Общее. С чего начать CISO?

Общее. С чего начать CISO?

Недавно с коллегами обсуждали интересный вопрос – с чего начать CISOнедавно пришедшему в компанию, если до него полноценно ИБ не занимались, доверия от руководства ещё нет, бюджеты, выделяемые раньше на ИБ были минимальными, хочется в кратчайшие сроки укрепить лично свои позиции перед руководством, а службу ИБ вывести в состав важнейших, хотя бы на уровне службы ИТ?

Тут я вижу 3 варианта действий: бизнес подход, жесткий контроль, лучший специалист.

Вариант ИБ бизнес подход”:
·         Собрать комитет по ИБ
·         Определить требования бизнеса к ИБ, цели и приоритеты
·         Разработка концепции ИБ, политики менеджмента ИБ
·         Определить показатели эффективности службы ИБ
·         Довести до всех членов комитета важность вопросов ИБ
·         Убедить всех членов комитета принять активное участие в дальнейших мероприятиях по ИБ
·         Провести инвентаризацию, классификацию и оценку информационных активов
·         Провести классификацию угроз и оценку рисков ИБ
·         Составить план мероприятий по ИБ (обработки рисков ИБ),  внедрения СУИБ и СМИБ
·         Внедрить мероприятия, СУИБ, СМИБ
·         Провести аудит, оценку показателей эффективности службы ИБ и доказать руководству свою значимость и эффективность

Выглядит слишком долгосрочным и негарантированным? Тогда быстрый вариант “жесткий контроль”:
·         Получить на короткое время (испытательное) полномочия в корпоративной системе
·         Развернуть небольшой пилотный или демо проект по контролю всех коммуникаций (электронная почта, переговоры, интернет, файловые хранилища, съемные носители, печать) и работой (скриншоты рабочего процесса) ряда пользователей. Даже если не найдем преступников, то будет обнаружено нецелевое использование ресурсов, халатность или нарушение этических норм
·         Заказать недорогой внешний пентест и провести внутренней сканирование  и как следствие понизить репутацию CIOи предстать единственным, кто может “спасти и сохранить” компанию
·         В итоге предыдущей работы собрать компромат на половину топ менеджеров, подружится со второй половиной менеджеров, которые захотят получить доступ к компромату на коллег и послабления по контролю для себя
·         В итоге собрать Комитет по ИБ, с поддержкой менеджеров получить бюджет на расширение  системы тотального контроля на всю организацию и увеличение штата службы ИБ
·         Через некоторое время нагнать страху на  провести презентацию про пару новых, непонятных, но очень опасных угроз для Генерального директора и выбить бюджет ещё на несколько систем защиты мирового уровня (особой потребности для нас в этом нет, после внедрения системы тотального контроля, но ведь бюджет на ИБ нужно сделать побольше)

Цели достигнуты, бюджет и репутация в наличие, но вам кажется жестковатым? Тогда помягче вариант “лучший специалист” (хоть он не вполне достигает целей, но имеет место быть):
·         Подход “главное не навредить”. Не делать ничего необдуманного, чтобы не потерять и так небольшую репутацию
·         Сходить на обучение для CISO
·         Научится готовить и читать презентации
·         Изучить психологию
·         Изучить популярные технологии обеспечения ИБ
·         Изучить технологические процессы и системы компании
·         Изучить различные методологии, стандарты и лучшие практики ИБ
·         Ждать подходящего повода - пока руководство обратится за советом, помощью или случится критический инцидент
·         Выдать и презентовать свой идеальный план, стратегию или политику для данного случая.
·         Показав свой профессионализм, убедить руководство выделить ресурсы на реализацию плана и реализовать его  

Вот такие получились варианты. Не готов сходу сказать что только один из них идеальный и подходит для всех случаев.

Интересно было бы услышать, какой-то ещё возможный вариант действий, а так-же о том, встречался ли вам успешный CISOв одной из этих трех ипостасей?


PS: статьи и заметки от коллег по этой теме:

Алексей Лукацкий. Бизнес-курс для CISO
Дмитрий Орлов. Почему не нужен CISO?
Дмитрий Орлов.  CISO. Проведение презентаций 1 и 2


отдел ИБ Общее CISO
Alt text

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.