Статья впервые была опубликована в журнале "Information Security/Информационная безопасность", №3, 2021.
Данный материал можно рассматривать как третью часть трилогии. Первые две назывались "Топ-менеджмент и ИБ: дружба поневоле" и "Business Information Security Officer – востребованный герой нашего времени".
Оценивая корпоративное управление современных компаний, нельзя не обратить внимание на очевидные проблемы с информационной безопасностью (ИБ). Для решения этих проблем от топ-менеджмента требуется проведение инициатив, которые, с одной стороны, являются сложными, многосторонними и неочевидными, а с другой - предполагают вовлечение в процесс всех сотрудников компании, и прежде всего руководителей ряда ключевых подразделений. Об этом и пойдёт речь в данной статье.
ИБ не работает без помощи изнутри организации
При обсуждении ролей в ИБ, роль CISO (chief information security officer) — директора по информационной безопасности, сознательно выведем за скобки, так как речь пойдёт вовсе не о службе информационной безопасности. Деятельность по выстраиванию процессов информационной безопасности эффективна лишь в том случае, если она органично встроена в корпоративную культуру компании. В случае организационной и операционной обособленности функций информационной безопасности только в службе ИБ, компания не сможет эффективно реагировать на новые, качественно иные вызовы в современных условиях ведения бизнеса. Чтобы обеспечение информационной безопасности стало общей заботой в организации, её требуется вывести на уровень бизнес-подразделений и топ-менеджмента.
Перечислим, пропуская руководителя службы ИБ, ещё примерно семь различных руководящих должностей в компаниях в качестве основных исполнителей, отвечающих за операционную отказоустойчивость, безопасную инфраструктуру, правильное распределение ресурсов, репутационные риски, реагирование на инциденты и другие аспекты информационной безопасности:
- топ-менеджмент;
- кадровая служба;
- ИТ-служба;
- риск-менеджмент;
- служба внутреннего аудита;
- юридическая служба;
- общая безопасность.
Проанализируем возможные точки взаимодействия указанных подразделений, и прежде всего их руководителей, в разрезе информационной безопасности компании.
Топ-менеджмент
Руководитель
CEO (chief executive officer) — генеральный директор (компании); главное должностное лицо (компании).
Руководство компании обеспечивает создание и поддержание внутренней среды, которая позволяет сотрудникам в полной мере участвовать в достижении стратегических целей компании. ИБ начинается с генерального директора и спускается вниз, охватывая весь персонал. Именно топ-менеджмент в ответе за создание строгой культуры безопасного поведения, и он лично должен показывать пример правильного отношения к требованиям информационной безопасности. Такой настрой руководства компании повлечет за собой активизацию диалога между теми, кто определяет культуру компании и требует соблюдения определённых правил, и теми, кто отвечает за бизнес-деятельность компании.
Сегодня бизнесу нужны внутренние лидеры, сочетающие хорошую осведомлённость в передовых технологиях с широким кругозором. Важно, чтобы в компании была создана открытая обстановка, благодаря которой поощряется не только информация об успехах, но и негативная информация о любых процессах в компании. Создание атмосферы прозрачности - ещё одна задача топ-менеджмента при выработке стратегии безопасности.
Кадровая служба
Руководитель
CHRO (chief human resources officer ) — директор по персоналу.
Информационная безопасность в значительной степени зависит от организационной структуры и корпоративной культуры компании, а роль директора по персоналу - одна из ключевых в обеспечении информационной безопасности. В чём это выражается?
Прежде всего в том, что такой руководитель должен принять на себя часть ответственности за нанимаемых компанией сотрудников. Причиной любого ИБ-инцидента может быть злой умысел или некомпетентность сотрудника. Понимание повседневных интересов и мотивации нанимаемых сотрудников - важная составляющая работы кадровой службы.
Организации могут обращаться со своим персоналом по принципу "нанял-уволил". Но в этом случае не стоит рассчитывать на высокое качество персонала и хорошую репутацию на рынке труда. Управление наймом и уходом сотрудников с учётом возникающих рисков, связанных, например, с утечкой информации, является одним из наиболее важных вкладов кадровой службы в безопасность компании.
Ещё одной значимой составляющей в работе кадровой службы является применение передовых программ обучения информационной безопасности и распространение их по всей организации.
Важна также роль кадровой службы в обеспечении этичности мер безопасности, применяемых компанией, согласовании задач, целей, интересов компании с задачами и целями своих работников. Эффективное корпоративное управление не может опираться на сотрудников, вынужденных действовать вопреки собственным интересам. Мониторинг за действиями сотрудников часто вызывает вопросы о доверии к персоналу. Кадровая служба понимает этическую подоплёку этих вопросов лучше всех в компании и может дать совет топ-менеджменту и службе ИБ относительно того, сработают ли принимаемые политики безопасности и соответствуют ли они корпоративной культуре.
ИТ-служба
Руководитель
CIO (chief information officer) — директор по информационным технологиям.
Для ИТ-директора важно то, что информационная безопасность повышает стабильность и надёжность ИТ-систем и это сказывается на операционной отказоустойчивости бизнес-процессов.
Что касается технических аспектов, то руководство компании в первую очередь обеспокоено перебоями в работе ИТ-систем или неудовлетворённостью сотрудников от их использования, поскольку эти системы поддерживают текущие бизнес-процессы и в той или иной степени обеспечивают бизнес-деятельность.
На протяжении жизненного цикла компании часто происходит так, что ИБ–команда приходит и через непродолжительное время уходит, а ИТ–команда остаётся в компании на долгое время. Это является следствием стратегических приоритетов бизнеса, которые формировались с развитием и внедрением ИТ-технологий. Действительно со службой ИТ зрелый бизнес живёт уже плюс-минус 40 лет и привык следовать и доверять всему, что она говорит (все в компании в курсе: как 20 лет назад запустили ИТ-инфраструктуру, так до сих пор всё худо-бедно работает). В случае смены ИТ-команды нужно будет заново разбираться, как работает устаревшая ИТ-система, как нетривиально делается процесс обновления и так далее.
С ИБ бизнес знаком в лучшем случае последние 10-15 лет. И именно служба ИБ сообщает наверх о всех косяках ИТ: неисполнительности сотрудников (например, в вопросах смены паролей сетевых администраторов), наличии технических учётных записей в Active Directory, несвоевременном закрытии уязвимостей и прочее.
В противостоянии ИБ–команды с косяками ИТ, ИТ формально на стороне информационной безопасности, но, по факту, в реальном мире между службами существуют непонимание, соперничество, явные или скрытые действия со стороны ИТ-инженеров ("гуру в ИТ"), привыкших самостоятельно устанавливать те или иные правила. В силах директора по информационным технологиям развернуть ситуацию в сторону осознания его сотрудниками важности информационной безопасности для устойчивости компании.
Риск-менеджмент
Руководитель
CRMO (chief risk management officer) — директор по управлению рисками; главный риск-менеджер.
Одной из обязательных и постоянных стратегических задач компании должно быть непрерывное совершенствование. Идентификация рисков в контексте приоритетов бизнеса - одна из ключевых целей компании в сфере информационной безопасности.
Риск-менеджмент отслеживает все риски компании. Поэтому участие директора по управлению рисками в обеспечении информационной безопасности компании можно считать прямо вытекающим из его обязанностей.
Определение приоритетности рисков – не техническая задача. Это задача управления компанией. Директор по управлению рисками должен играть важную роль в разработке программы мероприятий по обеспечению информационной безопасности компании, а также контролировать, как выявленные риски документируются, принимаются и устраняются.
Не следует также полагать, что все подходы к регулированию рисков идеальны или просто разумны. Технологическому сектору необходимо избавиться от иллюзии, что только он сам способен понимать информационные технологии и их тонкости. Ему нужно больше делиться информацией об этих тонкостях с тем, чтобы топ-менеджмент и сотрудники службы по управлению рисками лучше разбирались в них.
Служба внутреннего аудита
Руководитель
CAE (chief audit executive) — директор по аудиту (внутреннему).
Деятельность службы внутреннего аудита очень важна как для служб ИБ и ИТ, так и для руководства компании. Для служб ИБ и ИТ это сторонний взгляд на проблемы ИТ-безопасности, сфокусированный на наиболее важных направлениях бизнес-деятельности компании. Для топ-менеджмента деятельность службы внутреннего аудита существенно экономит время и избавляет от рутинных процедур надзора.
Выявленные нарушения в ходе внутреннего аудита немедленно эскалируются "наверх", так как у службы внутреннего контроля традиционно налажены коммуникации с руководством компании. Всё, что может иметь негативные последствия для компании: штрафы, санкции, карательные меры со стороны регуляторов, обсуждаются с руководством с целью выработки мер для предотвращения негативных последствий.
Но в деятельности внутреннего аудита есть и подводные камни. Для этой службы соблюдение реальных требований информационной безопасности может иметь меньший приоритет, чем соответствие отраслевым нормам и законодательству. У топ-менеджмента не должно возникнуть иллюзии контроля со стороны службы внутреннего аудита в отношении того, что соответствие стандартам защитит компанию от любых неприятностей. Тут важно не пренебрегать другими профилактическими мероприятиями, предлагаемыми всеми заинтересованными сторонами компании.
Юридическая служба
Руководитель
CLO (chief legal officer) — главный юрисконсульт; директор юридической службы.
Директор юридической службы призван существенно влиять на убеждения и взгляды руководства компании, в том числе на стратегию безопасности компании, так как у него налажены традиционно хорошие коммуникации с топ-менеджментом.
Если специалисты юридической службы хорошо разбираются в законодательстве, связанном с защитой персональных данных, понимают основы технологий, знают надёжные юридические практики из области соблюдения законодательства по информационной безопасности, то это может свидетельствовать о наличии в компании глубокой юридической экспертизы в технологиях безопасности.
Специалисты юридической службы играют ключевую роль в определении политики компании по обмену значимой информацией с госструктурами, они участвуют в судебных разбирательствах, их привлекают к оценке требований контролирующих органов, к оценке процедурных вопросов реагирования на проверки и расследования. Особо важную роль с точки зрения информационной безопасности играет юридическая служба при реагировании на утечки информации ограниченного доступа и персональных данных.
Общая безопасность (внутренняя безопасность, экономическая безопасность, служба режима)
Руководитель
CSO (chief security officer) — директор по обеспечению безопасности бизнеса; начальник службы безопасности.
В современных компаниях организация физической безопасности обычно отдаётся на аутсорсинг, а служба безопасности чаще всего наделяется функционалом внутренней и(или) экономической безопасности. Сотрудники службы безопасности проверяют послужной список кандидатов, пытаются выяснить негативные эпизоды в биографии и другие моменты, важные с точки зрения надёжности кандидата на должность в компании.
При расследовании инцидентов служба безопасности традиционно выходит на первый план. Служба ИБ предоставляет всю необходимую фактуру по проштрафившемуся сотруднику: логи, электронную переписку и прочее, а служба безопасности доводит расследование до логического конца.
Заключение
Перечисленные выше руководители подразделений нередко смотрят на проблемы обеспечения информационной безопасности по-разному, однако под управлением руководства компании они могут прийти к общему пониманию, которое будет определять стратегию безопасности в бизнес-деятельности компании.
Одним из ключевых условий сотрудничества большого числа участников является признание ролей, которые должна играть каждая группа в компании. На представителей топ-менеджмента ложится роль лидеров в этих процессах. Только у них есть полномочия определять, что важно для компании, а что нет.
Выше перечислены особенности участия в стратегии безопасности каждого из руководителей ключевых подразделений компании. Но есть одна область, в которой сходятся все усилия, - это реагирование на инциденты, связанные с информационной безопасностью. Разработка и применение продуманных, последовательных планов реагирования на инциденты - это огромная задача, которая абсолютно необходима для успеха компании в борьбе с негативными событиями. Разработка таких планов - это многопрофильный проект, в котором каждый из ключевых руководителей должен играть свою роль. При подготовке планов реагирования компания должна ответить на многие вопросы. Кто входит в команду реагирования? Кто возглавляет эту команду? В какой момент компания обязана сообщать о негативных событиях государственным или федеральным регулирующим органам? Какие соглашения и контракты необходимо иметь в случае, если инфраструктура компании будет не работоспособна? В соответствии с законами о конфиденциальности, трудовым законодательством или политиками компании, обязано ли руководство уведомлять своих сотрудников, клиентов или акционеров? Кто несет ответственность за оплату возможных восстановительных работ, которые необходимо выполнить после окончания инцидента? И так далее.
Решение многих проблем информационной безопасности невозможно без компромисса между участниками. Топ-менеджмент не привык действовать по чужой указке, а регулирование со стороны неожиданно появившихся в компаниях технологических лидеров в лице ИТ- и ИБ-директоров часто ограничивает их свободу действий и ущемляет их самолюбие. Но современные руководители, как правило, понимают скрытые технологические риски и при разработке стратегии безопасности опираются на широкий спектр мнений в компании.
Полная вовлеченность в деятельность компании сотрудников всех уровней способствует применению их знаний, навыков и способностей во благо организации. Только так можно выстроить стратегию безопасности современной компании.
Комментариев нет:
Отправить комментарий