За последние несколько месяцев не раз приходилось слышать, что первенство в вопросах кибербезопасности компаний берут мажоритарные акционеры. Оно и понятно — менеджмент может практически в любой момент встать и уйти в другую компанию, отрасль, страну, а акционеру с этой компанией еще жить — в нее вложены года жизни и много-много денег.
К категории «акционеров» еще возможно причислить CEO и членов правления, т. к. с одной стороны с их высоты бизнес уже виден довольно широко, с другой — сменить работу им не так просто как миддл-менеджменту.
Может мне попадались адекватные топы и акционеры, но те из них, что уже интересовались ИБ, делали это серьезно. Они не просто повторяли клише «ИБ должна говорить на языке бизнеса», но и сами изучали предметную область — добровольно читали отчеты, кейсы, разбирались, что в мире называют стандартами, передовым опытом и лучшими практиками в нашей теме. И вот для таких «продвинутых» бизнес-людей я составил некую информационную диету, которая с одной стороны информативна, с другой читабельна, а с третьей не перегружена бессмысленным запугиванием (вообще-то неблагородно запугивать уже запуганных инцидентами людей).
Такая диета у меня разделена на три потока
1) Кейсы и осведомленность.
2) ИБ для менеджеров.
3) Бенчмаркинг-отчеты.
Первый поток может состоять из рекомендаций МВД (например Памятки управления «К» МВД РФ — пара десятков схем между прочим!) и аналогичного материала, направленного на снижение личных потерь акционеров от киберугроз. Может открою для кого Америку — но даже у акционеров есть мобильные телефоны, на них мобильный банк, и там иногда тоже бывают понятные всем проблемы.
Второй поток должен состоять из материалов вида «ИБ для менеджеров» (по аналогии с многочисленными курсами «Финансы для нефинансовых менеджеров»). Хороший пример — рекомендации для банковских CEO от Конференции банковских регуляторов США.
Третий поток наполняют всевозможные консалтинговые фирмы (Big4, Big3, Accenture, IBM Consulting), которые проводя опросы показывают, что сейчас делают конкуренты (от чего не надо бы отставать) — PWC GISS, отчеты IBM CISO и др.
И под конец — некая рефлексия. Если ИБ должна говорить на языке бизнеса, а бизнес принципиально не хочет говорить на языке ИБ, то в такой компании с ИБ будет не очень хорошо. Просто потому, что даже самые сильные в коммуникациях ИБ-мастера будут тратить основное время на коммуникации (Governance&Awareness). Увы, кроме коммуникаций есть еще как минимум планирование (Planning), реализация (Delivery) и самоконтроль (Audit&Monitoring), и увы — никакие деньги не добавят суткам еще пару часов, чтобы все это успеть.
Автор статьи — сертифицированный специалист по управлению информационной безопасностью корпоративных и облачных ландшафтов, член международных ассоциаций ISACA, ASIS, ACFE.