Общее. С чего начать CISO?

Недавно с коллегами обсуждали интересный вопрос – с чего начать CISO недавно пришедшему в компанию, если до него полноценно ИБ не занимались, доверия от руководства ещё нет, бюджеты, выделяемые раньше на ИБ были минимальными, хочется в кратчайшие сроки укрепить лично свои позиции перед руководством, а службу ИБ вывести в состав важнейших, хотя бы на уровне службы ИТ?

Тут я вижу 3 варианта действий: бизнес подход, жесткий контроль, лучший специалист.

Вариант ИБ “бизнес подход”:

·         Собрать комитет по ИБ

·         Определить требования бизнеса к ИБ, цели и приоритеты

·         Разработка концепции ИБ, политики менеджмента ИБ

·         Определить показатели эффективности службы ИБ

·         Довести до всех членов комитета важность вопросов ИБ

·         Убедить всех членов комитета принять активное участие в дальнейших мероприятиях по ИБ

·         Провести инвентаризацию, классификацию и оценку информационных активов

·         Провести классификацию угроз и оценку рисков ИБ

·         Составить план мероприятий по ИБ (обработки рисков ИБ),  внедрения СУИБ и СМИБ

·         Внедрить мероприятия, СУИБ, СМИБ

·         Провести аудит, оценку показателей эффективности службы ИБ и доказать руководству свою значимость и эффективность

Выглядит слишком долгосрочным и негарантированным? Тогда быстрый вариант “жесткий контроль”:

·         Получить на короткое время (испытательное) полномочия в корпоративной системе

·         Развернуть небольшой пилотный или демо проект по контролю всех коммуникаций (электронная почта, переговоры, интернет, файловые хранилища, съемные носители, печать) и работой (скриншоты рабочего процесса) ряда пользователей. Даже если не найдем преступников, то будет обнаружено нецелевое использование ресурсов, халатность или нарушение этических норм

·         Заказать недорогой внешний пентест и провести внутренней сканирование  и как следствие понизить репутацию CIO и предстать тем, кто может спасти  компанию и знает правильный путь

·         В итоге предыдущей работы собран компромат свидетельства нарушений на половину топ менеджеров, подружится со второй половиной менеджеров, которые захотят получить  послабления по контролю для себя

·         В итоге собрать Комитет по ИБ, с поддержкой менеджеров получить бюджет на расширение  системы тотального контроля на всю организацию и увеличение штата службы ИБ

·         Через некоторое время нагнать страху на  провести презентацию про пару новых, непонятных, но очень опасных угроз для Генерального директора и выбить бюджет ещё на несколько систем защиты мирового уровня (особой потребности для нас в этом нет, после внедрения системы тотального контроля, но ведь бюджет на ИБ нужно сделать побольше)

Цели достигнуты, бюджет и репутация в наличие, но вам кажется жестковатым? Тогда помягче вариант “лучший специалист” (хоть он не вполне достигает целей, но имеет место быть):

·         Подход “главное не навредить”. Не делать ничего необдуманного, чтобы не потерять и так небольшую репутацию

·         Сходить на обучение для CISO

·         Научится готовить и читать презентации

·         Изучить психологию

·         Изучить популярные технологии обеспечения ИБ

·         Изучить технологические процессы и системы компании

·         Изучить различные методологии, стандарты и лучшие практики ИБ

·         Ждать подходящего повода - пока руководство обратится за советом, помощью или случится критический инцидент

·         Выдать и презентовать свой идеальный план, стратегию или политику для данного случая.

·         Показав свой профессионализм, убедить руководство выделить ресурсы на реализацию плана и реализовать его  

Вот такие получились варианты. Не готов сходу сказать что только один из них идеальный и подходит для всех случаев.

Интересно было бы услышать, какой-то ещё возможный вариант действий, а так-же о том, встречался ли вам успешный CISO в одной из этих трех ипостасей?

PS: статьи и заметки от коллег по этой теме:

Алексей Лукацкий. 5 дней из жизни CISO

Алексей Лукацкий. Психология для CISO

Александр Бондаренко. Вам достался отдел ИБ

Евгений Царев. Бизнес-курс для CISO

Дмитрий Орлов. Почему не нужен CISO?

Дмитрий Орлов.  CISO. Проведение презентаций 1 и 2