Вот уже несколько лет как кибербезопасность из фонового процесса, ранее находившегося в ведении ИТ, стала критически важной бизнес-функцией для более-менее крупных и заметных российских компаний. Без новостей об очередной кибератаке не обходится ни дня, жертвы хакеров несут существенные финансовые и репутационные потери. В такие моменты владельцы бизнеса и генеральные директора задаются важным вопросом: «А можно ли доверить защиту от угроз своим людям, вырастив заместителя по кибербезопасности внутри компании?» В этой статье мы, исходя из собственного опыта, постараемся проанализировать оправданность этого шага, а также рассмотрим способы, какими можно вырастить эффективного директора по информационной безопасности (CISO).
Больше менеджер, меньше эксперт
Давайте сразу определимся: на позиции «зама по ИБ» хороший менеджер с посредственным знанием технологий выглядит гораздо предпочтительнее исполнителя с блестящими айтишными компетенциями, но без опыта управленческой работы. CISO просто обязан разбираться в бизнес-процессах подразделений и проявлять здоровый скептицизм в отношении любых изменений, связанных с технологиями. И в этом ему как раз не в последнюю очередь поможет менеджерский бэкграунд.
В нашей практике был обратный пример, который закончился плохо. В одной компании сотрудник ИТ-отдела, отвечающий за работоспособность сети, из самых лучших побуждений решил повысить уровень безопасности беспроводной сети. Он внедрил более совершенный режим аутентификации Wi-Fi с использованием WPA2-Enterprise, который подразумевает ввод уникального логина и пароля для каждого пользователя. Этот трюк остановил вообще все отгрузки предприятия. Оказалось, что мобильные сканеры штрихкодов, которым пользуются работники склада для комплектования заказов, с этим типом аутентификации работать просто не умеют.
Мы всегда приводим этот пример, когда кто-то из заказчиков задает конкретный вопрос: а имеет ли смысл растить ИБ-директора из числа толковых айтишников? Ответ на него — скорее нет, чем да.
Если толковый айтишник при внедрении чего-то нового руководствуется продвинутостью и совершенством технологии, то менеджер станет руководствоваться совсем иными соображениями. Он пройдет по департаментам, выяснит, как работают процессы и как на эти процессы могут повлиять технологии, в которые предполагается внести изменения. И уже исходя из собранных данных и осуществленного анализа будет планировать какие-то изменения. Такой взгляд с высоты птичьего полета дает возможность увидеть способы усиления защищенности организации перед лицом киберугроз, но при этом подходить к изменениям с учетом всех бизнес-рисков.
Цена абстракции
Рука об руку со вниманием к ключевым бизнес-процессам идет защита информационных активов. От ИБ-директора требуется абсолютное понимание, какие информационные системы влияют на непрерывность бизнеса, как они участвуют в работе разных департаментов и какие именно наборы данных можно назвать критичными с точки зрения киберустойчивости.
Чтобы собрать эти данные, действительно хороший CISO встретится с владельцем каждого информационного актива, вместе с ним формализует требования владельца к доступности этого актива, вычислит критическое время простоя информационного актива и критическую массу данных, которые могут быть потеряны. Все это важная работа, которая поможет понять реальную — денежную — цену реализовавшихся угроз. То есть, в итоге менеджер выведет размер финансовых потерь от атак различного типа.
Нам известна одна компания, которая с точностью до рубля вычислила для себя смертельный объем выпадающей выручки. Тот самый, при превышении которого в организации начнутся фатальные изменения, препятствующие возобновлению бизнеса. Имея эту цифру перед глазами, CISO при поддержке консультантов разработал модель угроз, перечислил события, которые помогут этим угрозам реализоваться, а также сформировал карту вероятных касаний этих событий с информационными активами.
Это вполне зрелый и при этом максимально бизнес-ориентированный подход. Вместо того чтобы пугать совладельцев компании картинами цифрового апокалипсиса после атаки хакеров, ИБ-директор говорит с собственниками на предельно понятном для них языке. И — что важно — выступает с сильных позиций, когда отчитывается о реализации стратегии корпоративного кибербеза и когда формирует бюджет на защиту от атак.
В общем, компетенции CISO в рамках данного кейса скорее топ-менеджерские. И быстро наделить ими пусть очень толкового, но исполнителя, можно лишь в одном случае. Нужно, чтобы владелец бизнеса на долгие месяцы сам стал коучем для такого специалиста, убедил остальных топов поддержать новичка и дал ему возможность по первой просьбе открывать все двери и вообще всячески благоприятствовал прогрессу талантливого новичка. Но лучше не забывать: владелец бизнеса и/или гендиректор в большинстве случаев назначают CISO для того, чтобы делегировать задачу киберзащиты и не возвращаться к ней. Так что менторство со стороны главного человека в компании — скорее невероятное совпадение, чем реальная перспектива.
Кто хочет стать ИБ-директором?
Самое время понять, каких именно менеджеров можно «взрастить» до позиции ИБ-руководителя или заместителя генерального директора по безопасности. Мы определились, что исполнителя, пусть даже максимально толкового, на эту позицию лучше не рассматривать. Тогда кто это может быть? Вот несколько проверенных вариантов.
Пример 1. Экс-директор по цифровой трансформации
Очень модная еще несколько лет назад должность почти исчезла из числа запросов кадровых агентств со специализацией на executive search. Однако на сотрудников, которым довелось поработать в должности директора по цифровой трансформации, компаниям имеет смысл обратить внимание как раз в поисках CISO. Бывшие «трансформаторы» — это бизнес-ориентированные профессионалы с достаточно глубокими знаниями информационных технологий и подходов к их внедрению с максимальной пользой для корпоративных процессов.
Один из наших клиентов примерно пару лет назад пригласил «трансформатора» к себе. Сейчас этот профессионал отлично показывает себя именно как CISO. Результаты его работы максимально близки к ожиданиям акционеров. А сам топ находится буквально в шаге от завершения профессиональной переподготовки, чтобы после получения диплома соответствовать своему статусу не только с функциональной, но и с формальной точки зрения.
Пример 2. ИТ-директор
Также хороший вариант — ИТ-директор. Несомненные преимущества такого варианта в том, что ИТ-директор с большой вероятностью хорошо представляет себе процессы внутри компании, понимает структуру информационных активов и с большой долей вероятности может предсказать потребности разных департаментов в обеспечении устойчивости функционирования этих активов. Так что если вам необходим CISO как можно скорее, имеет смысл искать кандидата среди директоров по информационным технологиям.
Пример 3. Начальник службы безопасности
В некоторых случаях функцию кибербеза можно передать в ведение службы безопасности компании. С одной стороны, такой маневр обещает быстрое «раскатывание» новшеств ИБ на всю компанию с минимумом рисков саботажа. Ведь с помощью «волшебного слова» главный безопасник может принудить к действию даже самых несговорчивых коллег.
Однако успех или провал затеи критически зависит от личности главного безопасника. Если самомнение и скептическое отношение к кибербезу в целом («Да кому мы нужны?») не помешает безопаснику не просто привлечь экспертов в кибербезе, а еще и прислушиваться к их рекомендациям и в какой-то степени их выполнять, результат совершенно точно не заставит себя ждать. Мы проверяли.
CISO без ошибок
Кибербезопасность в нынешних условиях — это бизнес-функция, которая обеспечивает выживание организации и сохранение за ней места на рынке. Поэтому и подход к ИБ должен быть таким, словно в вашей фирме вот-вот должно заработать важное направление, от которого будут зависеть рыночные позиции компании. И возглавит это направление конкретный руководитель. Чтобы результаты не разошлись с ожиданиями, целесообразно разобрать как минимум три самых опасных ошибок, от которых имеет смысл оградить CISO по крайней мере на этапе становления.
Ошибка 1. Начинать без поддержки со стороны владельца и/или генерального директора
Мы упоминали выше, но повторим еще раз: одна из самых больших ошибок владельцев бизнеса — это представление, что с назначением CISO все вопросы кибербезопасности можно будет делегировать и забыть о них. Ничего подобного. Собственники компании должны удостовериться, что коммуникация CISO с другими департаментами регулярна, общение идет без эффекта сломанного телефона, а ожидания других отделов от реформ ИБ адекватны и понимаемы самим ИБ-директором.
Ошибка 2. Верить в приоритет «силового» мандата над умением договариваться
Закон жизни: выданный собственником бизнеса или генеральным директором карт-бланш на преобразования в корпоративном кибербезе с огромной долей вероятности окажется дутым. И не потому, что директор не держит слово. А больше потому, что ИБ как функция влияет на огромное количество людей в компании. Вот почему в первой же непонятной ситуации выяснится, что ИБ-директору всё разрешено только на словах. С его приходом кибербезопасность как бизнес-функция компании так или иначе оказывается на виду. Любая новая активность и обусловленная ею проблема ассоциируется с CISO. И это совершенно нормально. Хоть и местами неприятно.
Чтобы не вступать в конфликт интересов с другим топом, для CISO лучше иметь жесткий и мягкий вариант реализации каждой новой меры по улучшению ИБ, больше говорить с топами из других департаментов и в конце концов быть отличным парнем. Проверено: хорошее отношение к людям работает лучше любого «силового» мандата.
Ошибка 3. Претендовать на чужой бюджет
Бывает, что из-за поспешного найма ИБ-директора его бюджет «до начала следующего финансового периода» остается в ведении ИТ-отдела. В то же время заявляется, что сам CISO — фигура самостоятельная и подчиняется непосредственно генеральному директору. В отечественной бизнес-практике, где подавляющее большинство более-менее крупных компаний живут в условиях феодальной раздробленности, вопрос бюджетов и количества людей в подчинении становится принципиальным. Глава ИТ-отдела, разумеется, отдавать свои ресурсы не захочет. И у него есть огромное количество способов саботировать работу CISO и сделать так, чтобы CISO даже на коротком отрезке показал бледные результаты, недостойные звания топ-менеджера.
Ошибка 4. Объять необъятное
В заключение скажем о слишком грандиозных планах — с точки зрения результативности CISO они только вредят. Например, внедрение чего-либо, связанного с информационной безопасностью, сразу на всю компанию. Это точно не сработает, а вызовет только волну негатива от сбоев в процессах. Да и «сырость» применяемых решений будет сразу видна огромному количеству сотрудников и руководителей. Что, конечно, не придаст доверия директору по кибербезопасности. Радикальный подход здесь применим крайне ограниченно. Лучше идти по пути эволюции, попутно предлагая коллегам помощь и поддержку в адаптации к новым условиям. Как, собственно, это и делают отличные парни.
