Вопрос корпоративной ответственности за обеспечение информационной безопасности бизнеса возникает не часто, а очень часто. И плох тот безопасник, а тем более блоггер по этой теме, у которого нет на этот счет единственно правильногособственного мнения. Разрешите поделиться своими размышлениями на эту тему.
Начнем с того, что все сложно, потому что в пост-советской управленческой практике существует мощный и неискоренимый атавизм: дележ ответственности между генеральным директором и главным бухгалтером. В действительности же рисков у современного бизнеса намного больше, чем умещается в компетенции этих двоих несчастных. Но при этом документально делегировать ответственность внутри компании никто из них не спешит в надежде на авось. Информационная безопасность, естественно, им обоим совершенно не важна. Ну, или это они так считают.
А что, если абстрагироваться от социалистической реальности? То есть, что нам по этому поводу советует "международная практика"? В больших энтерпрайзах процветает разделение ответственности между "корпоративными офицерами". Каждый, кто наделен какой-нибудь ответственностью, гордо называется аббревиатурой с заглавной буквы C. CEO (Chief Executive Officer), CFO (Chief Financial Officer), CTO (Chief Technology Officer), CIO (Chief Information Officer), CMO (Chief Marketing Officer), COO (Chief Operations Officer) etc. Если менеджер хочет чем-то руководить, но при этом опасается ответственности, то ему дают меньше денег, называют вице-президентом по чему-то там и подчиняют тому, у кого кишка по-толще, то есть, офицеру.
Что мы имеем в небольших энтерпрайзах, так называемом SME (Small and Medium Entrprise). Когда ответственности много, а (денег на) офицеров мало, обычно оставляют у руля двоих: CEO & CFO. Первому поручают генерировать прибыль, а второму все-все контролировать. Остальное начальство подчиняется одному из этих джентльменов соответственно своему роду деятельности. Может показаться забавным, но ИТ-директор и начальник ИБ при этом обычно подчиняются финдиру, а технический, операционный и прочие производственные директора отходят к генеральному. Так же, как маркетологи и продавцы. Если вы правильно поняли принцип, для вас не составит труда определить, под чье начало поместить кадры и логистику (можете оставить ответ в комментариях).
Кто из офицеров главный зависит от актуального периода жизни компании. Если бизнес на подъеме, ни о каком комплаянсе или безопасности никто париться не станет: нужно рубить денежные знаки, пока есть такая возможность. Это пора властвования CEO. Если же рост бизнеса стабилизирован, то модно начинать внедрение внутренних контролей, оптимизировать бизнес процессы, а иногда даже заниматься безопасностью. Как и во время спада или кризиса, это период доминирования CFO.
Такое чудо, как CISO (Chief Information Security Officer), встречается крайне редко и на это должны быть очень веские причины. Речь идет именно о корпоративном офицере, который обладает всем спектром полномочий и подотчетен совету директоров. Это как раз тот случай, когда сбывается мечта стремящихся подчинить ИБ как можно выше. В большинстве же случаев CISO называется самый главный безопасник, то есть, начальник отдела или департамента ИБ в составе подразделения ИТ или общей безопасности.
Прелесть и проклятие ИБ, как рода деятельности, заключается в том, что вам никогда не удастся построить эффективные процессы безопасности если вы либо а) не продадите свои идеи Самому Главному Менеджеру (в зависимости от того, кто сейчас в фаворе), либо б) не продадите эти идеи сразу всем влиятельным руководителям в компании - каждому ту их часть, которая ему больше импонирует. В случае с вариантом а) у вас будет возможность построить процессы ИБ из-под палки и при этом все ваши достижения будут основываться на влиянии одного человека и могут кануть в лету с его уходом или ослаблением. Вариант б) более практичен и устойчив к сбоям, но при этом куда более трудоемок.
Какую из этих стратегий выбрать каждый решает самостоятельно. Одно предостережение: не вините в неудачах недостаток полномочий. Да, полномочия могут оказать неоценимый вклад, но также могут и навредить в результате искусственного насаждения инородных по отношению к целям бизнеса средств защиты. Это подход искусственный и заведомо безвыигрышный. Помните, что безопасность, это не проект, не продукт, и даже не процесс. Безопасность, это неотъемлемое свойство и качество других бизнес-процессов компании, вернее тех из них, которые нуждаются в безопасности.
Начнем с того, что все сложно, потому что в пост-советской управленческой практике существует мощный и неискоренимый атавизм: дележ ответственности между генеральным директором и главным бухгалтером. В действительности же рисков у современного бизнеса намного больше, чем умещается в компетенции этих двоих несчастных. Но при этом документально делегировать ответственность внутри компании никто из них не спешит в надежде на авось. Информационная безопасность, естественно, им обоим совершенно не важна. Ну, или это они так считают.
А что, если абстрагироваться от социалистической реальности? То есть, что нам по этому поводу советует "международная практика"? В больших энтерпрайзах процветает разделение ответственности между "корпоративными офицерами". Каждый, кто наделен какой-нибудь ответственностью, гордо называется аббревиатурой с заглавной буквы C. CEO (Chief Executive Officer), CFO (Chief Financial Officer), CTO (Chief Technology Officer), CIO (Chief Information Officer), CMO (Chief Marketing Officer), COO (Chief Operations Officer) etc. Если менеджер хочет чем-то руководить, но при этом опасается ответственности, то ему дают меньше денег, называют вице-президентом по чему-то там и подчиняют тому, у кого кишка по-толще, то есть, офицеру.
Что мы имеем в небольших энтерпрайзах, так называемом SME (Small and Medium Entrprise). Когда ответственности много, а (денег на) офицеров мало, обычно оставляют у руля двоих: CEO & CFO. Первому поручают генерировать прибыль, а второму все-все контролировать. Остальное начальство подчиняется одному из этих джентльменов соответственно своему роду деятельности. Может показаться забавным, но ИТ-директор и начальник ИБ при этом обычно подчиняются финдиру, а технический, операционный и прочие производственные директора отходят к генеральному. Так же, как маркетологи и продавцы. Если вы правильно поняли принцип, для вас не составит труда определить, под чье начало поместить кадры и логистику (можете оставить ответ в комментариях).
Кто из офицеров главный зависит от актуального периода жизни компании. Если бизнес на подъеме, ни о каком комплаянсе или безопасности никто париться не станет: нужно рубить денежные знаки, пока есть такая возможность. Это пора властвования CEO. Если же рост бизнеса стабилизирован, то модно начинать внедрение внутренних контролей, оптимизировать бизнес процессы, а иногда даже заниматься безопасностью. Как и во время спада или кризиса, это период доминирования CFO.
Такое чудо, как CISO (Chief Information Security Officer), встречается крайне редко и на это должны быть очень веские причины. Речь идет именно о корпоративном офицере, который обладает всем спектром полномочий и подотчетен совету директоров. Это как раз тот случай, когда сбывается мечта стремящихся подчинить ИБ как можно выше. В большинстве же случаев CISO называется самый главный безопасник, то есть, начальник отдела или департамента ИБ в составе подразделения ИТ или общей безопасности.
Прелесть и проклятие ИБ, как рода деятельности, заключается в том, что вам никогда не удастся построить эффективные процессы безопасности если вы либо а) не продадите свои идеи Самому Главному Менеджеру (в зависимости от того, кто сейчас в фаворе), либо б) не продадите эти идеи сразу всем влиятельным руководителям в компании - каждому ту их часть, которая ему больше импонирует. В случае с вариантом а) у вас будет возможность построить процессы ИБ из-под палки и при этом все ваши достижения будут основываться на влиянии одного человека и могут кануть в лету с его уходом или ослаблением. Вариант б) более практичен и устойчив к сбоям, но при этом куда более трудоемок.
Какую из этих стратегий выбрать каждый решает самостоятельно. Одно предостережение: не вините в неудачах недостаток полномочий. Да, полномочия могут оказать неоценимый вклад, но также могут и навредить в результате искусственного насаждения инородных по отношению к целям бизнеса средств защиты. Это подход искусственный и заведомо безвыигрышный. Помните, что безопасность, это не проект, не продукт, и даже не процесс. Безопасность, это неотъемлемое свойство и качество других бизнес-процессов компании, вернее тех из них, которые нуждаются в безопасности.
