Парадокс CISO
Один из самых неоднозначных моментов в коммерческой организации – роль CISO, а через это, как следствие, – роль всей функции информационной безопасности в компании.
С одной стороны, развитие информационных технологий влечет за собой разрастание количества угроз, причем живут они большей частью в зоне ответственности ИБ, следовательно определяют тенденции рынка средств защиты, стандарты, лучшие практики и темы отраслевых конференций. А через это – постоянный штат, который должен от этих угроз защищать. Так в компании появляется CISO (chief information security officer) – топ-менеджер, который управляет отдельным функциональным направлением. Казалось бы, все логично складывается и даже соответствует практике.
С другой стороны, в реальности ситуация такова, что реальных полномочий (того самого С-suite) у этого топ-менеджера чаще всего нет. Как правило, он не участвует в определении стратегии компании, не имеет ни голоса, влияющего на сделки, ни сколько-нибудь значительного в рамках компании бюджета. Кадровые сайты переполнены вакансиями руководителя отдела ИБ, подразумевая отдел из одного человека, а бизнес не ждет от такого менеджера ничего, кроме призрачной надежды на приведение документации в соответствие законодательству и отраслевым стандартам или настройку криптопро для отправки отчетности в налоговую.
СТО БР и 152 ФЗ сделали для рынка ИБ больше, чем все уязвимости Zero day, вместе взятые. Функция информационной безопасности все чаще воспринимается как некий налог на технологии. Тем не менее от нее не отказываются, ведь, как уже сказано выше, развитие ИТ влечет за собой постоянно возрастающее количество угроз, угрозы эти определяют тенденции рынка средств защиты, стандарты, лучшие практики… Громкие кейсы (в основном западные), миллионные инвестиции в индустрию, постоянное внимание регуляторов – все же это не на пустом месте возникает и незамеченным не остается. В итоге получается замкнутый круг, в котором бизнес чувствует проблемную зону, инвестирует в защиту, привлекает топ-менеджера и дает ему полномочия (выдает тот самый C-suite) – и тут же спустя некоторое время делает его номинальным, пытается всячески сократить инвестиции, потому как не понимает ни его целей, ни задач, ни вклада.
Культурные противоречия
Причина такого парадокса, на мой взгляд, кроется в культурных противоречиях людей от бизнеса и людей от безопасности. Бизнес всегда ориентирован на результат, всегда четко этот результат себе представляет и измеряет. В 99% уставов коммерческих компаний четко указано: «Целью существования общества является получение прибыли». Любой годовой отчет построен вокруг какой либо цифры. Люди же, занимающиеся безопасностью, чаще всего ориентированы на процесс. Базовый подход (процесс) среднестатистического менеджера по ИБ – постоянная стройка и совершенствование некоего периметра защиты. Того самого магического периметра, состоящего из множества контуров и зон, который красной нитью живет в большинстве методологий, учебных курсов и презентаций. Цель, доставшаяся безопасности в наследство от государственно ориентированного подхода. Цель эфемерная, но весьма творческая и без видимых границ. Результат достижения которой уже оброс характерными легендами и мифами.
Самых популярных мифов, на мой взгляд, два: а) информационная безопасность – исключительно затратная функция, б) эффективность информационной безопасности нельзя измерить. В совокупности с определением, что не бывает на 100% защищенных систем, как раз и получается некий процесс сам в себе. Бизнесу не понятный, не прозрачный, никак не связанный с бизнес-показателями. Безопасность сама высчитывает некие риски, сама эти риски понижает, сама себя хвалит, сама собой управляет. Бизнесу обращены только постоянные страшилки и запросы об инвестициях.
Бизнесу же, в свою очередь, бенефиты от информационной безопасности в такой ситуации не видны, в отличие от инвестиций. А чтобы принять решение об инвестициях, бизнес задает ИБ-подразделению понятные ему вопросы, ровно такие же, как любой другой службе компании:
· В какой мере подразделение влияет на достижение основной цели компании (а в 99% случаев это увеличение прибыли)?
· Насколько функция этого подразделения эффективна?
· Каков срок возврата инвестиций в обеспечение функции этого подразделения?
И в этот момент бизнес упирается в стену мифологии и оказывается перед нелегким выбором инвестировать неизвестно во что, потому как ответы на эти вопросы, как правило, следующие:
· Ни в какой: ИБ никак не может повлиять на прибыль, это традиционно затраты. Но, случись что, мы всех спасем.
· Эффективность ИБ измерить нельзя. А если и можно, то, например, в рисках. Или в инцидентах.
Я, безусловно, утрирую, но, согласитесь, в целом картина такова. Как я и говорил выше, виной всему культурные противоречия. И даже выдав менеджеру желанный C-suite, руководство компании понимает, что это не бизнес-функция, и, как следствие, не допускает его до стратегических задач. И даже не только потому, что информационная безопасность живет обособленным направлением, а и потому, что не хочет вносить подобную смуту в остальные направления, живущие в понятных цифрах. А менеджер, отвечающий за функцию информационной безопасности, по-прежнему бьется за границы периметра, пусть менее результативно. И, чтобы сохранить финансирование, чаще всего прибегает к FUD-маркетингу (акроним от англ. Fear, uncertainty and doubt — «страх, неуверенность, сомнение»), то есть начинается прямое запугивание громкими кейсами, ссылками на законы и аналитические отчеты (как правило, подготовленные вендорами, производящими средства защиты).
Подобный подход как инструмент – безусловно, рабочий, но все же временный и не самый результативный. Помните сказку про мальчика, который часто кричал: «Волки!»? Появляется здоровый скептицизм. Когда один менеджер пугает приостановлением деятельности за нарушения 152 ФЗ, а другой смотрит на правоприменительную практику и видит там даже не целое число, а некую математическую погрешность… Использование запугивания всегда приводит к потере доверия. Как к конкретному сотруднику, так и к функции в целом.
Изменение «точки сборки»
Что получаем в сухом остатке? Бизнес понимает, что ему нужна некая функция. Инвестирует в нее – ждет эффекта – не видит его – задает стандартные вопросы – получает непонятные ответы – сокращает инвестиции – начинается шантаж – проходит какое-то время, и на этом все заканчивается. И все опять сводится к функции compliance офицера или инженера-администратора для криптографии. И эта ситуация не изменится до тех пор, пока у менеджера, управляющего информационной безопасностью, не изменится «точка сборки». Пока не изменится общее видение задач и целей, которые этот менеджер ставит перед собой. С-suite не дадут примерить до тех пор, пока функция информационной безопасности непонятна, неэффективна и непрозрачна, а ее вклад в общий результат непредсказуем.
Какие моменты, как мне кажется, должны измениться коренным образом в головах у менеджеров, которые управляют функцией информационной безопасности в компании, чтобы образовалась та самая точка сборки?
Первое. Надо знать цель компании.
Даже учитывая специфическую направленность профессии, менеджеры занимаются управлением бизнесом, а не наукой и не защитой государственных тайн. В целом тут даже неважно, за какую функцию менеджер отвечает. Хотите быть топ-менеджером – учитесь управлять компанией. Надо понять ее цель, понять, как компания работает, понять рынок, на котором она находится. Понять, что ваша цель и цель компании – это одна и та же цель. Если цель компании состоит в получении максимальной прибыли, то цель построить максимально защищенный периметр будет с ней мало совместима.
Другое дело, если цель перед информационной безопасностью будет звучать как «увеличение прибыли компании за счет сокращения потерь от остановок операционных процессов» или «увеличение прибыли компании за счет сохранения технологического и коммерческого преимущества». Тогда мы сразу понимаем, что нужно не столько защищать все имеющиеся ресурсы, сколько найти тот самый разумный баланс между инвестициями в безопасность и вероятным ущербом. И, несмотря на то что общая цель чаще всего будет звучать как получение прибыли, всегда стоит знать ее точную формулировку: нужна одномоментная прибыль или прибыль в результате захвата определенной доли рынка. Эти цели во многом поменяют стратегию информационной безопасности.
Если ставится цель вывести компанию на IPO, то, возможно, в стратегии ИБ должны появиться сертификаты, результаты аудитов и нематериальные активы, которые повлияют на ее стоимость. Если же цель получить максимальную прибыль в коротком моменте, значит, стоит уходить в аутсорсинг и отказаться от вложений в «тяжелые» по лицензиям и оборудованию проекты. Дьявол в деталях.
Второе. Надо понимать свой вклад в достижение цели компании
Никому не нужна информационная безопасность ради информационной безопасности. Абсолютная защита информации – не ваша конечная цель, когда компания ориентируется на получение прибыли через реализацию на рынке своих продуктов. В данном случае цель информационной безопасности скорее влиять на продукт или процесс компании через защиту информации. Защита ради процесса защиты не увеличивает прибыль, не делает компанию более конкурентной. Задача информационной безопасности – изменяя свойство защищенности информации, менять свойства процессов или продуктов компании, либо делая их более конкурентными за счет дополнительной защищенности, либо оптимизируя их стоимость.
Казалось бы, построение периметра – универсальный подход, способный решить любую проблему независимо от целей компании. Он также включает в себя непрерывность процессов и влияние на продукты. Всё так, но любой периметр – вещь абсолютная, а в условиях бизнеса еще и слабо достижимая. Абсолютная – значит - избыточная в инвестициях, в нагрузке на операционные процедуры, слабо влияющая на положительную динамику компании. Если цель – увеличение прибыли, значит, мы уже не можем себе позволить избыточные вещи. Избыточные инвестиции съедают прибыль, а значит, надо перестать выискивать всевозможные потенциальные риски информационной безопасности и сосредоточиться на рисках и стоимости операционных процессов. Только они имеют значение.
Третье. Знайте свои операционные процессы.
Нерезультативно строить свои процессы вокруг условной «конфиденциальной» информации, основываясь только на норме закона. Обязательно нужно понять детали всех операционных процессов: как внутри них рождается информация, как она живет, где и как меняется. Как изменения ее свойств влияют на операционный процесс, на какие его показатели. Нельзя эффективно защищать информацию в отрыве от ее жизненного цикла или от процесса, внутри которого она существует. Именно поэтому ни один сторонний подрядчик не выстроит эффективной системы защиты – для него ваша система будет всегда лишь стеной с выпавшими кирпичами, которые он пришел поставить на место. Можно пытаться перекрыть все проблемные места, но такая цель неэффективна: информационные риски в отрыве от продукта или операционного процесса – вещь весьма абстрактная и не имеющая смысла.
Четвертое. Квантификация.
Слово пугающее и незнакомое. Но довольно простое в определении: квантификация – это переход от качественных показателей к количественным. Обязательно нужно привязаться к некой цифре, результату деятельности. И этот результат должен обязательно коррелировать с целями компании. Иначе не только бизнес, но и сам менеджер не в состоянии будет понять, насколько хорошо он делает свою работу. Если вклад в достижение общей цели нельзя измерить, то можно только предполагать, успешна такая деятельность или нет. Можно полагать, что бежишь хорошо. Разумеется, можно бежать просто ради удовольствия. Но для понимания, насколько хорошо мы бежим, неплохо бы сразу определиться с задачей: нам нужно бежать быстро? или далеко? или долго? Прежде чем бежать, мы определяем, как бежать, поскольку сформулированные цели дадут нам ту самую цифру/критерий, к которому мы привязываем свое понимание эффективности. «В результате работы мы предотвратили 2 DdoS-атаки на наш сайт длительностью 2 часа каждая и работоспособность сайта за эти 4 часа принесла компании 40 новых клиентов и выручку в 800 тыс. рублей» звучит куда лучше, чем «В результате работы мы снизили риски с высоких до приемлемых и стали почти соответствовать текущему законодательству». В первом случае понятно, зачем мы выстраивали процесс и как он в итоге повлиял на прибыль, во втором – понятно, что чем-то занимались и оно гипотетически полезно.
Пятое. Распределяйте (аллоцируйте) свои затраты.
Не копите все затраты на безопасность на своих плечах. Повторяю, безопасность ради безопасности никому не нужна. Нужно четко понимать, как меры на обеспечение безопасности влияют на себестоимость продукта или на конкретный операционный процесс. Вы должны быть в состоянии посчитать, сколько информационной безопасности потребляет то или иное подразделение. Только так можно будет избавиться от избыточных мер, способных сожрать любую эффективность. И только так можно наглядно показать, что и кем потребляется из мер защиты и на решение чьих проблем уходит бюджет. Данный элемент нужен вовсе не для перекладывания бремени на чужие плечи, а для того, чтобы, глядя на ситуацию в целом, можно было сравнивать варианты. Внедрять систему защиты информации или немного изменить какой-то операционный процесс, если средства защиты делают его слишком дорогим, но при этом и риски значительны, и просто принять их явно недостаточно.
Изменение парадигмы
Только проделав такие упражнения, можно будет самому себе ответить на вопросы: чем конкретно я был полезен своей компании, как проект, который сложился у меня в голове, повлияет на достижение ее целей, насколько разумно я использовал все совокупные затраты на информационную безопасность в этом году? И уйти от вопроса «я работаю в рамках своей зарплаты».
Да, все эти пять пунктов несколько отличаются от стандартной парадигмы «сделай аудит – найди все бреши – залатай их – повтори заново». Да, к сожалении, это делает менеджера по ИБ отчасти операционистом, отчасти финансистом. Но только при таком подходе сглаживаются все углы во взаимоотношениях бизнеса и менеджера, управляющего информационной безопасностью. Через него можно начать эффективно управлять затратами на функцию ИБ. Перестать разговаривать с бизнесом непонятными ему терминами и перейти к тому, что действительно имеет вес – цифрам и фактам. И, в конце концов, через такой подход становится возможным измерение информационной безопасности в той же системе координат, в которой бизнес измеряет операционные подразделения.
Безусловно, в какой-то момент сложно принять, что целый ряд сделанных ранее проектов для компании не помощь, а обуза. Что есть элементы системы, потерять которые выгоднее, чем защищать. Тяжело отказаться от рисков информационных в пользу рисков операционных. Но зато через какое-то время придет осознание того, что информационная безопасность стала частью системы управления компанией. Одним из потоков, определяющих стратегию. Одним из факторов, определяющих успех компании.
Опубликовано 16.09.2015