Недавно с коллегами обсуждали интересный вопрос – с чего начать CISOнедавно пришедшему в компанию, если до него полноценно ИБ не занимались, доверия от руководства ещё нет, бюджеты, выделяемые раньше на ИБ были минимальными, хочется в кратчайшие сроки укрепить лично свои позиции перед руководством, а службу ИБ вывести в состав важнейших, хотя бы на уровне службы ИТ?
Тут я вижу 3 варианта действий: бизнес подход, жесткий контроль, лучший специалист.
Вариант ИБ “бизнес подход”:
· Собрать комитет по ИБ
· Определить требования бизнеса к ИБ, цели и приоритеты
· Разработка концепции ИБ, политики менеджмента ИБ
· Определить показатели эффективности службы ИБ
· Довести до всех членов комитета важность вопросов ИБ
· Убедить всех членов комитета принять активное участие в дальнейших мероприятиях по ИБ
· Провести инвентаризацию, классификацию и оценку информационных активов
· Провести классификацию угроз и оценку рисков ИБ
· Составить план мероприятий по ИБ (обработки рисков ИБ), внедрения СУИБ и СМИБ
· Внедрить мероприятия, СУИБ, СМИБ
· Провести аудит , оценку показателей эффективности службы ИБ и доказать руководству свою значимость и эффективность
Выглядит слишком долгосрочным и негарантированным? Тогда быстрый вариант “жесткий контроль”:
· Получить на короткое время (испытательное) полномочия в корпоративной системе
· Развернуть небольшой пилотный или демо проект по контролю всех коммуникаций (электронная почта, переговоры, интернет, файловые хранилища, съемные носители, печать) и работой (скриншоты рабочего процесса) ряда пользователей. Даже если не найдем преступников, то будет обнаружено нецелевое использование ресурсов, халатность или нарушение этических норм
· Заказать недорогой внешний пентест и провести внутренней сканирование и как следствие понизить репутацию CIOи предстать единственным, кто может “спасти и сохранить” компанию
· В итоге предыдущей работы собрать компромат на половину топ менеджеров, подружится со второй половиной менеджеров, которые захотят получить доступ к компромату на коллег и послабления по контролю для себя
· В итоге собрать Комитет по ИБ, с поддержкой менеджеров получить бюджет на расширение системы тотального контроля на всю организацию и увеличение штата службы ИБ
· Через некоторое время нагнать страху на провести презентацию про пару новых, непонятных, но очень опасных угроз для Генерального директора и выбить бюджет ещё на несколько систем защиты мирового уровня (особой потребности для нас в этом нет, после внедрения системы тотального контроля, но ведь бюджет на ИБ нужно сделать побольше)
Цели достигнуты, бюджет и репутация в наличие, но вам кажется жестковатым? Тогда помягче вариант “лучший специалист” (хоть он не вполне достигает целей, но имеет место быть):
· Подход “главное не навредить”. Не делать ничего необдуманного, чтобы не потерять и так небольшую репутацию
· Сходить на обучение для CISO
· Научится готовить и читать презентации
· Изучить психологию
· Изучить популярные технологии обеспечения ИБ
· Изучить технологические процессы и системы компании
· Изучить различные методологии, стандарты и лучшие практики ИБ
· Ждать подходящего повода - пока руководство обратится за советом, помощью или случится критический инцидент
· Выдать и презентовать свой идеальный план, стратегию или политику для данного случая.
· Показав свой профессионализм, убедить руководство выделить ресурсы на реализацию плана и реализовать его
Вот такие получились варианты. Не готов сходу сказать что только один из них идеальный и подходит для всех случаев.
Интересно было бы услышать, какой-то ещё возможный вариант действий, а так-же о том, встречался ли вам успешный CISOв одной из этих трех ипостасей?
PS: статьи и заметки от коллег по этой теме:
Алексей Лукацкий. 5 дней из жизни CISO
Алексей Лукацкий. Психология для CISO
Александр Бондаренко. Вам достался отдел ИБ
Евгений Царев. Бизнес-курс для CISO
Дмитрий Орлов. Почему не нужен CISO?
