В многочисленных руководствах по построению систем управления информационной безопасностью (СУИБ) упоминается такое фундаментальное понятие, как поддержка руководства или management commitment. Без него, мол, без комитмента, ничего не построить. Следовательно, перед началом любой активности нужно заручиться поддержкой на высшем уровне (по возможности, на уровне совета директоров) и тогда строительство пойдет как по маслу.
На практике получается вот что. Самое что ни есть наивысшее руководство, выступая на каком-нибудь сезонном стратегическом митинге, со всей ответственностью заявляет, что таки да, мы приступаем к построению СУИБ. Будем делать все от нас зависящее, контроли строить на "для галочки", а от всей души и с подобающим усердием. После таких заявлений в компании начинается эра "никто меня не слушает"-безопасности. То есть, и менеджер по ИБ в компании есть, и люди какие-то вроде бы полный день над ней трудятся. А толку как-то не особо. Естественным образом возникает первый вопрос: почему.
Отвечаю: потому что бизнес создается для зарабатывания денег. А не для благотворительной деятельности, выполнения социальной функции, поддержки идейно правильных кандидатов в президенты, и уж тем более, не для построения системы управления информационной безопасностью. И у каждого направления бизнеса, за которое отвечает тот или иной топ-менеджер, есть свои задачи. Продавцы выполняют план продаж, разработчики вписываются в дедлайны и спецификации, бухгалтеры и финансисты считают прибыль и минимизируют затраты (включая налоги), а айтишники следят за тем, чтобы все это работало без сбоев. А тут вы со своей безопасностью... И куда ее втулить? Да, конечно, никто не против, безопасность нужна, и местами даже необходима, но ведь не во вред бизнесу, правда? Давайте лучше так: у нас свои задачи, а у вас свои, и не будем друг другу мешать, ОК? Как мне кажется, сюжет уже достиг точки полного отчаяния, после которой следует задать вопрос: что же делать?
Тут есть варианты. Вариант первый: не делать ничего. Такие мысли возникают порой даже у самых инициативных. Особенно в случае, если все пафосные заявления о необходимости ИБ - чушь собачья. Так, к сожалению, иногда случается: вроде и "комитмент" есть, и бюджет запланирован, а на самом деле ИБ бизнесу не нужна. Так, флагом помахать, да перед клиентами похвастаться. Мол, строим СУИБ, даст бог в этой пятилетке достроим. В таких условиях безопасникам не мудрено повесить носы и поплыть себе по течению, выполняя рутинные задачи и подыскивая оправдания периодически возникающим инцидентам.
Вариант второй: не сдаваться. Легче всего это сделать тогда, когда безопасность компании все-таки нужна, просто это не очевидно близоруким менеджерам. Тут уж если ввязываться, то без оглядки. Если все-таки решитесь, то вот вам некоторые методы воздействия на студнеобразные умы управленцев.
1. Продавайте, продавайте и еще раз продавайте. Легче всего заручиться поддержкой коллег, явно продемонстрировав им их личные выгоды от внедрения СУИБ. Для продавцов не лишне будет узнать, что зрелая (да еще и сертифицированная!) система управления ИБ - это ну очень вкусное преимущество во время участия в тендере. Для айтишников придется визуализировать профиль рисков бизнеса и доказать, что после воцарения в компании информационной безопасности головной боли у них станет значительно меньше. Разработчикам... разработчикам доказать что-нибудь очень сложно, но если их пару раз ткнуть в очевидные несекьюрные ляпы в их коде, то они по крайней мере какое-то время не будут сопротивляться. Ну и всем остальным придется насочинять по персональной легенде о том, какая же все-таки информационная безопасность полезная штука, один сплошной бизнес-энейблер, да и только.
2. Давите на комплаянс, то есть соответствие всяческим регулирующим документам. Ну например, небезопасность контрафактного ПО не всегда очевидна даже для некоторых айтишников. Зато страшилки о "маски-шоу" из налоговой у всех на слуху. Этим и стоит воспользоваться в продвижении идеи приобретения исключительно лицензионного ПО и его последующего непрестанного обновления. Если же вам совсем повезло, и в вашей компании действует какой-то конкретный драйвер или стандарт ИБ типа SoX, ISO27001 или PCI:DSS, то тут уж вам и карты в руки. Если мы этого не сделаем, то следующий аудит не пройдем, лицензию отберут, и вообще, VISA на нас в суд подаст. Перегибать, конечно же, не следует, но и скромничать тоже не стоит.
3. Человек существо изобретательное, проявите смекалкуи не бойтесь экспериментировать. Используйте все доступные вам методы, но старайтесь не выходить за рамки профессиональной этики. Например, я принципиально не практикую социальную инженерию на коллегах для достижения профессиональных целей. Обратите внимание, в каких-нибудь других целях иногда практикую =)
На этой оптимистичной ноте мне хотелось бы закончить этот в целом параноидально-депрессивный пост. В заключение, хочу поздравить всех читающих эти строки с Новым годом и пожелать достойного применения в 2010-ом всего того нелегкого опыта, которым наградил нас 2009-й.
