02.07.2007

Кто такие CISO и есть ли они в России?

image

Нередкая в последнее время ситуация, когда на англоязычной визитке многих российских руководителей по безопасности можно увидеть аббревиатуру CISO, т.е. Chief Information Security Officer. Если не брать в расчет моду и желание быть «в струе» современных тенденций, то насколько закономерно называть себя CISO в нашей стране? Сформировался ли у нас этот руководящий класс в области безопасности?

Нередкая в последнее время ситуация, когда на англоязычной визитке многих российских руководителей по безопасности можно увидеть аббревиатуру CISO, т.е. Chief Information Security Officer. Если не брать в расчет моду и желание быть «в струе» современных тенденций, то насколько закономерно называть себя CISO в нашей стране? Сформировался ли у нас этот руководящий класс в области безопасности?

C-level на Западе

Модные сегодня аббревиатуры CEO, CIO, CFO, COO и, конечно же, CISO пришли к нам с Запада с его корпоративной культурой и иерархией. Буква C (Chief) в любой из должностей говорит о принадлежности к высшей касте корпоративного управления. В отличие от распространенного мнения, что любой человек C-уровня обязательно подчиняется CEO (в российской традиции – генеральному директору), на практике это не всегда так. CEO один, а людей, облеченных высокими полномочиями в крупных компаниях (особенно в тех, которые ведут агрессивную политику слияний и поглощений) существенно больше. Поэтому даже на высшем уровне иерархии могут быть свои подуровни. Например, CIO может подчиняться COO, а CISO в свою очередь может подчиняться как CIO, так и CSO. Но в любом случае все CxO объединяет одно – принадлежность к топ-менеджменту и решение стратегических задач бизнеса. Именно бизнес и является главным в деятельности любого C-руководителя. COO оптимизирует операционную деятельность для улучшения показателей бизнеса, CFO управляет бизнесом с точки зрения финансов, CIO рассматривает ИТ именно с целью улучшения бизнес-показателей.

CISO там…

Некоторое время назад структура управления компанией подразумевала наличие линейных менеджеров, досконально знающих только свою область, но при этом не выходящих за его рамки (т.н. узконаправленные специалисты), и высшего руководителя (гендиректора, президента, совета директоров и т.д.). Однако сегодня ситуация трансформировалась. Один человек не в состоянии одинаково хорошо разбираться во всех направлениях бизнеса – ему жизненно необходимы помощники, которые понимают стратегию развития бизнеса и развивают компанию по своему направлению. Так и появляется C-уровень в компании, а вместе с ним главный финансист (CFO), маркетолог (CMO), технолог (CTO), айтишник (CIO) и конечно же безопасник (CSO и CISO). Всех этих людей объединяет одно – целостное восприятие бизнеса. Например, CIO. Это не начальник вычислительного центра и не человек, досконально разбирающийся в технологиях, протоколах, системах и т.д. (нередки ситуации, когда CIO вообще не имеет технического образования, хотя оно является нелишним). Он также не занимается закупками и не отвечает за настройку принтера. CIO ответственен за использование результата работы ИТ для повышения эффективности и, может быть, качества ведения бизнеса. Он не руководит HelpDesk’ом, но он может быть инициатором его создания, если будет доказано, что HelpDesk поможет понизить издержки, ускорить отдельные процессы, повысить удовлетворенность и лояльность потребителей и т.д.

А теперь, поняв, что такое человек с приставкой «Chief», мы можем перейти к описанию того, кто такой CISO и какова его роль в компании? Настройка средств защиты – это не задача CISO, этим занимается администратор безопасности или сетевой администратор. CISO также не занимается разработкой регламентов и процедур, выбором и тестированием конкретных средств защиты, обучением персонала, общением с поставщиками конкретных программно-технических решений и т.д. Вся деятельность CISO направлена на рост бизнеса или достижение других бизнес-целей, которые у разных компаний могут очень сильно различаться. Разумеется, действует CISO именно в своем русле – безопасности.

Вот, например, процесс слияний и поглощений. Современный бизнес вынужден развиваться в условиях жесткой конкурентной борьбы, что заставляет компании модифицировать стратегию расширения своего бизнеса. Например, путем экспансии на новые рынки или выпуска новой продуктовой линейки. Но как быть, если компания по тем или иным причинам не может выйти на новый рынок или не имеет времени и ресурсов (например, нужных патентов или технологий) на запуск нового продукта? Выход один – поглотить или слиться с компанией, у которой есть все необходимое. Такой путь также позволяет увеличить долю на рынке и даже стать его лидером, получить новую сеть распространения своих продуктов, купить нужные технологии или команды-разработчиков и расширить клиентскую базу. Иными словами, данный процесс - классическая область внимания высшего руководства. Но причем тут CISO? Разве процесс слияния и поглощения – это не просто финансовая сделка, не требующая участия технического персонала? Что полезного могут привнести специалисты по безопасности в процесс M&A? Распространенная точка зрения, являющаяся результатом неправильного понимания роли CISO, как технического руководителя. В этом случае, действительно, CISO будет лишним. Но если CISO во главу угла ставит бизнес, то все сразу встает на свои места.

Представьте, что информация о сделке просочилась наружу до окончательного подписания всех документов. Акции приобретаемой компании взлетели до небес и компания-покупатель вынуждена либо переплачивать вдвое-втрое, либо отказываться от сделки. Или, например, финансовый директор в своем интервью обронил фразу про планируемое слияние, конкуренты подняли шумиху в прессе, надавили на правительственные рычаги. В результате сделка срывается. И, наконец, последний пример. В результате слияния активов двух компаний, недовольные сотрудники начинают саботировать работу, вплоть до откровенного вандализма. Но если с физическим вандализмом бороться достаточно просто (и видеонаблюдение помогает, и статьи в УК/КоАП довлеют над вандалами карающим мечом), то с компьютерным или информационным вандализмом бороться гораздо сложнее. Недооценка вопросов безопасности может дорого обойтись компании. Руководитель отдела ИБ, не допущенный на верхний уровень иерархии, часто узнает о покупке какого-либо актива из газет или телевидения. А вот CISO по своему положению допущен к таким планам.

Другой пример. В процессе анализа рисков выяснилось, что существующая система защиты не справляется с поставленными задачами. Классический директор по информационной безопасности займется скорее модернизацией СЗИ, как единственно верным способом решения задачи. CISO думает шире. Он может пойти по пути, лучшему для компании, не взирая на то, «завязан» он с какими-то техническими решениями или нет. Например, полностью отказаться от несостоявшейся системы защиты и сконцентрироваться на обучении сотрудников. В данной ситуации CISO не скован только техническими способами решения проблем. Аналогичная ситуация с обучением и повышением осведомленности персонала (security awareness). У директора по ИБ времени на это почти не остается, а для CISO – это одно из важнейших направлений деятельности.

И, наконец, последний пример, демонстрирующий отличие CISO. Встав перед задачей приобретения системы защиты, обычный начальник отдела информационной безопасности будет стараться выбить максимальную скидку из производителя, сконцентрировав на этом все свои усилия. И финансовому директору он понесет счет, слагаемый из стоимости системы защиты и ее поддержки в течение года. CISO будет боле осмотрительным. Он не только сделает расчет совокупной стоимости владения (TCO), которая может раз в пять превышать «голую» стоимость системы защиты, но и продумает вариант снижения финансового бремени на свою компанию за счет различных лизинговых схем. Ведь лизинг средств безопасности положительно влияет на многие финансовые показатели предприятия – снижение налога на прибыль и имущество, ускоренная амортизация, отсутствие проблем со списанием оборудования и т.д. CISO в данном случае выступает в роли мини-CFO, что и отличает его от классического директора по ИБ.

Иными словами CISO должен иметь авторитет не только в глазах подчиненных (и без технического бэкграунда тут не обойтись), но и в глазах руководства. Возможно для этого ему понадобится пройти обучение по программе MBA. Однако в любом случае техническая составляющая для CISO вторична, т.к. первичен именно бизнес.

…и тут

Учитывая все вышесказанное, нельзя не признать, что в России «CISO на визитке» гораздо больше, чем CISO согласно западной традиции. У нас скорее развит класс директоров по информационной безопасности, руководителей отделов по защите информации или просто менеджеров/офицеров безопасности. Однако, учитывая, что они и являются самыми главными «ответственными» за безопасность в своих компаниях, а в аббревиатуре CISO первая буква расшифровывается как «главный», большинство из них считает себя именно CISO.

При этом у нас часто ставится знак равенства между информационной безопасностью и ИТ-безопасностью, что совсем не одно и тоже. Например, хранение бумажных документов тоже входит в сферу ИБ, но не в сферу ИТ-безопасности.

Если разбить всю деятельность, связанную с обработкой информации в компании на уровни, то все сразу встанет на свои места (см. рис.1). На нижнем уровне находится инфраструктура, по которой передаются различные, т.н. «сырые» данные. Оборудование, работающее на этом уровне (маршрутизаторы, коммутаторы, межсетевые экраны, системы предотвращения атак, антивирусы и т.д.) не делают разницы между ними, т.к. не знакомы с их содержанием. Есть, конечно, некоторые исключения, когда на этом уровне делается попытка связать данные с контекстом (например, в концепции Cisco Application-Oriented Network, AON), но пока это скорее исключение, чем правило. Именно на этом уровне «трудятся» большинство российских CISO, которые по сути своей выполняют только функцию директора по ИТ-безопасности.


Рис. 1. Уровни управления информацией

На втором уровне у нас находятся информационные (в последнее время они часто стали получать приставку «бизнес») системы – ERP, CRM, SCM, DRP, биллинг и т.д. Опираясь на инфраструктуру, они облегчают решение различных бизнес-задач. Вот тут у нас уже начинается провал. Не так часто мне приходилось видеть людей, которые бы занимались безопасностью именно на этом уровне. Собственно и сами производители средств защиты не так часто балуют своим вниманием этот уровень. И, наконец, на высшем уровне у нас находится результат работы бизнес-систем – информация, которой и руководствуется предприятие для принятия тех или иных решений. Именно информация, формат представления которой может быть различным – электронный, бумажный, устный. Настоящий CISO думает о том, как защитить информацию во всех ее проявлениях, не только цифровом.

Еще одна тема, в отношение которой мнение CISO и не-CISO различаются – сертификация (аттестация) по требованиям безопасности. Для многих «технарей от безопасности» сертификация по тем или иным требованиям – это либо лишняя трата сил и денег, либо задача, решение которой обязательно (промежуточные варианты редки). Наличие той или иной бумаги не делает компанию более защищенной, - так думают некоторые из них и это вполне адекватная точка зрения… для технаря. Для него основная задача, чтобы система защиты работала и критичные ресурсы были под надежной охраной недремлющего ока. Для других получение заветной бумаги часто является самоцелью, не взирая на реальную потребность. У CISO эта задача расширяется. Ему надо не только обеспечить защиту информационных активов, но и соблюсти множество различных требований к его компании. Потому что он смотрит на проблему не только шире технического специалиста, но и немного иначе. Соответствие требованиям рассматривается с позиции управления рисками. Т.е. мы взвешиваем все «за» и «против». Если риск от несоблюдения требований безопасности не очень велик, а стоимость мероприятий по снижению этого риска велика, то благоразумной стратегией будет принятие этого риска, а не попытка всеми правдами и неправдами, не взирая на затраты, получить все нужные сертификаты. С другой стороны. Если получение сертификата может стать конкурентным преимуществом, является обязательным требованием при выходе на новые рынки сбыта, защищает от законодательного преследования или увеличивает стоимость компании, то такая сертификация получает необходимую поддержку. Но в любом случае сертификация не является самоцелью, а нужна только как инструмент решения бизнес-задач.

Заключение

Проблема отсутствия достаточного количества топ-руководителей по безопасности не только в отсутствии понимания/желания/времени у самих псевдо-CISO для перехода в разряд настоящих CISO. Ситуация усугубляется невысоким уровнем зрелости руководства российских компаний. CIO по-прежнему считается начальником ВЦ, а CISO, как человек отвечающий за «черный ящик»; ведь именно так часто воспринимается безопасность. Осознание правильной роли безопасности в компании – первый шаг к тому, чтобы у нас стала формироваться прослойка CISO. Пока это, правда, не происходит. Функциональные директора или «чифы», поднявшиеся до уровня CEO часто переносят свой прежний взгляд и на управление компанией в целом. А подход этот не очень оптимистичный. Суть его заключается в следующем: «Мы зарабатываем деньги, а вы (ИТ, безопасности, юристы, бухгалтерия и т.д.) – дармоеды и только тратите мои деньги». Т.е. ни о каком целостном подходе речи не идет, «поддерживающие» направления плетутся в хвосте и стратегический подход по ним попросту отсутствует из-за отсутствия поддержки высшего руководства. Перефразируя известно правило – «верхи не хотят, а низы не хотят».

Но я верю, что совсем скоро ситуация кардинально изменится и у нас действительно появятся CISO в достаточном количестве. Они будут обладать не только профильными знаниями по безопасности, но и будут понимать ИТ, экономику, финансы, управление персоналом и многие другие важнейшие дисциплины. Российский CISO будет не столько заниматься операционной деятельностью, сколько отслеживать перспективные тенденции в области безопасности и их влияние на бизнес своей компании. Он будет заниматься стратегическим управлением вверенного ему хозяйства, искать новые пути решения насущных проблем и быть одним из драйверов развития бизнеса своего предприятия.

 

Об авторе:
Алексей Викторович Лукацкий, бизнес-консультант по безопасности Cisco Systems.

Эта статья была опубликована в 3-м номере "Защита информации. Инсайд".

или введите имя

CAPTCHA
Страницы: 1  2  
03-07-2007 00:03:38
Из статьи (да и из жизни) совершенно не очевидно, что в скором времени что-то изменится. Тем более, что с ростом заработной платы специалистов относительно стоимости "коробочных" или внешних решений - наиболее привлекательным для непрофильной компании видится аутсорсинг IT направлений. О каком тогда участии в бизнесе может идти речь?
0 |
03-07-2007 17:49:12
И что? Мы же говорим о CISO, а не админе. CISO в компании все равно будет и именно он будет участвовать в бизнесе, а вот реализация его требований будет выполняться аутсорсером.
0 |
03-07-2007 07:49:49
Я бы тоже хотел верить что ситуация измениться, но ..... вряд ли. И вопрос даже не в том что появятся ли CISO? А вопрос в другом. В том что угроз безопасности ИТ становиться все больше и больше, причем обратно пропорционально развитию новых технологий ИТ. Т.е. чем больше внедряется технологий ИТ в компании (а этот процесс необратим, бизнес требует новые технологии), то тем более выше вероятность угроз. Я думаю это уже аксиома. Так вот даже если в компании появиться должность CISO, то ему придется ломать стереотипы и отчасти менталитет как руководящего звена, так и армии пользоваелей. Необходимо отказаться от многих технологий и строго регламентировать процесс внедрения и использования технологий ИТ. А это далеко не просто и долго года два три. Даже больше скажу, в виду того что штаты большинства компаний строятся по принципу брат,сват,зять, то это вообще НЕВОЗМОЖНО. CISO не сможет повлиять на ситуацию в таких компаниях!!! (Речь идет о компаниях вне г.Москвы, перефирия России и как мне кажеться чем дальше от центра РФ тем ситуация с ITsec будет ухудшаться)
0 |
1
03-07-2007 08:41:13
Согласен с предыдущими постами, однако, какая может быть у нас корпоративная культура, если все структура построена не по принципу достижения максимального результата, за счет использования профессионалов, а по принципу личной преданности и родственных отношений, а результат в этом случае как говорится не имеет значения.Когда я окунулся в это дело, то просто некоторое время был в шоке, потому как если такая конфигурация еще допустима в бюджетной сфере, в силу специфики, то в бизнесе такого себе даже представить не мог, однако это так. Вывод: мы никогда не будем жить как на Западе, никогда не достигнем их производительности труда, а следовательно мы будем неконкурентноспособны, и в целях выживания данная сложившаяся система несомнено будет уничтожена в скором времени, со всеми вытекающими отсюда последствиями и издержками. Потому как то что есть, уже трудно назвать болезнью роста, скорее это врожденный порок(на генетическом уровне).
0 |
03-07-2007 14:39:13
Спасибо за статью, Алексей! Приятно снова видеть Вас здесь, а то что-то сайт стал скатываться в рекламно-холиварное болото в последнее время. Чуть критики, если позволите: 1. Увы, если CFO захотел чего-то ляпнуть, то он таки ляпнет не взирая ни на каких CISO и ничего тут не поделать. Особенно если он (она) - бывший главбух. Это уже вопрос общей корпоративной культуры... 2. Помимо достаточно редкого случая слияния компаний тем не менее в статье нет примера ни одной реальной бизнес-задачи, где CISO может с цифрами в руке доказать свою пользу. Снова мы на старых граблях сидим - помимо сертификации для IPO или местных законодательных кренделей ничего, доказывающего фин. выгоду ИБ. Но ведь она ж есть! Только требует действительно хорошего описания и доказательства...
0 |
03-07-2007 16:30:16
На п.2 - чтобы получить конкретные цифры как минимум нужна статистика реальных случаев нарушения ИБ, иначе все это одна говорильня и брехня - и ни одна методика не поможет. А у нас пока не привыкли статистику собирать (не исключаю конечно же единичных случаев) - поэтому и доверия нет к словам "надо обеспечить ИБ"... а на сколько надо? В основном если дела и идут, то только как дань моде, топ-менеджменту промывают мозги на семинарах и в средствах массовой информации - "пугают страшными случаями"...
0 |
03-07-2007 17:54:53
Финансы - не единственное, что может доказать нужность ИБ. Есть еще Compliance, который в последнее время стал очень важен для многих руководителей (не всех конечно).
0 |
04-07-2007 10:58:26
Compliance, в сущности, нужен в двух случаях - та же сертификация для IPO или кредитов или как личная медалька на грудь топ-менеджменту. Во втором случае топ-менеджмент должен быть наемным, т.к. хозяину эти "медальки" до глубокой ... Его только деньги интересуют. Пугалки чужими инцидентами - позавчерашний день, нужны новые доводы. Например - снижение текучки кадров, меньшее количество ошибок и т.д. Это уже хозяин поймет. Да и статистику такую собрать намного и легче и не надо ждать пока гром грянет. Как-то от таких вещей надо отталкиваться, но вот стройной картины у меня в голове пока нет...
0 |
04-07-2007 13:57:11
В соответсвии с основной мыслью статьи, необходимо рассматривать ИБ как часть бизнесс-процесса, о основная цель бизнеса - деньги... так по-моему. Поэтому согласен с предыдущим мнением, реально хозяин может проникнуться серцем только через деньги, а все остальные доводы - пальцеростопырство... И тут кропотливый труд - статистика (кадры, ошибки, нарушения, утечка -> потери в деньгах), а уж потом и Compliance и т.д. и т.п. как закреплющий фактор.
0 |
04-07-2007 16:32:16
читаю в названии статьи - SICO )))))
0 |
Страницы: 1  2