисками ИБ с учётом их:
    • финансового воздействия на компанию;
    • регуляторного воздействия на компанию;
    • воздействия на репутацию компании;
    • воздействия на операционную деятельность компании.
  • способствовать обмену информацией, достижению эффективных рабочих отношений на всех уровнях с целью повышения устойчивости компании к внешним и внутренним угрозам;
  • контролировать эффективность инициатив в области кибербезопасности с целью минимизации потерь от реализации существующих ИТ- и ИБ-рисков;
  • предоставлять бизнесу тотальный срез по всем ИТ- и ИБ-рискам портфеля ИТ-услуг компании, влияющим на цели и задачи бизнеса;
  • знать структуру и динамику затрат на ИТ и ИБ у конкурентов.

Что же такого может BISO в отличие от CISO?

BISO отводится роль связующего звена между топ-менеджментом, бизнес-подразделениями, ИТ-службой и службой информационной безопасности (ИБ). BISO может помочь бизнесу в достижении целей, представляя эффективную стратегию безопасности, дорожную карту работ и проектов по ИБ на будущее.

Нанимали - веселились, посчитали - прослезились

Итак, руководитель компании принял решение нанять очаровавшего его на собеседовании своими сертификатами делового директора по кибербезопасности и вполне обоснованно ожидает, что тот обеспечит надёжную защиту бизнеса от внешних и внутренних угроз за разумную цену и в разумные сроки.

Однако при этом никто не гарантирует BISO, что проведение им последовательных шагов в направлении укрепления кибербезопасности компании, непременно станет "историей успеха".

Варианты исходов могут быть разные.

Риск не оправдать надежд

Во-первых, BISO может потребоваться "своя" команда. Это может повлечь раздувание штата. Через пару месяцев вдруг окажется, что новый директор нанял себе целый штат помощников с целью изучения известных техник, тактик и инструментов атакующих для проактивного обнаружения угроз и поэтапного укрепления защищенности компании. Так компания попадает в экзистенциальный ад по исследованию безопасности, где её ИТ-инфраструктуру ломают самыми изощрёнными способами, привлекая разные команды пентестеров. При этом число уволенных “за косяки” сотрудников удваивается каждый квартал.

Многоотраслевой “спец на час”

Во-вторых, для BISO существует риск стать директором-популяризатором (“директором на час”) ключевых задач бизнеса, связанных с кибербезопасностью компании. Такой BISO будет без конца штамповать блестящие презентации в PowerPoint с манящими заголовками: “Зачем нужна ИБ и какой она должна быть?”; “Что от ИБ ждёт бизнес?”; “Как реально защитить организацию и ее активы от киберпреступников, сотрудников и промышленного шпионажа?”; “Какие средства защиты и проекты по ИБ реально нужны и почему?”; “Как не “перекрутить гайки” с безопасностью?”; “Чем грозят бизнесу токсичные законодательные инициативы регуляторов?” и так далее. Но всё то, что он способен привнести в компанию на своём “юношеском” задоре, по причине того же “юношеского” задора по желанию руководства может в одночасье рухнуть. Поэтому такие BISO-популяризаторы долго в компаниях не задерживаются. Но риск быть непонятым, не особенно беспокоит этот тип BISO – ведь всегда можно найти себе применение в другой компании, которой требуется “опытный” и харизматичный кандидат на эту должность.

Осознание внутренней противоречивости роли BISO

Приходя в новую компанию, BISO, как правило, находит повсюду факторы риска и недостатки в инфраструктуре, в ИТ-архитектуре, в кадровом, финансовом, юридическом обеспечении персонала компании, о чём немедленно докладывает руководству. И это может насторожить бизнес.

С одной стороны, по мнению руководства, BISO должен демонстрировать своё понимание бережливого бизнеса, стратегии, возможностей роста, культуры, финансового управления затратами.

С другой стороны, реальность такова, что без параноидального стремления к безопасности компанию рано или поздно взломают. В настоящий момент мы наблюдаем революцию в области коммуникаций и удаленной работы, а фокус деятельности у многих компаний сместился в онлайн. Также можно с уверенностью сказать, что у каждого онлайн-сервиса существуют риски в процессах, влияющие на ценность услуги на разных стадиях жизненного цикла.

Условия деятельности компании, влияющие на безопасность:

- практически каждый сервис можно монетизировать (монетизация активов в результате действий внутренних и внешних злоумышленников либо в результате кибератак);

- ошибки в стратегии защиты онлайн-сервисов обойдутся компании слишком дорого (атаки вирусов-шифровальщиков);

- обеспечение непрерывности бизнеса - задача всех основных и обслуживающих подразделений компании (убытки, понесённые в результате простоя ИТ-систем, не могут быть ниже, чем убытки, нанесённые прерыванием бизнес-процессов, которые эти ИТ-системы обеспечивают);

- все возможные коммуникационные каналы и онлайн-сервисы компании могут подвергаться атакам злоумышленников.

BISO должен одинаково влиять и на персонал и на руководство, чтобы не допустить игнорирования рекомендаций от специалистов по кибербезопасности. Область ИБ пока не сформировалась в головах руководителей как самостоятельная область по примеру ИТ, бухгалтерии, управления персоналом, пожарной безопасности. Также отношения с ИТ у ИБ иногда бывают очень вязкие из-за нежелания ИТ-службы вносить изменения в ИТ-инфраструктуру по чьей-то указке.

Всё перечисленное приводит к тому, что ИБ-службе подчас очень трудно доказать, какая уязвимость точно приведёт к краху ИТ-инфраструктуры (доминирующие в данный момент угрозы могут быть пересмотрены и опровергнуты в будущем, после появления новых технологий или открытия каких-нибудь уязвимостей) и текущие изменения - как реакция на актуальные уязвимости - не вносятся своевременно.

Другими словами, существует очевидное несоответствие между недовольством бизнеса величиной постоянных затрат на создание необходимой безопасной инфраструктуры и тем, как видит эти процессы BISO.

Ставка на покупку компетенции в лице BISO

Роль BISO в достижении стратегических целей бизнеса всё еще экзотика для российских компаний. Было бы ошибкой ожидать, что введение должности BISO волшебным образом улучшит качество управления компанией — скорее это приведёт к созданию ещё одного центра затрат и влияния. Даже в зрелых организациях роль BISO воспринимается по-разному. Где-то он призван обеспечить за короткое время реализацию инициатив в области безопасности с учетом бизнес-контекста компании. Где-то он лишь звено в иерархической структуре реагирования и управления рисками, призванное использовать свою значительную экспертизу в технологиях безопасности для оказания влияния на убеждения и взгляды топ–менеджмента компании.

Управление кибербезопасностью должно соответствовать бизнес-целям, и поэтому со временем, вероятно, должность BISO будет появляться во всё большем числе крупных компаний, так как владельцы бизнеса уже осознали непредсказуемость наступления кибер-рисков и необратимость негативных последствий от них.

BISO может стать не только стратегическим активом компании. Эффективное управление рисками, основанное на глубоком понимании затрат на ИТ и ИБ, поможет BISO грамотно распределить инвестиции в средства защиты технологического стека и в целом повысить эффективность команд, отвечающих за информационную безопасность.

Теоретически можно выбрать сколько угодно путей повышения киберустойчивости компании. Задача BISO - добиться правильного баланса и способствовать тому, чтобы мероприятия по ИБ не концентрировались исключительно на технологических аспектах безопасного выполнения бизнес-процессов.


Ещё по теме:

Топ-менеджмент и ИБ: дружба поневоле

Эмоциональное выгорание работников служб ИБ или Дефейс* профессии

Комментариев нет:

Отправить комментарий