Мистер CISO и бизнес-лексика

Недавно мне довелось поучаствовать в так называемом совещании Senior Leadership Team одной компании, главный безопасник которой безуспешно пытался «продать» своему руководству идею заняться выполнением требований Федерального закона ФЗ-242 о запрете хранения персональных данных россиян за границей, который давно уже стал красной тряпкой для многих иностранных компаний, и чем ближе 1 сентября 2015 года, тем тряпка становится краснее. Однако все попытки выбить ресурсы на реализацию этой идеи натыкались на ярое противодействие финансового директора, который на своем прошлом месте работы уже сталкивался с темой ПДн и столкновение это было неудачным.

Было потрачено несколько миллионов рублей, а пришедшая проверка Роскомнадзора все равно нашла нарушения и направила материалы в прокуратуру, а затем в суд, который и назначил штраф в размере… 4 тыс. рублей. На новом месте финансовый директор пытался понять, зачем тратить миллионы, если нет никакой гарантии от консультантов, а штраф составляет смешные и совсем несопоставимые с затратами средства. Руководитель же отдела защиты информации никак не мог объяснить бизнес-руководству необходимость этой темой заниматься. Он как мантру твердил о необходимости соблюдения законодательства, не умея объяснить свои потребности с точки зрения бизнеса.

Многие годы функция информационной безопасности воспринималась во многих организациях как необходимость и мало кто задавал вопрос: а зачем нужна безопасность и почему за нее нужно платить столько денег? Однако в условиях непростой экономической ситуации эти вопросы начинают звучать все чаще и чаще, а службы информационной безопасности (ИБ) продолжают жить в своем мире, полном криптографии, файрволов, антивирусов, пентестов и прочей мало понятной бизнесу терминологии. Бизнес оперирует совсем иными категориями, отличными от тех, к которым привыкли традиционные безопасники, воспитанные на понятиях конфиденциальности, целостности и доступности. Маржинальность, рентабельность, доходность, продуктивность, качество, цикл сделки… Все эти термины редко используются в лексиконе большинства руководителей ИБ, которых этому не учили и которых ни ФСТЭК, ни ЦБ, ни ФСБ, ни Роскомнадзор об этом не спрашивают в рамках проверок.

Но сейчас ситуация начинается меняться. Руководство не готово тратить деньги (как минимум столько, сколько хочет безопасник) на то, чей вклад в бизнес-результаты не виден. А безопасник понимает, что его все чаще и чаще отодвигают не то чтобы на второй, а на третий, а то и четвертый план. Молодежь, воспитанную на западных фильмах, в которых любой руководитель отдела или департамента имеет отдельный кабинет, секретаршу и представительские расходы, начинает тяготить тот загон, в котором находится подразделение по ИБ. Они хотят не только на англоязычной стороне своей визитки видеть “Chief Information Security Officer”, а реально находиться на так называемом C-Level, то есть в одной лодке с генеральным и финансовым директором, главным юристом и другими руководителями с приставкой Chief. Но для этого надо научиться говорить не на птичьем языке безопасности, а на языке бизнеса.

Кто вы, Mr. Business?

Что или, точнее, кто скрывается за столь емким термином «бизнес»? Очевидно, что это не один человек, который может сказать «да» или «нет» на запросы службы ИБ. В зависимости от масштаба и сферы деятельности организации бизнес может быть представлен:

• департаментом работы с клиентам;

• финансовым департаментом;

• юридическим департаментом;

• HR-департаментом;

• службой внутреннего контроля и аудита;

• департаментом управления рисками;

• департаментом маркетинга и PR-службой;

• административно-хозяйственным департаментом;

• ИТ-департаментом

и, возможно, другими службами, которые могут быть заинтересованы в результатах деятельности службы ИБ.

Вероятнее всего, представителю ни одного из упомянутых департаментов не интересны ни антивирусы, ни средства контроля утечек, ни сканеры безопасности, ни межсетевые экраны сами по себе. А все потому, что у бизнеса совершенно иные потребности. Руководитель службы ИБ, а именно он является проводником всех идей по информационной безопасности в бизнес-среде (хотя я знаю компании, в которых в департаменте ИБ создана отдельная должность BRM – Business Relationship Manager, который «переводит» с языка безопасника на бизнес-язык и наоборот), должен попытаться увязать свои проекты с целями бизнеса в целом или отдельных его подразделений или даже персоналий.

Mr. Business, what do you want?

Можно ли увязать межсетевой экран и желание роста доходности бизнеса? А антивирус и географическую экспансию? А можно ли средство контроля утечек связать с задачами HR-департамента? Можно! Достаточно только понять, из чего складывается достижение той или иной бизнес-задачи. Допустим, перед департаментом продаж стоит задача увеличения выручки компании. Возможно ли со столь глобальной задачей связать приземленную ИБ? Давайте попробуем провести декомпозицию.

Выручка может быть увеличена за счет:

- роста числа клиентов,

- роста числа сделок,

- ускорения сделок,

- снижения себестоимости сделки.

Но и тут связь с безопасностью пока не проявляется. Давайте проводить декомпозицию дальше. Какие способы роста числа клиентов могут быть применены? Например, географическая экспансия на новые рынки. Эту задачу можно решить по-разному. Кто-то открывает офис в новом регионе. Но это дорого и не всегда окупается. А можно нанять сотрудника (или отправить своего в длительную командировку), предоставив ему удаленный и защищенный доступ к корпоративной информационной системе. И вот у нас на второй итерации появилось слово «защищенный». Да, вклад безопасников в решение поставленной задачи не единственный – участвуют и ИТ-служба (организация удаленного доступа), и HR (наем сотрудника или отправка в командировку). Но и ИБ тоже не сидит без дела, внедряя на планшете или ноутбуке мобильного сотрудника VPN-клиент, MDM-решение и антивирус.

А как связать безопасность и ускорение сделок? И снова надо провести декомпозицию исходной задачи. Одним из вариантов является использование нового, более быстрого канала продаж, которым может стать Интернет: интернет-магазин, интернет-банк, интернет-биржа и т. п. А интернет-сервис должен быть доступным и уметь нейтрализовать DDoS-атаки и иные попытки нарушить бесперебойное его функционирование. Интернет может стать и более дешевым каналом продаж чем, например, собственный офис. А это позволит снизить себестоимость сделки, тем самым повысив ее доходность.

Представим, что безопаснику довелось ехать в лифте с главным операционным директором (COO), одной из задач которого является повышение продуктивности работников и которому надо обосновать выделение ресурсов на ИБ. Можно ли увязать продуктивность работника с безопасностью? Для этого достаточно понять, что мешает росту продуктивности или даже снижает ее. Навскидку можно предложить следующие причины: тормозящий компьютер антивирус (шутка), спам, онлайн-игры, сидение в социальных сетях. Для борьбы с ними могут быть использованы как средства защиты от спама, так и средства контроля доступа в Интернет, которые попутно (для операционного директора) могут решать и важную для безопасника задачу защиты от вредоносного кода, который может попасть в организацию через E-mail или Web-трафик.

ИБ и HR

Пойдем дальше. Чем информационная безопасность может заинтересовать отдел кадров? Скринсейверы, тренинги по ИБ, программа повышения осведомленности… Это все понятно. Но есть и более сложные примеры. Обычно работник сообщает о своем увольнении за две недели до ухода, а средний срок поиска кандидата на замещение вакантной должности в службе HR занимает не менее двух-трех месяцев. Получается, что 1,5–2,5 месяца вакансия простаивает, а работодатель не получает тех денег, которые мог бы заработать этот сотрудник, или иной пользы, которую он мог принести. Если бы отдел кадров мог заранее узнавать о том, что какой-либо из работников компании готовится к увольнению (а это очень редко происходит спонтанно и также обычно требует времени), ходит по HR-сайтам, рассылает резюме, то можно было бы с ним провести беседу и отговорить от ухода или начать искать кандидата на замещение. И тут служба ИБ может тоже предложить свою помощь в виде средств контроля доступа в Интернет или межсетевых экранов с функцией фильтрации URL, отслеживающих посещаемые сайты, а также DLP-решений, способных отслеживать не только утечки (это интересно безопаснику, но не бизнесу), но и рассылку резюме.

Компания поставила перед собой задачу снизить затраты на аренду занимаемых площадей. HR решил пойти по пути сокращения персонала (лежащая на поверхности идея, не правда ли). Административно-хозяйственный департамент (Work Places Resources, WPR) решил найти офис подешевле и переехать ближе к окраине города. А вот ИТ-директор задействовал другой сценарий, воспользовавшись идеей, подсказанной в курилке начальником отдела защиты информации, – перевести ряд сотрудников на домашнюю работу (тех, кого возможно). Это позволило бы не переезжать из центра и не сокращать персонал, но при этом сократить несколько сотен квадратных метров, стоимость которых в год составляла немалую сумму. При этом перевод части работников на работу из дома повлек бы реализацию проекта по защищенному (опять защищенному!) удаленному доступу. Тут, кстати, есть и другая польза – снижение коммунальных расходов, расходов на питание и канцтовары и т. п.

В заключение

Вышеприведенные примеры показывают, что в переходе на бизнес-лексикон специалистов по ИБ нет ничего страшного и сложного. Достаточно просто посмотреть на то, что делает безопасност, глазами бизнеса и понять, как ИБ может улучшить те или иные бизнес-показатели или достичь поставленных бизнесом целей.

Чем же закончилась моя встреча с руководством компании, о которой я упомянул в самом начале материала? Мне удалось достаточно быстро показать директору подразделения, отвечающего за продажи, что реализация того, о чем просит безопасник, в его же интересах. Дело в том, что данная компания с целью оптимизации издержек хранила данные обо всех сделках и клиентах, включая и их персональные данные, в облаке, которое находилось за пределами Российской Федерации. Достаточно было показать директору по продажам, что доступ к данному интернет-сервису может быть заблокирован по требованию Роскомнадзора на всей территории РФ и ни одной сделки данная компания больше не сможет оформить. Потенциальные потери составят в худшем случае несколько десятков миллиардов рублей – именно столько эта компания зарабатывает в год в России. В лучшем случае руководство начнет оперативно решать вопрос после блокирования доступа к облачной CRM-системе, невозможность оформлять сделки продлится около четырех месяцев и потери составят «всего» 6 миллиардов рублей. После такой демонстрации позиция безопасника сразу получила поддержку со стороны департамента продаж, руководитель которого и стал главным спонсором проекта по выполнению требований 242-го федерального закона.

Не нужно ждать, что бизнес-руководство само пойдет навстречу и начнет изучать то, чем занимается безопасность. Пока это фантастика. Я не видел еще ни в одной программе MBA или Executive MBA, чтобы теме ИБ уделялось хоть сколько-нибудь внимания. Даже ИТ и те рассматриваются поверхностно. Чего уж говорить об информационной безопасности. Поэтому, повторяю, не ждите, пока гора пойдет к Магомету, лучше самому двинуться ей на встречу, то есть начать учить бизнес-язык и пытаться донести до бизнеса свои нужды в привычных ему терминах, как и демонстрировать в этих терминах решение задач бизнеса, для которых, а не для выполнения малопонятных требований регуляторов, служба информационной безопасности и создается на предприятии. Помните, что именно бизнес, а не ФСТЭК/ФСБ/Роскомнадзор платит зарплату специалистам по защите информации. И бизнес ждет, что безопасность будет решать задачи бизнеса, а не регуляторов. Хотя и про последних тоже совсем уж забывать не стоит.