Кто такие CISO и есть ли они в России?

Нередкая в последнее время ситуация, когда на англоязычной визитке многих российских руководителей по безопасности можно увидеть аббревиатуру CISO, т.е. Chief Information Security Officer. Если не брать в расчет моду и желание быть «в струе» современных тенденций, то насколько закономерно называть себя CISO в нашей стране? Сформировался ли у нас этот руководящий класс в области безопасности?

C-level на Западе

Модные сегодня аббревиатуры CEO, CIO, CFO, COO и, конечно же, CISO пришли к нам с Запада с его корпоративной культурой и иерархией. Буква C (Chief) в любой из должностей говорит о принадлежности к высшей касте корпоративного управления. В отличие от распространенного мнения, что любой человек C-уровня обязательно подчиняется CEO (в российской традиции – генеральному директору), на практике это не всегда так. CEO один, а людей, облеченных высокими полномочиями в крупных компаниях (особенно в тех, которые ведут агрессивную политику слияний и поглощений) существенно больше. Поэтому даже на высшем уровне иерархии могут быть свои подуровни. Например, CIO может подчиняться COO, а CISO в свою очередь может подчиняться как CIO, так и CSO. Но в любом случае все CxO объединяет одно – принадлежность к топ-менеджменту и решение стратегических задач бизнеса. Именно бизнес и является главным в деятельности любого C-руководителя. COO оптимизирует операционную деятельность для улучшения показателей бизнеса, CFO управляет бизнесом с точки зрения финансов, CIO рассматривает ИТ именно с целью улучшения бизнес-показателей.

CISO там…

Некоторое время назад структура управления компанией подразумевала наличие линейных менеджеров, досконально знающих только свою область, но при этом не выходящих за его рамки (т.н. узконаправленные специалисты), и высшего руководителя (гендиректора, президента, совета директоров и т.д.). Однако сегодня ситуация трансформировалась. Один человек не в состоянии одинаково хорошо разбираться во всех направлениях бизнеса – ему жизненно необходимы помощники, которые понимают стратегию развития бизнеса и развивают компанию по своему направлению. Так и появляется C-уровень в компании, а вместе с ним главный финансист (CFO), маркетолог (CMO), технолог (CTO), айтишник (CIO) и конечно же безопасник (CSO и CISO). Всех этих людей объединяет одно – целостное восприятие бизнеса. Например, CIO. Это не начальник вычислительного центра и не человек, досконально разбирающийся в технологиях, протоколах, системах и т.д. (нередки ситуации, когда CIO вообще не имеет технического образования, хотя оно является нелишним). Он также не занимается закупками и не отвечает за настройку принтера. CIO ответственен за использование результата работы ИТ для повышения эффективности и, может быть, качества ведения бизнеса. Он не руководит HelpDesk’ом, но он может быть инициатором его создания, если будет доказано, что HelpDesk поможет понизить издержки, ускорить отдельные процессы, повысить удовлетворенность и лояльность потребителей и т.д.

А теперь, поняв, что такое человек с приставкой «Chief», мы можем перейти к описанию того, кто такой CISO и какова его роль в компании? Настройка средств защиты – это не задача CISO, этим занимается администратор безопасности или сетевой администратор. CISO также не занимается разработкой регламентов и процедур, выбором и тестированием конкретных средств защиты, обучением персонала, общением с поставщиками конкретных программно-технических решений и т.д. Вся деятельность CISO направлена на рост бизнеса или достижение других бизнес-целей, которые у разных компаний могут очень сильно различаться. Разумеется, действует CISO именно в своем русле – безопасности.

Вот, например, процесс слияний и поглощений. Современный бизнес вынужден развиваться в условиях жесткой конкурентной борьбы, что заставляет компании модифицировать стратегию расширения своего бизнеса. Например, путем экспансии на новые рынки или выпуска новой продуктовой линейки. Но как быть, если компания по тем или иным причинам не может выйти на новый рынок или не имеет времени и ресурсов (например, нужных патентов или технологий) на запуск нового продукта? Выход один – поглотить или слиться с компанией, у которой есть все необходимое. Такой путь также позволяет увеличить долю на рынке и даже стать его лидером, получить новую сеть распространения своих продуктов, купить нужные технологии или команды-разработчиков и расширить клиентскую базу. Иными словами, данный процесс - классическая область внимания высшего руководства. Но причем тут CISO? Разве процесс слияния и поглощения – это не просто финансовая сделка, не требующая участия технического персонала? Что полезного могут привнести специалисты по безопасности в процесс M&A? Распространенная точка зрения, являющаяся результатом неправильного понимания роли CISO, как технического руководителя. В этом случае, действительно, CISO будет лишним. Но если CISO во главу угла ставит бизнес, то все сразу встает на свои места.

Представьте, что информация о сделке просочилась наружу до окончательного подписания всех документов. Акции приобретаемой компании взлетели до небес и компания-покупатель вынуждена либо переплачивать вдвое-втрое, либо отказываться от сделки. Или, например, финансовый директор в своем интервью обронил фразу про планируемое слияние, конкуренты подняли шумиху в прессе, надавили на правительственные рычаги. В результате сделка срывается. И, наконец, последний пример. В результате слияния активов двух компаний, недовольные сотрудники начинают саботировать работу, вплоть до откровенного вандализма. Но если с физическим вандализмом бороться достаточно просто (и видеонаблюдение помогает, и статьи в УК/КоАП довлеют над вандалами карающим мечом), то с компьютерным или информационным вандализмом бороться гораздо сложнее. Недооценка вопросов безопасности может дорого обойтись компании. Руководитель отдела ИБ, не допущенный на верхний уровень иерархии, часто узнает о покупке какого-либо актива из газет или телевидения. А вот CISO по своему положению допущен к таким планам.

Другой пример. В процессе анализа рисков выяснилось, что существующая система защиты не справляется с поставленными задачами. Классический директор по информационной безопасности займется скорее модернизацией СЗИ, как единственно верным способом решения задачи. CISO думает шире. Он может пойти по пути, лучшему для компании, не взирая на то, «завязан» он с какими-то техническими решениями или нет. Например, полностью отказаться от несостоявшейся системы защиты и сконцентрироваться на обучении сотрудников. В данной ситуации CISO не скован только техническими способами решения проблем. Аналогичная ситуация с обучением и повышением осведомленности персонала (security awareness). У директора по ИБ времени на это почти не остается, а для CISO – это одно из важнейших направлений деятельности.

И, наконец, последний пример, демонстрирующий отличие CISO. Встав перед задачей приобретения системы защиты, обычный начальник отдела информационной безопасности будет стараться выбить максимальную скидку из производителя, сконцентрировав на этом все свои усилия. И финансовому директору он понесет счет, слагаемый из стоимости системы защиты и ее поддержки в течение года. CISO будет боле осмотрительным. Он не только сделает расчет совокупной стоимости владения (TCO), которая может раз в пять превышать «голую» стоимость системы защиты, но и продумает вариант снижения финансового бремени на свою компанию за счет различных лизинговых схем. Ведь лизинг средств безопасности положительно влияет на многие финансовые показатели предприятия – снижение налога на прибыль и имущество, ускоренная амортизация, отсутствие проблем со списанием оборудования и т.д. CISO в данном случае выступает в роли мини-CFO, что и отличает его от классического директора по ИБ.

Иными словами CISO должен иметь авторитет не только в глазах подчиненных (и без технического бэкграунда тут не обойтись), но и в глазах руководства. Возможно для этого ему понадобится пройти обучение по программе MBA. Однако в любом случае техническая составляющая для CISO вторична, т.к. первичен именно бизнес.

…и тут

Учитывая все вышесказанное, нельзя не признать, что в России «CISO на визитке» гораздо больше, чем CISO согласно западной традиции. У нас скорее развит класс директоров по информационной безопасности, руководителей отделов по защите информации или просто менеджеров/офицеров безопасности. Однако, учитывая, что они и являются самыми главными «ответственными» за безопасность в своих компаниях, а в аббревиатуре CISO первая буква расшифровывается как «главный», большинство из них считает себя именно CISO.

При этом у нас часто ставится знак равенства между информационной безопасностью и ИТ-безопасностью, что совсем не одно и тоже. Например, хранение бумажных документов тоже входит в сферу ИБ, но не в сферу ИТ-безопасности.

Если разбить всю деятельность, связанную с обработкой информации в компании на уровни, то все сразу встанет на свои места (см. рис.1). На нижнем уровне находится инфраструктура, по которой передаются различные, т.н. «сырые» данные. Оборудование, работающее на этом уровне (маршрутизаторы, коммутаторы, межсетевые экраны, системы предотвращения атак, антивирусы и т.д.) не делают разницы между ними, т.к. не знакомы с их содержанием. Есть, конечно, некоторые исключения, когда на этом уровне делается попытка связать данные с контекстом (например, в концепции Cisco Application-Oriented Network, AON), но пока это скорее исключение, чем правило. Именно на этом уровне «трудятся» большинство российских CISO, которые по сути своей выполняют только функцию директора по ИТ-безопасности.

Рис. 1. Уровни управления информацией

На втором уровне у нас находятся информационные (в последнее время они часто стали получать приставку «бизнес») системы – ERP, CRM, SCM, DRP, биллинг и т.д. Опираясь на инфраструктуру, они облегчают решение различных бизнес-задач. Вот тут у нас уже начинается провал. Не так часто мне приходилось видеть людей, которые бы занимались безопасностью именно на этом уровне. Собственно и сами производители средств защиты не так часто балуют своим вниманием этот уровень. И, наконец, на высшем уровне у нас находится результат работы бизнес-систем – информация, которой и руководствуется предприятие для принятия тех или иных решений. Именно информация, формат представления которой может быть различным – электронный, бумажный, устный. Настоящий CISO думает о том, как защитить информацию во всех ее проявлениях, не только цифровом.

Еще одна тема, в отношение которой мнение CISO и не-CISO различаются – сертификация (аттестация) по требованиям безопасности. Для многих «технарей от безопасности» сертификация по тем или иным требованиям – это либо лишняя трата сил и денег, либо задача, решение которой обязательно (промежуточные варианты редки). Наличие той или иной бумаги не делает компанию более защищенной, - так думают некоторые из них и это вполне адекватная точка зрения… для технаря. Для него основная задача, чтобы система защиты работала и критичные ресурсы были под надежной охраной недремлющего ока. Для других получение заветной бумаги часто является самоцелью, не взирая на реальную потребность. У CISO эта задача расширяется. Ему надо не только обеспечить защиту информационных активов, но и соблюсти множество различных требований к его компании. Потому что он смотрит на проблему не только шире технического специалиста, но и немного иначе. Соответствие требованиям рассматривается с позиции управления рисками. Т.е. мы взвешиваем все «за» и «против». Если риск от несоблюдения требований безопасности не очень велик, а стоимость мероприятий по снижению этого риска велика, то благоразумной стратегией будет принятие этого риска, а не попытка всеми правдами и неправдами, не взирая на затраты, получить все нужные сертификаты. С другой стороны. Если получение сертификата может стать конкурентным преимуществом, является обязательным требованием при выходе на новые рынки сбыта, защищает от законодательного преследования или увеличивает стоимость компании, то такая сертификация получает необходимую поддержку. Но в любом случае сертификация не является самоцелью, а нужна только как инструмент решения бизнес-задач.

Заключение

Проблема отсутствия достаточного количества топ-руководителей по безопасности не только в отсутствии понимания/желания/времени у самих псевдо-CISO для перехода в разряд настоящих CISO. Ситуация усугубляется невысоким уровнем зрелости руководства российских компаний. CIO по-прежнему считается начальником ВЦ, а CISO, как человек отвечающий за «черный ящик»; ведь именно так часто воспринимается безопасность. Осознание правильной роли безопасности в компании – первый шаг к тому, чтобы у нас стала формироваться прослойка CISO. Пока это, правда, не происходит. Функциональные директора или «чифы», поднявшиеся до уровня CEO часто переносят свой прежний взгляд и на управление компанией в целом. А подход этот не очень оптимистичный. Суть его заключается в следующем: «Мы зарабатываем деньги, а вы (ИТ, безопасности, юристы, бухгалтерия и т.д.) – дармоеды и только тратите мои деньги». Т.е. ни о каком целостном подходе речи не идет, «поддерживающие» направления плетутся в хвосте и стратегический подход по ним попросту отсутствует из-за отсутствия поддержки высшего руководства. Перефразируя известно правило – «верхи не хотят, а низы не хотят».

Но я верю, что совсем скоро ситуация кардинально изменится и у нас действительно появятся CISO в достаточном количестве. Они будут обладать не только профильными знаниями по безопасности, но и будут понимать ИТ, экономику, финансы, управление персоналом и многие другие важнейшие дисциплины. Российский CISO будет не столько заниматься операционной деятельностью, сколько отслеживать перспективные тенденции в области безопасности и их влияние на бизнес своей компании. Он будет заниматься стратегическим управлением вверенного ему хозяйства, искать новые пути решения насущных проблем и быть одним из драйверов развития бизнеса своего предприятия.

Об авторе:
Алексей Викторович Лукацкий, бизнес-консультант по безопасности Cisco Systems.

Эта статья была опубликована в 3-м номере "Защита информации. Инсайд".