вторник, 30 октября 2012 г.

Общее. С чего начать CISO?


Недавно с коллегами обсуждали интересный вопрос – с чего начать CISO недавно пришедшему в компанию, если до него полноценно ИБ не занимались, доверия от руководства ещё нет, бюджеты, выделяемые раньше на ИБ были минимальными, хочется в кратчайшие сроки укрепить лично свои позиции перед руководством, а службу ИБ вывести в состав важнейших, хотя бы на уровне службы ИТ?

Тут я вижу 3 варианта действий: бизнес подход, жесткий контроль, лучший специалист.

Вариант ИБ бизнес подход”:
·         Собрать комитет по ИБ
·         Определить требования бизнеса к ИБ, цели и приоритеты
·         Разработка концепции ИБ, политики менеджмента ИБ
·         Определить показатели эффективности службы ИБ
·         Довести до всех членов комитета важность вопросов ИБ
·         Убедить всех членов комитета принять активное участие в дальнейших мероприятиях по ИБ
·         Провести инвентаризацию, классификацию и оценку информационных активов
·         Провести классификацию угроз и оценку рисков ИБ
·         Составить план мероприятий по ИБ (обработки рисков ИБ),  внедрения СУИБ и СМИБ
·         Внедрить мероприятия, СУИБ, СМИБ
·         Провести аудит, оценку показателей эффективности службы ИБ и доказать руководству свою значимость и эффективность

Выглядит слишком долгосрочным и негарантированным? Тогда быстрый вариант “жесткий контроль”:
·         Получить на короткое время (испытательное) полномочия в корпоративной системе
·         Развернуть небольшой пилотный или демо проект по контролю всех коммуникаций (электронная почта, переговоры, интернет, файловые хранилища, съемные носители, печать) и работой (скриншоты рабочего процесса) ряда пользователей. Даже если не найдем преступников, то будет обнаружено нецелевое использование ресурсов, халатность или нарушение этических норм
·         Заказать недорогой внешний пентест и провести внутренней сканирование  и как следствие понизить репутацию CIO и предстать тем, кто может спасти  компанию и знает правильный путь
·         В итоге предыдущей работы собран компромат свидетельства нарушений на половину топ менеджеров, подружится со второй половиной менеджеров, которые захотят получить  послабления по контролю для себя
·         В итоге собрать Комитет по ИБ, с поддержкой менеджеров получить бюджет на расширение  системы тотального контроля на всю организацию и увеличение штата службы ИБ
·         Через некоторое время нагнать страху на  провести презентацию про пару новых, непонятных, но очень опасных угроз для Генерального директора и выбить бюджет ещё на несколько систем защиты мирового уровня (особой потребности для нас в этом нет, после внедрения системы тотального контроля, но ведь бюджет на ИБ нужно сделать побольше)

Цели достигнуты, бюджет и репутация в наличие, но вам кажется жестковатым? Тогда помягче вариант “лучший специалист” (хоть он не вполне достигает целей, но имеет место быть):
·         Подход “главное не навредить”. Не делать ничего необдуманного, чтобы не потерять и так небольшую репутацию
·         Сходить на обучение для CISO
·         Научится готовить и читать презентации
·         Изучить психологию
·         Изучить популярные технологии обеспечения ИБ
·         Изучить технологические процессы и системы компании
·         Изучить различные методологии, стандарты и лучшие практики ИБ
·         Ждать подходящего повода - пока руководство обратится за советом, помощью или случится критический инцидент
·         Выдать и презентовать свой идеальный план, стратегию или политику для данного случая.
·         Показав свой профессионализм, убедить руководство выделить ресурсы на реализацию плана и реализовать его  

Вот такие получились варианты. Не готов сходу сказать что только один из них идеальный и подходит для всех случаев.

Интересно было бы услышать, какой-то ещё возможный вариант действий, а так-же о том, встречался ли вам успешный CISO в одной из этих трех ипостасей?


PS: статьи и заметки от коллег по этой теме:

Алексей Лукацкий. 5 дней из жизни CISO
Алексей Лукацкий. Психология для CISO
Александр Бондаренко. Вам достался отдел ИБ
Евгений Царев. Бизнес-курс для CISO
Дмитрий Орлов. Почему не нужен CISO?
Дмитрий Орлов.  CISO. Проведение презентаций 1 и 2


5 комментариев:

Артем Агеев комментирует...

"Научится готовить и читать презентации" - это понравилось :)

так и представил CISO с печеньками на презентации!

а в целом на практике всё всегда по-другому и по-разному. Если CISO приглашают в банк или в ИТ компанию - то на него сразу ложится получение лицензий и подбор персонала. Потом разработка внутренних доков по ПДн, КТ, БТ и т.д.

К моменту, когда он это закончит, он уже будет свой в компании и советы ему будут уже ни к чему.

Сергей Борисов комментирует...

Просто разработка вороха нормативки не даст нам достижения, поставленных в первом абзаце, целей (доверия для себя, сильные позиции для службы ИБ, гарантированный и высокий бюджет) :)

После или во время разработки бумаг придется таки выбирать один из возможных путей

Pavel Sveshnikov комментирует...

Как говориться жизнь накладывает свои коррективы...Думаю ты понимаешь о чем я)))

Pavel Sveshnikov комментирует...
Этот комментарий был удален автором.
Сергей Борисов комментирует...

Да, тут такая фишка, что поставленная цель - это цель лично человека (его амбиции).

Она не всегда соответствует целям компании :)

Но не всегда же нам давать советы компаниям и обсуждать их проблемы.
Иногда надо подумать о проблемах людей.