Управление рисками как важнейший навык CISO

[KL FC Bot]

В прошлом году мы провели исследование, целью которого было выяснить, чем живут директора по информационной безопасности. Тогда я с интересом изучил мнения своих коллег — все-таки достаточно уникальная возможность посмотреть, чем живет отрасль, глазами практикующих профессионалов. Тем интереснее мне было ознакомиться с результатами нового опроса, проведенного через год после первого.

Первое впечатление, которое возникает после сравнения результатов этих двух исследований, — информационная безопасность вообще и роль CISO в частности становятся все более значимыми для бизнеса. По крайней мере, по ощущениям трех сотен моих коллег, принявших участие в опросе. Это, безусловно, хороший признак. Как и то, что из списка навыков, наиболее важных для успешного выполнения своих задач, все больше респондентов выбрали «управление рисками» и другие бизнес-навыки.

В чем я не могу согласиться со значительной частью своих коллег — так это в том, что многие до сих пор рассматривают технические компетенции и глубокое знание применяемых IT-систем в качестве ключевых навыков как для работы, так и для своего дальнейшего развития. На мой взгляд, хотя технические знания и являются базовыми для CISO и ему нужно разбираться в новых технологиях, индустрии пора осознать, что сложность применяемых сегодня IT-систем слишком высока, чтобы у руководителей по информационной безопасности даже потенциально могло быть полное представление о технической стороне дела.

Более того, сложность информационных систем будет только возрастать со временем (чего, кстати, ожидает большинство респондентов). Так что приоритетным для руководителя по информационной безопасности должно быть не повышение своих технических компетенций, а развитие таких навыков, как управление рисками, эффективное руководство командой и коммуникации с бизнесом. В современных реалиях все решает именно персонал.

Понимание людей, а не систем

По сути, постоянное усложнение как IT-систем, так и защитных технологий привело к тому, что сейчас ключевые для бизнеса решения принимаются на уровне узких специалистов. Поэтому крайне важно, чтобы, с одной стороны,  руководитель отдела информационной безопасности  мог доверять своим специалистам, а с другой — они также доверяли бы его суждениям и решениям. Но не слепо следовали приказам, а понимали, что они как команда делают общее дело, и имели бы возможность как профессионалы высказывать свою экспертную оценку ситуации. Только тогда CISO может быть уверен, что принимаемые его специалистами решения направлены на улучшение работы бизнеса, а не наоборот.

Иногда, как отмечают респонденты, вместо увеличения штата специалистов по информационной безопасности им охотнее согласовывают увеличение бюджетов на закупку тех или иных решений. И здесь очень важно не поддаться соблазну закупить побольше систем. Гораздо важнее определить ключевые знания и навыки, которыми должны обладать собственные специалисты, и те компетенции, которые вы можете отдать на аутсорсинг. Вообще, на фоне тотальной нехватки специалистов на рынке, на мой взгляд, полезно рассматривать аутсорсинг как способ расширить возможности отдела и ускорить выполнение запросов бизнеса.

От реагирования на инцидент — к управлению рисками

Несмотря на то что роль директора по информационной безопасности стала более важной для ключевых стейкхолдеров — совета директоров или генерального директора, они по-прежнему гораздо чаще обращаются к моим коллегам, когда уже что-то случилось. К счастью, как правило это самое «случилось» — у конкурентов или других игроков той же отрасли. Но это все равно показывает, что в большинстве компаний информационная безопасность не рассматривается как инструмент управления бизнес-рисками. Да и на вопрос о том, как руководство измеряет эффективность отдела ИБ, многие по-прежнему отвечают, что ключевыми показателями до сих пор остаются количество инцидентов или скорость реакции на них.

Это, конечно, важно, но в современной концепции кибериммунитета, которой придерживается «Лаборатория Касперского», успешно защищенной компанией является не та, которая сможет свести к минимуму количество атак, приведших к ущербу, или быстро расследовать инциденты, а та, бизнес которой может, несмотря на эти инциденты, успешно развиваться.

Ведь допустимые риски и приемлемая величина потенциального ущерба от инцидентов различны для разных компаний. Иногда для ускорения развития бизнеса целесообразно применять менее жесткие меры защиты. В других случаях это неприемлемо. Количество инцидентов при этом не может являться единственным мерилом эффективности ИБ. Нужно учитывать и показатели влияния мер ИБ на скорость и стоимость выполнения бизнес-задач.  Поэтому я считаю, что CISO должны в первую очередь уметь адекватно оценивать риски и выстраивать систему информационной безопасности, учитывающую особенности своей организации и ее бизнес-стратегию, а не пытаться защитить компанию от инцидентов любой ценой.

Чаще общайтесь с юристами

Еще один момент, который бросился мне в глаза, — результаты ответа на вопрос о важности коммуникации с разными отделами внутри компаний. А точнее, то, что респонденты отдают слишком низкий приоритет коммуникации с юристами. Сейчас рост сложности ИТ-систем и их взаимосвязей со сторонними сервисами, а также ужесточение законодательства в большинстве стран мира означает, что ни в коем случае не стоит игнорировать возможные юридические последствия решений, принимаемых специалистами по защите информации.

Сейчас общение с юристами респонденты ставят лишь на четвертое место — после финансистов, совета директоров и коллег из IT-департамента. Полагаю, что приоритет общения с юристами должен быть как минимум выше, чем с финансистами. Это было бы логичнее с точки зрения информационной безопасности как инструмента управления бизнес-рисками.

В опросе было еще немало интересных данных, так что рекомендую ознакомиться с полным текстом исследования, который доступен для скачивания (на английском языке) после заполнения формы.

Читать далее >>