Специфика работы департаментов ИБ заключается в том, что даже самый тяжелый труд никогда не приносит компании доход. Поэтому бизнес-департаменты воспринимают ИБ скорее как наложенное ограничение и относятся к ней с определенной предвзятостью. Именно поэтому директору по информационной безопасности недостаточно досконально понимать суть бизнеса и трезво оценивать его зрелость с точки зрения безопасности. Ему также важно правильно позиционировать себя внутри организации — проще говоря, быть хорошим «корпоративным игроком».
CISO всегда живет «на кромке»: с одной стороны, топ-менеджмент и сотрудники знают, что безопасность важна, и отказываться от нее нельзя. С другой стороны, требования ИБ — это фактор, сдерживающий инициативы бизнес-подразделений. Поэтому очень часто имеет место быть диалог такого рода:
Бизнес: «Мы хотим запустить вот такой новый сервис».
Информационная безопасность: «Нет, так нельзя».
Бизнес: «Хорошо, тогда давайте сделаем вот так».
ИБ: «Ну нет, так тоже нельзя».
Бизнес: «Хорошо, а как можно?».
ИБ: «Это уж вы сами решите. А мы вам скажем, можно или нельзя».
Понятно, что этот пример не является образцовым и после такого диалога понимание между зарабатывающим подразделением и департаментом безопасности теряется безвозвратно, что приводит к непредсказуемым последствиям. Чтобы этого не происходило, ИБ-директору нужно обладать следующими навыками, т.н. «софт скиллами»:
Первое — Уметь позиционировать свою точку зрения и убеждать
Люди в компании разные, и относиться к безопасности будут по-разному. Но для CISO важно выстроить систему отношений так, чтобы к нему прислушивались, уважали и, главное, понимали зачем он делает свою работу. Для этого в диалогах, подобных описанному выше, нельзя просто говорить «нет». Нужно аргументировать, убеждать, показывать путь развития событий — но ни в коем случае не оставаться «собакой на сене».
Подобные ситуации нужно уметь разрешать, трансформируя разногласия во что-то понятное, логичное; мотивируя людей думать и работать в одном направлении.
Второе — Оценивать риски: свои, руководства, бизнеса
Важно оценивать не только сами риски безопасности, но и то, насколько хорошо их понимает руководство компании. Это поможет выстраивать своеобразные «центры приложения усилий»: понимать, с кем именно особенно важно выстроить отношения, чтобы получить максимум возможностей для развития системы информационной безопасности. Такой подход помогает решить основную дилемму ИБ-директора, когда, с одной стороны, недостаточно полномочий и инструментов, чтобы влиять на ситуацию, а с другой — нести полную ответственность в случае инцидента.
Типичный случай: руководство дает ИБ-директору полный карт-бланш, но в работе все упирается в «полевых игроков» с сильной репутацией. Они не согласны с предлагаемыми ИБ-директором ограничениями, не хотят идти на уступки и — принося бизнесу деньги — могут себе это позволить. Когда кто-то приносит 50% прибыли компании, его очень тяжело убедить, какие бы ИБ-политики он не нарушал. Понимая, где находятся в компании подобные «центры силы», ИБ-директор может сделать гораздо больше.
Третье — Уметь «страховать» свои риски
Инцидент — это одновременно и «звездный час» ИБ-директора (все сразу понимают важность инвестиций в кибербезопасность), и его самый страшный кошмар. Именно в этот момент важно убедить руководство и сотрудников, что были предприняты все необходимые меры. Подготовьтесь к ним заранее.
Продумайте, как вы будете выстраивать коммуникацию с коллективом в случае, если (а вероятнее, когда) случится беда. Заранее собирайте все служебные записки, в которых предупреждали о потенциальных брешах. Фиксируйте все бюджеты, которые были запрошены, и сколько средств реально выделено. Учитесь убеждать людей в том, что каждый инцидент — это повод укреплять защиту.
Четвертое — Выстраивать культуру ИБ и управлять ожиданиями
Чего ожидает компания от директора по ИБ? Что инцидентов не будет. Что у ИБ будет минимальное негативное влияние на бизнес. Что на ИБ можно будет тратить не слишком много средств.
Будут и ожидания на уровне руководства, которые нужно прорабатывать непосредственно с руководящим составом. Спрашивайте о том, чего ждет каждый ключевой руководитель — и понимает ли он вообще, чего ждет. Чаще всего, эти ожидания нужно формировать самостоятельно.
Да, все понимают, что ИБ — это важно. Что на компьютере, условно, должен быть установлен антивирус и еще какие-то сложнопроизносимые системы. А чем конкретно занимается департамент ИБ уже никого, по большему счету, не волнует. Картину будущего нужно формировать самостоятельно и проактивно.
Кроме того, есть определенная культура на уровне коллектива компании, и ей тоже нужно управлять. На этом уровне уже не нужно убеждать: необходимо реализовывать мероприятия, повышающие уровень «ИБ-гигиены»: тестирования, рассылки, обязательные курсы по ИБ-грамотности. К ним же относятся активности, в рамках которых CISO рассылает “honey pots” или псевдофишинговые письма, чтобы увидеть, кто «попадется» и понять, какой процент сотрудников попадется на удочку реальных злоумышленников. Обучение и разъяснительная работа — важная часть культуры информационной безопасности, которая должна пронизывать компанию от уровня топ-менеджмента вплоть до внештатных сотрудников.
