15.11.2006

Почему в России нет настоящих CISO?

image

Среди большинства российских руководителей отделов информационной безопасности по-прежнему распространено однобокое и устарелое представление о своей деятельности и роли в компании.

Алексей Викторович Лукацкий, бизнес-консультант по безопасности Cisco Systems.

Связаться с ним можно по тел. (495) 961-1410 или e-mail: alukatsk@cisco.com.


На заседании бюджетного комитета крупной компании финансовый директор на вопрос руководителя службы информационной безопасности, почему его подразделение финансируется по остаточному принципу, ответил: «Если вы думаете, что ваш отдел финансируется по остаточному принципу, то вы ошибаетесь. Вы финансируетесь на то, что остается после остаточного принципа». И возразить финансовому директору было нечего, потому что он не знал, как доказать свою правоту, которая сомнений ни у кого не вызывает. Но вот доказательства…

Кто должен защищать бюджет по информационной безопасности перед руководством? Руководитель отдела защиты информации (Chief Information Security Officer, CISO). Перед ним стоит и множество других задач, малосвязанных с технологиями, которые до сих пор были во главе угла у многих российских CISO. И это закономерно – у нас отсутствует важнейшее условие появления «правильных» CISO – профессиональной подготовки лидеров в области безопасности (и не только информационной). Я не говорю, что настоящих CISO нет совсем. Речь о том, что нет сформированного класса этих специалистов и условий для их появления. Как всегда Россия полна самородков, которые доходят до всего «своим умом», но этого мало для того, чтобы ситуация поменялась коренным образом. Вспоминая Грибоедова, - «один в поле не воин»…

О наболевшем

Все российские учебные центры готовят специалистов по безопасности по одному направлению – организации деятельности по защите информации, как технологического процесса – защита периметра, аудит безопасности, безопасность беспроводных сетей, отражение атак, Ethical Hacking и т.д. Российские ВУЗы вообще готовят непонятно кого. В России есть только 3 учебных центра, которые пытаются приблизиться к поставленной задаче – «Микроинформ», «Академия АйТи» и «Академия информационных систем». Первый преподает по программе MIS Training Institute, в которую входят курсы, связанные с управлением рисками, обеспечением непрерывностью бизнеса, разработкой программ повышения осведомленности персонала и т.д. В «Академии АйТи» создан курс «Chief Security Officer», ориентированный на переподготовку ИТ-менеджеров для работы в роли руководителей отделов ИБ. К дисциплинам, уже названным по программе MISTI, также относится набор из базовых дисциплин – финансы, маркетинг, управление персоналом, экономика и т.д. В АИС схожая тематика.

Но ни в той, ни в другой программе нет ни слова про то, с чего начинаются стандарты ITIL Security Management, ISO 27001 или NIST 800-14 (Generally Accepted Principles and Practices for Securing Information Technology Systems), которые и преподаются в этих учебных центрах. Начинать управление безопасностью надо не с анализа рисков и изучения слабых стороны защищаемой организации. Очень важно чтобы безопасность строилась с учетом бизнеса компании, т.к. именно он является основной задачей любого предприятия. Не безопасность, не ИТ, а именно бизнес. А значит все должно быть направлено на достижение бизнес-целей и все технологии должны способствовать росту, а не мешать ему.

Откуда взяться настоящим CISO, если у нас упор делается на технике, тогда как для CISO (именно для него, а не его подчиненных) – этот аспект деятельности занимает очень небольшой процент всех дел и времени. Для CISO приоритет номер один – бизнес компании, а не безопасность, которая всего лишь один из путей к достижению цели. Поэтому все его действия должны способствовать росту бизнеса или достижению других бизнес-целей, которые у разных компаний могут очень сильно различаться. И подготовка лидера информационной безопасности в компании должна строиться по совершенно иным направлениям.

Эволюция CISO

Разумеется к такому пониманию роли CISO отрасль пришла не сразу – понадобилось больше 20-ти лет. Несмотря на то, что информационная безопасность известная не одно десятилетие, должность CISO во многих компаниях появилась относительно недавно – в 90-х годах. До этого этой позицией могли похвастаться только силовые структуры и ряд структур, имеющих дело с государственными и военными секретами. Только с началом перестройки развивающемуся бизнесу потребовалась защита, и в банках и телекоммуникационных компаниях стала появляться должность начальника отдела защиты информации (что еще не равно CISO), а чаще всего эта задача возлагалась на администратора, состоящего в штате ИТ-департамента. Т.к. и само ИТ-подразделение выполняло только поддерживающую функцию и практически не влияло на стратегию развития компании. CISO, подчиняющийся CIO, на этом этапе рассматривал безопасность, как набор технических мер (межсетевые экраны, антивирусы, VPN и т.д.). TCP/IP, стек протоколов, «эксплоит», IPSec и другие – вот классический словарный запас CISO, «живущего» на первом этапе. Он больше концентрируется на технических решениях, чем на бизнес-потребностях. Более того, бизнес-терминология ему не знакома, а значит он не находит общего языка со своим руководством. Не завоевав должного доверия, он вынужден «ютиться» в своем мирке, не умея добиваться выделения необходимых ресурсов для реализации всех поставленных задач. Но даже в своем «мире» он не может наладить процесс обеспечения информационной безопасности. Например, политика безопасности, как документ, в соответствие с которым осуществляется ежедневная работа, отсутствует; некоторые функции реализации политики безопасности ложатся на администраторов, но эти действия хаотичны и не подчиняются единому плану. Служба информационной безопасности воспринимается всеми как «черный ящик»; CISO не взаимодействует с другими подразделениями и даже конфликтует с ИТ-службой, от эффективности взаимодействия с которой зависит результат работы отдела защиты информации.

На последующих этапах CISO постепенно отходит от «коробочного» подхода и становится проповедником таких терминов как «управление рисками», «непрерывность бизнеса», «восстановление после катастроф», «безопасность, как сервис» и т.д. С отделом ИТ налаживается контакт и даже со стороны бизнес-подразделений поступают определенные запросы на консультации по вопросам безопасности. Однако, такие запросы, скорее исключение, чем правило, и носят беспорядочный характер. Безопасность по-прежнему видится больше технологической задачей, чем бизнес-процессом, т.к. CISO не может связать ее с бизнес-стратегией развития своего предприятия. Он по-прежнему подчиняется CIO и вынужден довольствоваться остатками ИТ-бюджета, т.к. не может обосновать выделение необходимых средств на понятном руководству языке. В крупных компаниях подчинение идет по другому пути (по линии службы безопасности), но суть от этого не меняется. Все большее значение начинает иметь унификация и службы информационной безопасности активно внедряют различные стандарты и т.н. best practices – ISO 17799, COBIT, ISO 27001, ITIL и т.д.

Последние 2-3 года ситуация изменилась. ИТ, а за ними и безопасность, стали все больше влиять на бизнес. А следовательно усилилось и влияние CISO внутри компании. Зачастую отдел защиты информации выделяется в отдельное подразделение с прямым подчинением руководству компании. Это как облегчает решение многих задач, так и накладывает свой отпечаток на действия CISO. Он больше уделяет внимания бизнесу, чем технологиям и начинает не просто реализовывать какие-то защитные мероприятия в рамках бизнес-стратегии, но и умеет их оценивать в бизнес-метриках, что благоприятно сказывается на общении с руководством. Уровень доверия к CISO растет, а с ним увеличивается и бюджет департамента информационной безопасности.

Заключение

Среди большинства российских руководителей отделов информационной безопасности по-прежнему распространено однобокое и устарелое представление о своей деятельности и роли в компании. Косвенно это подтверждается еще и тем, что недавно в одном учебном центре я читал курс «Как увязать безопасность с бизнес-стратегией предприятия?». В отличие от множества технических курсов по межсетевым экранам, безопасности беспроводных сетей, расследованию инцидентов, мой курс большого ажиотажа не вызвал, что лишний раз демонстрирует уровень зрелости многих российских CISO.

Хотя конечно CISO нельзя стать, отсидев какое-то время на школьной скамье, – им можно стать, лишь набив шишки и синяки в реальной, практической работе. К сожалению, в данной сфере врядли применим опыт наставничества, который применял еще Петр I. Частичной заменой ему может стать клуб CISO, где они могли бы обмениваться опытом и делиться способами решения насущных проблем. Однако пока такого клуба нет, и российский CISO остается один на один с описанными выше проблемами. Ему остается только надеяться, что условия для появления настоящих CISO в России все-таки появятся. А пока следуйте следующим простым на словах, но сложным на деле рекомендациям:

  • Взаимодействуйте с разными людьми в разных подразделениях и на разных уровнях – не будьте «белой костью» или «черным ящиком» в компании.
  • Научитесь слушать!
  • Не забывайте, что безопасность – прерогатива всех сотрудников на всех уровнях – учите их, проводите тренинги, внедрите программу осведомленности персонала.
  • Учитесь бизнесу.
  • Изучайте психологию. Человек не любит ограничения и будет стараться обходить их – постарайтесь показать всем сотрудникам, что безопасность не мешает, а способствует решению, стоящих перед ними задач.
  • Будьте хорошим руководителем – безопасность не может быть реализована в одиночку.
или введите имя

CAPTCHA