Когда я общаюсь с потенциальными заказчиками, то часто вижу очень простую вещь: представители ИБ-департаментов часто не понимают, от чего они должны защищать бизнес, и какую преследуют цель. Бизнес-показатели ИБ-директора часто выглядят достаточно размытыми или не координируются с топ-менеджментом.
Происходит это по двум причинам. Первая — в среднем, пока еще недостаточный уровень компетентности и профессиональности CISO. Причем здесь речь идет не о технической подкованности CISO и владении инструментами и технологиями, а именно об умении четко определить наиболее приоритетные цели и задачи и скоординировать их с бизнесом.
Вторая причина – недостаточный уровень зрелости бизнеса относительно роли информационной безопасности в современном мире и её потенциальном влиянии на бизнес. Иногда даже при наличии очень компетентного CISO компания не уделяет достаточно внимания вопросам информационной безопасности, как правило не осознавая всех рисков и потенциального ущерба, от которого правильно выстроенная система ИБ их может уберечь.
Возьмем для примера компанию-авиаперевозчика. Любая из них отвечает за жизнь и здоровье людей, и ИС каждой авиакомпании относится к объектам критической инфраструктуры. У такой компании, как правило, будет регламент охраны объектов, процедуры проверки пассажиров, стандарты обслуживания и так далее. И давайте себе представим, что описание методологий и регламентов таких проверок будет доступен легким нажатием мыши всем сотрудникам компании. Если злоумышленники увидят их, то смогут обойти проверки, что приведет к катастрофическим последствиям.
Похожие примеры можно без труда найти для банковской отрасли относительно инкассаторских процедур, для ритейла относительно цен и договоров с поставщиками и так далее.
Именно поэтому ИБ-директор не просто защищает компанию и ее клиентов от «хакеров», а комплексно управляет рисками бизнеса как единого механизма. Но стратегия «подумать о рисках заранее» в России пока еще практически отсутствует. Может быть, потому что рисков настолько много, что все равно нельзя все предусмотреть.
В результате с CISO даже крупного нефтеперерабатывающего предприятия иногда приходится вести диалоги вот такого формата:
- У вас же есть заводы. Вы их охраняете?
- Конечно же, мы их охраняем.
- А если произойдет «вот это», это повредит бизнесу?
- Да, повредит.
- У вас описание «этого» есть в документальном виде?
- Да, есть.
- А где оно лежит?
- Я не знаю, где оно лежит.
- Но вот здесь, наверное, тоже лежит?
- Да, вот здесь, наверное, тоже лежит.
- Если «это» попадет в руки людей, которые не должны этого видеть, наверное, будет плохо?
- Да, будет плохо.
- Давайте это выясним.
Разговор парадоксальный, но таких примеров много. Очень часто я вижу, что менеджмент не осознает, как именно безопасность данных влияет на их бизнес.
Противоположным примером могут служить медиакомпании. Когда кинохолдинги снимают новый сериал или фильм, то они понимают, что основной риск для них — чтобы материал не был выставлен до премьеры на торренты: это сильно повлияет на сборы и доходы от проката в сервисах. К сожалению, в других отраслях такого понимания ценности информационных активов нет.
В любой более-менее «продвинутой» западной компании есть должность «риск-менеджера» (Risk Officer). Это позиция на уровне C-level или по крайней мере, старшего менеджмента. И это человек, задача которого описывать риски, которые есть у бизнеса, и комплексно управлять ими. На сегодняшний день в России этой позиция почти не представлена.
На практике роль ИБ часто сводится к выбору инструментов защиты, а ИБ-директора работают в логике «тебя поставили сейчас управлять кибербезопасностью, вот и управляй». Но пока топ-менеджмент компании не в состоянии увидеть все опасности, эффективно защищать ее не получится.
Информационная безопасность должна начинаться с понимания и оценки общих рисков бизнеса. И только с момента, когда риски будут оформлены, понятны и определены, начинается этап их реализации. В этот момент ИБ-директору придется глубоко погружаться в бизнес-процессы организации. Но об этом, пожалуй, стоит поговорить отдельно.
