Security Lab

5 дней из жизни CISO

5 дней из жизни CISO

Возглавленное мной подразделение считалось в компании непрестижным, о чем мне поведал мой друг, работающий здесь в департаменте логистики.

- А можно ознакомиться с результатами работы предыдущего CISO? – спросил я, зайдя в свой «второй дом».
- Кого, кого?
- Вашего предыдущего начальника.
Женщина в летах вывалила мне на стол пару десятков папок «Дело» и ворох еще неподшитых бумаг.
- Это что?
- Труды предыдущего владельца этих хором, - в словах прозвучала ирония и скрытая усмешка и по поводу «трудов» и по поводу «хором». И, правда, отдел размещался на задворках здания компании в небольшом помещении площадью 12 квадратных метров.
- А в электронном виде нет? – спросил я, недоуменно глядя на поданный мне архаизм.
- Нет. Предыдущий начальник не доверял всем этим ЭВМ. И я разделяю его опасения. Хакеры, вирусы, жуки всякие…
- Мда, - подумал я. - И это отдел защиты информации, который должен быть на передовой информационных технологий. Работка мне предстоит не простая.

Так начался мой первый день в качестве руководителя отдела защиты информации крупной добывающей компании. Возглавленное мной подразделение считалось в компании непрестижным, о чем мне поведал мой друг, работающий здесь в департаменте логистики.
- Твоего предшественника все считали дармоедом, - сказал он во время ланча еще тогда, когда я только думал, принимать сделанное мне рекрутинговой компанией предложение или нет.
– Мы от него отдачи никакой не видели, а денег он просил регулярно и много. Да. Вот еще что. Разругаться он успел со всеми руководителями, кроме Главного. На планерках он постоянно пытался всем указывать и раздавал приказы. Короче все забили на него, и что он делал последние полгода никто не знает. Так что думай, стоит ли ввязываться в таких условиях?.. – предупредил меня друг.

- Да, опасения подтверждаются, - подумал я после краткого просмотра дел, полученных от МарьИванны, помощницы «бывшего». – Незавидное мне досталось хозяйство. Почти как Геракл в Авгиевых конюшнях. Надо как-то выходить из столь незавидного положения.

Первым делом я решил составить список задач, которые мне предстояло решить в ближайший месяц и квартал. Именно от их удачного завершения зависит успех того, ради чего меня наняли. Хотя именно этого-то я и не знаю. Собеседуя меня, Главный как-то расплывчато сказал: «Ну, вы сами знаете, что надо делать. Удачи!» Похоже он и сам не знал, что я должен делать. Думал: «Так принято».

- Для начала соберу отзывы о своем подразделении от тех, для кого я и должен работать – от бизнеса. Заодно познакомлюсь с руководителями этих отделов, зарабатывающих деньги, пойму их задачи и приоритеты. Работа предстоит непростая – мой предшественник оставил по себе плохую память и мне надо как-то сломать это отношение. На ближайшую неделю дел у меня полно…

День второй. Неделю спустя

- Ну как? Провел беседу с нашим средним звеном, - спросил меня мой товарищ.
- Да, конечно. Сначала было сложно ломать стереотипы, но потом все пошло по накатанной. Мне повезло - мой предшественник так тесно не взаимодействовал с бизнес-подразделениями и не ставил перед собой цель во всем руководствоваться их интересами. А ведь именно от воли руководителей среднего звена зависит успех или неуспех информационной безопасности. Самые громкие слова топ-менеджмента о безопасности так и останутся словами, если они будут воплощены в жизнь рядовыми сотрудниками под руководством людей, находящихся на среднем уровне иерархии. В конце концов, безопасность – это не стратегическая, а операционная деятельность, которой занимаются не высокие чины.
- Теперь-то, что будешь делать?
- Что от меня ждут руководители отделов я понял, куда двигаться дальше я знаю. Дело осталось за малым - получить санкцию руководства. Обращусь к нему; представлю первый этап реорганизации всех процессов, связанных с моим направлением. - Хочу создать комитет по безопасности. Добро руководителей среднего звена я получил – осталось топ-менеджмент привлечь.
- Да? Зачем тебе этот комитет?
- Ну как же? Безопасность - дело общее и пронизывает она всю компанию сверху донизу. Я один не в состоянии сделать все. К тому же, мое дело – контроль. Такие вещи, как внедрение, лежат на ИТ. А постановка целей и анализ результатов – прерогатива бизнес-подразделений. Я оказываю им всестороннюю поддержку, но за конечный результат отвечают все-таки они. Бизнес за финансовые результаты, а ИТ – за бесперебойную работу всей инфраструктуры. Моя цель, чтобы это все скоординировать и осуществлять защищенным образом.
- А комитет-то тут причем?
- А комитет объединит все заинтересованные стороны и позволит вырабатывать консолидированное мнение. Это значит, что мы вместе примем решение и отвечать за него будем вместе. При таком подходе никто не сможет сказать: «Я не виноват - это все они». Конечно, решение принимается чуть дольше, чем единолично, но зато и эффект будет несоизмеримо выше. Да и топ-менеджмент с большим доверием будет относиться к принятым сообща решениям.
- Я думал за безопасность должен отвечать только ты.
- Не совсем так. Вспомни, когда у вас внедряли портал, кто ставил цели и оценивал результат? Не ИТ, а HR. А когда ERP внедряли? Аналогично. Главенствовал бизнес, а не ИТ-служба. С безопасностью все тоже самое. Ты меня лучше просвети в вашей внутренней кухне. Каковы политические течения? Как выделяют деньги? Есть ли кланы? Выделяет ли руководство каких-нибудь фаворитов? Есть ли у него какие-нибудь привычки, хобби, ну и т.д.?

День третий. Спустя месяц

Сформировав команду из руководителей наиболее важных подразделений, я добился того, что все работали сообща. Такие же коллегиальные были и решения – уже никто не мог валить все «на того парня» или запускать высокорискованный проект или незащищенный сервис. Показав свою заинтересованность в «их» делах, я получил их поддержку, что и стало залогом моего дальнейшего успеха. «Сарафанное радио» разнесло по компании, что я не «твердолобый дармоед в погонах», а «рубаха-парень», с которым можно иметь дело.

Встреча с руководством прошла успешно – я получил добро на большинство своих инициатив. Интересной получилось встреча и с финансовым директором. Я «вышел на него» не с кипой счетов на покупку межсетевых экранов и антивирусов, а с четко проработанным планом финансирования своего направления, на котором стояли визы всех членов сформированного мной комитета по информационной безопасности. Все проекты были разделены на 3 типа:
• фундаментальные, без которых не обойтись (в частности, ежегодное обновление корпоративного антивируса).
• поддерживающие, для операционной поддержки и снижения TCO
• прямо влияющие на бизнес.

Согласование с комитетом по ИБ помогло мне определиться и с источниками финансирования моих инициатив. Стратегические проекты (их оказалось всего 3) бюджетировались на уровне компании в целом, также как и поддерживающие (фундаментальные) инициативы. А вот деньги на все промежуточные задачи были найдены в бюджетах бизнес-подразделений, ИТ и т.д. Например, деньги на программу повышения осведомленности персонала в области защиты корпоративных ресурсов я получил от HR-подразделения, а ресурсы на защиту ERP-системы изыскались у отдела внутреннего аудита, заинтересованного в соответствии наших корпоративных систем требованиям SOX, ISO 27001 и других стандартов, которым мы, как компания, работающая на международной арене, должны были соответствовать.

Уже когда я уходил от CFO, он, как бы проверяя меня, спросил: «Я слышал, что бюджет на защиту информации должен составлять около 5% от ИТ-бюджета. Что вы об этом думаете?»
Врасплох меня он не застал и мой ответ не заставил его ждать.
- Какие 5% от ИТ бюджета? Кто и откуда взял эти цифры? И почему они стали стандартом де-факто для всех? ИБ-бюджет зависит только от решаемых задач и ни от чего больше. Он может быть и больше 5% и меньше 1%. К тому же, как выделить бюджет на ИБ от бюджета на сетевую инфраструктуру, системные и бизнес-приложения и их администрирование? Это цифра очень спорна и обычно приводится, когда все остальные доводы исчерпаны.
Видимо мой ответ удовлетворил нашего финансового гуру и больше он ставил мне палки в колеса, понимая, что я работаю на благо компании, а не «для галочки».

На очередных посиделках с товарищем речь зашла о взаимодействии с ИТ-департаментом:
- А как у тебя с ИТшниками?
- Поначалу было сложно. CIO был в отпуске, а его заместитель отличался консерватизмом в отношении информационной безопасности. Хорошо, хоть CIO вернулся – с ним мы быстро нашли общий язык. А во время его отсутствия я как раз решал вопросы по созданию комитета по ИБ и другие оргвопросы, так что дел было много и без ИТ.
- А сейчас-то о чем с ними договорились?
- Главное, что мы согласовали с ИТ разделение функций. На мне выработка согласованных требований и контроль их исполнения, а на них собственно реализация. В конце концов за работоспособность сети отвечает ИТ-служба; им и карты в руки. Главное, что мы не разругались, а то пришлось бы прибегать к помощи начальства, а это хуже всего для дела.
- А вообще над чем сейчас трудишься?
- Ну у меня сейчас 3 приоритетных направления. Во-первых, я разрабатываю архитектуру безопасности, которая будет основополагающим столпом для компании в области безопасности. От нее уже пойдут ответвления и по части ИТ, и по части работы с персоналом, и по части взаимодействия со службой безопасности и т.д. Во-вторых, я сейчас хочу выработать метрики оценки эффективности процессов по безопасности. Чтобы и самому себя контролировать и остальным демонстрировать свои «успехи». Ну и, наконец, совместно с HR мы разрабатываем программу повышения осведомленности персонала. Если мы ее успешно внедрим, то и денег на технические решения потребуется поменьше.
- А с людьми у тебя как?
- Ну людей как обычно не хватает. Сменил себе ассистента. А то МарьИванна была еще та «штучка». Теперь хочу взять человека для взаимодействия с бизнес-подразделениями. Пусть контролирует потребности наших основных заказчиков. Ну и еще есть пара вакансий, которые надо задействовать.

День четвертый. Полгода спустя

Спустя полгода еле занявшийся огонек превратился в пламя и процесс управления информационной безопасности в компании полыхал во всю. Все подразделения были вовлечены в эту работу и никто уже не называл нас Business Prevention Department. Принятая архитектура безопасности и программа повышения осведомленности персонала позволила сконцентрироваться на ключевых моментах и не распыляться по мелочам. Набранные в отдел сотрудники держали руку на пульсе, что позволило мне сконцентрироваться на совершенно новой области развития своего направления – модели предоставления безопасности, как сервиса.

Учитывая, что аналогичную работу проводил и наш ИТ-департамент, внедряющий в компании ITIL, я подключился к этому процессу со своей стороны. Взаимодействие с CIO позволило нам выработать соглашение о качестве обслуживания (SLA) и строго придерживаться его в работе с внутренними заказчиками. Учитывая, что и подразделения были соответствующим образом подготовлены, и метрики оценки эффективности были разработаны и утверждены, этот процесс прошел практически без проблем. Хотя сначала CIO скептически относился к идее выработки SLA по безопасности.
- Как вы предлагаете считать безопасность? В каких метриках? – спросил он меня на первой нашей встрече, посвященной внедрению ITIL.
- Все достаточно просто. Для простоты возьмем защиту трейдинговой онлайн-площадки с помощью межсетевого экрана. В качестве параметров для SLA могут выступать время на изменение или добавление правил разграничения доступа, время реагирования на атаки, время восстановления работоспособности атакованной системы и/или системы защиты и т.д.
- Интересно. Как-то не думал я о декомпозиции до такого уровня, - задумавшись, ответил мне CIO.
- Можно пойти и еще дальше и измерять, например, процесс подключения нового пользователя в информационную систему. Здесь у нас появляются такие показатели, как время ввода информации о новом пользователе, время его ежедневной регистрации в системе, время реагирования на запрос в Service Desk по поводу неудачного входа в систему, время смены пароля и т.д. И измерять эффективность этого процесса тоже можно. Как с помощью уже названных метрик, так и используя новые и сугубо внутренние параметры. Например, число удачных и неудачных попыток входа в систему за единицу времени или стоимость обработки и количество обращений в Service Desk, стоимость и время реагирования на инцидент, связанный с неудачной попыткой входа в систему и т.д.
- А что! Интересная мысль. Мы ведь так действительно сможем расписать все задачи, связанные с безопасностью и связать их с количественными характеристиками.

К внедренной ИТшниками системе Service Desk мы подключили наш небольшой центр управления безопасностью (security operations center) и получили единую точку входа на все возникающие в компании инциденты и проблемы. Учитывая, что все эксплуатационщики сидели в ИТ-департаменте и людей, работающих «руками» у меня не было, внедрение HelpDesk сильно упростило и нашу работу и взаимодействие со всеми остальными подразделениями, участвующими в информационной безопасности – ИТ, HR, внутренний аудит и т.д.

День пятый. Прощание

И вот настал день моего прощания с компанией. Меня пригласили во вновь образованную объединенную судостроительную компанию и я посчитал, что это будет интересным шагом в моем профессиональном развитии. Здесь процессы были налажены, и я не считал, что покидаю тонущий корабль.

Перед устроенной мной прощальной вечеринкой, я сидел в своем кабинете и вспоминал прошедшие годы. Я действительно добился много, несмотря на то, что сначала в успех моей затеи никто не верил. Безопасность воспринималась всеми как технологическая задача, и никто не связывал ее с бизнесом, не думал, что эффективность безопасности можно измерять и т.д. И хотя я понимал, что в мгновение ока цели не достичь, унывать я не собирался.

Я выделил стратегические цели бизнеса и увязал все свои проекты с ними. Я создал комитет по безопасности и заручился поддержкой всех руководителей бизнес-подразделений. Я смог выработать подход по оценке эффективности всех внедряемых процессов и решений. Не все руководство одобряло мои идеи и мне пришлось пустить в ход все свое красноречие и дипломатический талант, «обращая в свою веру» высокопоставленных руководителей.

- Повезло мне, - думал я. Если бы не достаточно высокий уровень зрелости компании и ее руководства, я врядли смог бы так вписаться в коллектив со своими «продвинутыми» идеями. Думаю, именно это и обусловило мой успех. В любой другой ситуации пришлось бы действовать по старинке, каждый раз с трудом выбивая несколько десятков тысяч долларов на приобретение или обновление средств защиты. Не знаю, что будет на новом месте? В любом случае, это я получил бесценный опыт, который смогу применить и на новой работе. Пока могу только заметить, что, как говорил руководитель несуществующей уже страны, «процесс действительно пошел» и от меня уже мало что зависит. Отдел работает, связи выстроены, процессы налажены. Главное поддерживать это все и не дать механизму сломаться…

- Михаил Васильевич, пора. - отвлек меня от размышлений голос помощницы Юли. - Все накрыто. Народ собирается…
- Ну что ж, пойдем. Негоже заставлять людей ждать…

 

Об авторе:
Алексей Викторович Лукацкий, консультант по безопасности Cisco Systems. Связаться с ним можно по тел. (495) 961-1410 или e-mail:alukatsk@cisco.com

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену