Как стать директором по ИБ (CISO). Часть 3: завоёвываем доверие коллег за 100 дней

Несмотря на то, что должность директора по информационной безопасности (CISO) в последнее время стала более важной, престижной и прибыльной, чем когда-либо, такой специалист берёт на себя большую ответственность и высокие риски.

Учитывая критический характер и высокие ставки позиции, первое впечатление имеет первостепенное значение. Подойдите к первым 100 дням на новой должности директора по информационной безопасности как к ключевому периоду, чтобы выполнить следующее:

• создать свой профессиональный бренд;
• завоевать доверие;
• заручиться внутренней поддержкой;
• установить свою стратегию;
• продемонстрировать свою ценность для компании.

Крайне важно сразу установить тон, который уравновешивает прозрачность со стандартами, подотчетность с пониманием, компетентность со смирением и готовностью учиться.

Дорожная карта CISO

Как новый директор по информационной безопасности, сразу составьте список ближайших и долгосрочных целей, который вы продолжите обновлять в ближайшие дни, недели и месяцы.

До первого рабочего дня: Подготовка

Узнайте всю необходимую информацию, которую можете:

• Компания. Проведите всестороннее исследование своей организации, даже если новая должность — это продвижение по карьерной лестнице в компании, в которой вы проработали много лет. Изучите миссию и основные цели организации, а также оцените, насколько безопасность соответствует более широкому бизнес-контексту. Просматривайте новостные статьи, интервью и другой доступный контент об организации, уделяя особое внимание любым инцидентам безопасности и проблемам, которые могут повлиять на кибербезопасность.
• Бывший директор по информационной безопасности. Узнайте все, что возможно, об уходящем директоре по информационной безопасности — о его сильных и слабых сторонах. Ваш предшественник вполне мог добиться положительных результатов в своей работе и уйти в хороших отношениях. В любом случае, полезно знать о работе и причине ухода вашего предшественника, будь то переход на ту же должность в более крупную компанию или увольнение после крупного инцидента с безопасностью.
• Ваши полномочия. Нужно оценить свои полномочия — что компания хочет от вас получить, а также изучите текущие проблемы безопасности. К концу первых 100 дней работы вы и заинтересованные лица должны иметь четкое представление о своей роли, обязанностях и целях руководителя службы безопасности.
• Технологии. Узнайте как можно больше о любых инструментах, системах и услугах, которые используются в организации.
• Заинтересованные стороны. Узнайте всё об основных заинтересованных сторонах, включая вашего начальника, исполнительное руководство, ключевых руководителей подразделений и специалистов группы безопасности. Чем больше вы знаете о происхождении, сильных сторонах и недостатках своих коллег, тем лучше.
• Темы для разговора. Составьте краткую профессиональную биографию, на которую вы сможете опереться, представляя себя новым коллегам, и подготовьте несколько вопросов, которые помогут вам получить общее представление о коллективе.

Первая неделя: Сотрудники

В первые дни работы только смотрите и слушайте.

Некоторые проблемы кибербезопасности компании могут стать очевидными сразу, но не стремитесь вносить какие-либо изменения в течение первой или двух недель. Сначала необходимо просто понаблюдать и понять текущую ситуацию в безопасности фирмы.

Первое и самое главное – узнать о людях. Поговорите с сотрудниками службы безопасности и узнайте об их обязанностях, а также о том, как они выполняют свою работу. Вам нужно узнать:

• как они координируют и проводят встречи;
• как они обнаруживают и решают проблемы безопасности;
• как отдел безопасности работает с ИТ-операциями;
• как ИБ-отдел взаимодействует с управлением рисками и направлениями бизнеса.

Также познакомьтесь с другими ключевыми работниками – руководителями, начальниками отделов и другими соответствующими сотрудниками.

Первый месяц: Процессы и технологии

Как только вы изучите человеческий фактор, начните оценивать существующие процессы безопасности. Этот обзор должен включать следующее:

• Архитектура и стратегия безопасности. Установите, существует ли формальная архитектура безопасности и документация по стратегии. Если да, сравните эти данные с бизнес-целями и готовностью организации к риску, и отметьте любые очевидные пробелы или несоответствия. Если документации нет, сделайте ее разработку и формализацию стратегии безопасности приоритетной задачей.
• Внутренние планы реагирования на инциденты, аварийного восстановления и обеспечения непрерывности бизнеса. Оцените, выполняются ли существующие планы реагирования на инциденты, аварийного восстановления и обеспечения непрерывности бизнеса надлежащим образом в случае атаки программ-вымогателей.

Кроме того, необходимо знать, как часто команда безопасности и организация в целом проводили тренировки, чтобы претворить эти планы в жизнь. Часто компании проводят ежегодные экзамены, но этого недостаточно – практика требует ежеквартальных экзаменов.

Если с момента последнего экзамена прошло не менее 6 месяцев, рассмотрите возможность проведения учений, чтобы увидеть, насколько хорошо сотрудники службы безопасности, ИТ-персонал и другие заинтересованные стороны реагируют на инцидент безопасности. Так вы поймёте, нуждаются ли процессы существующих планов в корректировке и других изменениях.

• Средства и технологии безопасности. Составьте список инструментов и технологий, используемых в настоящее время, и отметьте, как их использует группа безопасности. Изучите требования безопасности компании и оцените следующее:
• соответствуют ли имеющиеся инструменты поставленным задачам;
• соответствуют ли несколько инструментов одним и тем же требованиям;
• есть ли у персонала надлежащая подготовка для использования инструментов и технологий;
• необходимы ли дополнительные инструменты и технологии для удовлетворения основных требований безопасности.

Таким образом вы обнаружите существующие пробелы, будь то в инструментах, обучении или интеграции.

После первого месяца работы: Сформулируйте свое видение и действуйте в соответствии с ним

После того, как вы полностью оцените программу безопасности вашей компании, включая ее сотрудников, процессы и технологии, рассмотрите ее слабые стороны. Составьте список стратегических приоритетов, которые устранят существующие пробелы в безопасности — в соответствии с готовностью компании к риску и высокоуровневыми бизнес-целями — и сгруппируйте каждый из них в одну из следующих групп:

1. Краткосрочные приоритеты: легко и недорого. Определите срочные меры, которые ИБ-команда может предпринять для повышения безопасности, не тратя много времени или денег. Сюда может входить устранение лишних инструментов и внесение небольших изменений в план реагирования на инциденты, например, обновление контактной информации. Выполните эти действия, чтобы укрепить безопасность и завоевать доверие в начале вашего пребывания в должности.
2. Среднесрочные приоритеты: значительные и относительно доступные. Определите существенные пробелы в безопасности, которые можно устранить относительно быстро и недорого. Это может включать в себя реорганизацию компании, обучение персонала службы безопасности, внесение существенных изменений в план реагирования на инциденты и интеграцию инструментов.
3. Долгосрочные приоритеты: важно и дорого. Здесь нужно определить важные проблемы, которые необходимо исправить, но для этого требуется больше времени и ресурсов. Например, решите проблему нехватки кадров и добавьте необходимые инструменты и ​​услуги, которые не учитываются в текущем бюджете.

Заключение

Следование принципам, описанным в статье, позволит новому директору по информационной безопасности на новой должности завоевать доверие коллег и своего руководства. Изучив необходимую информацию о компании, коллективе и системе безопасности организации, CISO сможет построить надёжную защиту с надлежащими инструментами и планами в случае кибератак.