10 типичных ошибок руководителя ИБ

Кратко о типичных ошибках руководителя ИБ рассказывает анекдот про три конверта: сначала вали все на предшественника, потом раздавай громкие обещания, в конце пиши свои три конверта. Как не стать временным руководителем ИБ, а закрепиться в компании надолго и быть полезным бизнесу? На этот вопрос отвечает Денис Дубцов, эксперт по информационной безопасности ГК «РАМАКС» .

Денис Дубцов, ГК "РАМАКС", 10 типичных ошибок руководителя ИБ, ciso должность, цели политики иб, цели аудита иб, цель обеспечения информационной безопасности предприятия, стратегические цели информационной безопасности

Поздравляю, теперь вы CISO. В этой роли вы впервые, или вы первый CISO в вашей компании, или и то и другое. А может быть, вы работодатель этого CISO?

1. Постановка размытых целей

Давайте откроем ваши верхнеуровневые документы, определяющие деятельность службы ИБ. Что мы увидим? Цели службы ИБ где-то за «горизонтом», задачи весьма абстрактны или носят общий характер, а предполагаемый результат неизмерим или вовсе отсутствует? Это обычная картина для многих организаций, когда «безопасники» осуществляют планирование своей деятельности в отрыве от бизнеса и от его целей.

Читайте также: Ошибки при формировании информационной безопасности в компании. Ч. 1.

Руководство компании часто считает, что назначить ответственного за обеспечение ИБ достаточно для организации: «Иди и делай», «У тебя для этого есть ты». Не удивляйтесь, что в этом случае исполнитель сделает всё в строгом соответствии с указанным поручением, доступными ресурсами и полномочиями. Результат разошелся с ожиданиями? «Итальянская забастовка»? Ничего удивительного.

Помните, цели ИБ должны коррелировать с целями бизнеса и разделяться руководством, быть измеримыми, достижимыми, ориентированными на результат, а не на усилия. Соответствующие условия должны быть обеспечены и необходимые ресурсы должны быть выделены.

2. Планирование усилий и запугивание

Очень часто можно услышать от бизнес-пользователей и руководителей, что они вообще не понимают, чем занимается служба ИБ. «Безопасники» этим успешно пользуются и подкидывают очередную порцию «страшилок». Принцип таков: раз ничего не происходит, значит служба ИБ работает хорошо. Многие компании такое положение дел устраивает, и, что самое печальное, это устраивает и большинство самих «безопасников».

В стремлении доказать свое право на существование, чем отличается руководитель ИБ от страхового агента? На мета-уровне ничем. Стимулом для ваших расходов на безопасность или страховку будет продажа страха того, что риск будет реализован. Аппетит к страху и риску у всех меняется со временем. Запугивание обычно превращается в порочный круг, обосновывать своё право на существование «безопасникам» становится всё сложнее и сложнее. Затем как в том самом анекдоте.

Начните планировать получение результата, позволяющего достичь общих с бизнесом целей. Тогда вы не попадёте в порочный круг по продаже страха или сможете из него вырваться.

3. Амбиции, иллюзии и подстилка из соломы

Никто не любит людей, чьи слова расходятся с их делами. И тут уже камень в огород руководителя ИБ, который сначала говорит «гоп» и только потом понимает, что высоту не взять. «Безопасники» обычно ищут причины своих неудач вокруг себя. Часто вину сваливают на технику, еще чаще – на коллег. Вам наверняка знакомы фразы: «Вы не в курсе, что это запрещено политикой ИБ компании?», или «Вы были ознакомлены с правилами при оформлении на работу!» Разбросанная повсюду солома позволяет какое-то время падать безболезненно. Солома, как и любые другие ресурсы, рано или поздно заканчивается, но обычно еще раньше заканчивается терпение у окружающих.

Не сглаживайте углы у проблемы. Не ждите наступления последствий и не скрывайте симптомы. Не испытывайте ничьё терпение. Отвечайте за свои слова, а не эксплуатируйте правила в своих интересах. Взвешивайте свои возможности (полномочия и ресурсы) перед тем, как кинуться на очередную амбразуру. Соломы много не бывает, её нельзя разбрасывать, её нужно носить с собой.

4. Спрячемся за «периметр»

Вы решили обозначить границы цифровой среды компании и назвали её «периметром». Всё, что за его пределами - вне вашей зоны ответственности.

Немного аналитики:

По данным исследований компании IBM за 2013–2016 годы: 95% всех расследованных инцидентов ИБ признают «человеческую ошибку» как сопутствующую причину инцидента безопасности.

Участники третьего годового сравнительного исследования обеспечения ИБ, проведенного корпорацией «Cisco», считают мобильные устройства (58%), общедоступные облака (57%), облачную инфраструктуру (57%) и модель поведения пользователей (57%) важнейшими источниками угроз при кибератаках.

Данные международного опроса «Ernst & Young» за 2013–2017 годы показывают, что неосмотрительность и неосведомленность сотрудников, по мнению респондентов, лидируют в числе причин уязвимости, т. е. самым слабым звеном в системе ИБ в последние пять лет считается сам человек.

От наличия у вас «периметра», сила «припекания» того, что снаружи «периметра», не меняется...

Обозначить границы цифровой среды компании стало настолько сложно, что расхожее понятие «периметра» стало откровенно вредным. Не старайтесь ограничить этим самым «периметром» свою ответственность. Такой подход никак не соотносится с целями бизнеса и не поможет, когда вдруг «станет жарко».

5. Мы так старались, но внедрённые меры и средства защиты не работают

Тренд - действия злоумышленников с каждым днем все больше похожи на «нормальное» поведение, и системы защиты на «периметре» зачастую просто не способны отличить легитимные действия от действий злоумышленников.

Факты таковы: политика ИБ не работает, регламентам ИБ никто не следует, о существовании правил никто не знает. И все потому, что:

  • О них никому не рассказывают (осведомление носит формальный характер);
  • Сотрудники не принимают участия в обеспечении ИБ, их не обучают правильной реакции и коммуникациям;
  • С результатами контроля работают избирательно, при нарушении одних и тех же правил одним сотрудникам дают обратную связь, а другим нет.

Наладьте обучение и обратную связь по каждому инциденту, иначе в итоге вы рискуете столкнуться с «эффектом разбитых окон»,  для сотрудников правила попросту перестанут существовать, возможно, даже не появившись.

6. Пренебрежение человеческим фактором

Известная латинская поговорка гласит: «Предупреждён – значит вооружен». Поэтому, несмотря на всеобщую цифровизацию и повальную автоматизацию, по-прежнему «кадры решают всё».

Ищите возможность превратить человеческий фактор из недостатка в преимущество. Работайте с сотрудниками, снижайте количество ошибочных действий, которые приводят к инцидентам, меняйте их отношение к тому, что и как они делают. Развивайте у них должную осмотрительность и необходимые навыки .

7. Формирование негативной репутации ИБ

Бытует расхожее мнение, что «безопасники» мешают всем вокруг работать.

Вам нет дела до корпоративной культуры и вашей роли в ней? Вы сходу меняете политику и правила, вмешиваетесь в работу сотрудников, увольняете их? Вы не изучаете своё окружение? Выполняя задачу руководства, вы настроили окружение против себя?

8. Занимаемся не своим делом

Вы всё же решили изучить своё окружение, т.к. в своей деятельности столкнулись с сопротивлением ряда сотрудников. Полученные знания дали вам некоторое количество компромата, который вы решили использовать для давления на сопротивляющихся.

Вас можно поздравить, вы выиграли битву, но войну вы проиграете, т.к. подтверждаете то самое расхожее мнение. В работе с персоналом задействуйте отдел кадров: пускай каждый занимается своим делом. И помните: если вы не формируете репутацию ИБ в компании, то её сформируют за вас.

9. Наблюдать нельзя блокировать

В погоне за сохранностью коммерческой тайны и прочей информации ограниченного доступа вы так старались, что перекрыли все доступные вам технические каналы утечки.

Если вы ничего не слышите и не видите, то это не значит, что ничего не происходит. Это означает только то, что теперь вы понятия не имеет кто, что, как и кому «сливает».

Как и в известном крылатом выражении, во фразе «наблюдать нельзя блокировать» расставлять знаки препинания для каждой категории информации нужно по-разному. Помните, что контролируемая утечка должна оставаться всегда.

Расследования проводите тщательнее и не делайте поспешных выводов. Очень часто все люди попадают в ловушку заблуждения «После не значит вследствии».

Денис Дубцов, ГК "РАМАКС", 10 типичных ошибок руководителя ИБ, ciso должность, цели политики иб, цели аудита иб, цель обеспечения информационной безопасности предприятия, стратегические цели информационной безопасности

10. Не понимаем, чем управляем

Как бытие определяет сознание, так и подход к управлению деятельностью подвержен давлению подхода к управлению компанией в целом. Ваши попытки переделать систему, скорее всего, приведут к тому, что вы окажетесь на обочине. Ведь любая система в стремлении к самосохранению отторгает токсичный элемент (в нашем случае речь о CISO). Но даже в организации, управляемой на основе функционального подхода, все происходящее будет до боли напоминать «итальянскую забастовку». В проектной организации проектный подход будет плодить проекты по поводу и без. А российские законотворцы регулярно превращают только налаженный процесс комплаенса обратно в проект.

Смотрите также: Система развития управленческого персонала «РусГидро»

При выстраивании управления ИБ важно не нарушать правила и изначально обговаривать подход к управлению ИБ. Предложить такие цели ИБ, которые однонаправленны с извлечением прибыли. Утвердить целевые результаты и их измерение. Определить заказчика ИБ, потребителя и пользователя. Получить полномочия для управления, привлечения ресурсов и поставщиков. Заручиться поддержкой руководства и окружающих.
Например, построить сервисный процесс, регулярно его анализировать и адаптировать свою деятельность под нужды внутреннего потребителя. Возможно, есть смысл получить знания в области процессного управления и системного менеджмента.

Фото Pixabay

При использовании материала гиперссылка на соответствующую страницу портала HR-tv.ru обязательна

0

Что Вы думаете об этом?

Прокомментировать

Рекомендуемые материалы

Как геймификация в обучении IT помогает взрастить талантливых специалистов
Азгануш Мисакян
Как геймификация в обучении IT помогает взрастить талантливых специалистов

Спрос на специалистов в сфере IT продолжает расти, но кадровый голод мешает бизнесу закрыть эту потребность. Ежегодно нужны тысячи новых профессионалов - разработчиков, аналитиков данных, специалистов по кибербезопасности и пр. При этом проблема во многом обусловлена не отсутствием специалистов, а их недостаточным уровнем подготовки к реальным вызовам индустрии. В результате после окончания онлайн-курсов начинающие программисты получают отказы на собеседованиях, компании остаются без сотрудников, а IT школы вынуждены пересматривать свой подход к обучению.

Что сейчас происходит на отечественном рынке IT и как с помощью геймификации подготовить кадры, способные действительно решать задачи бизнеса - рассказала CEO школы программирования YCLA Coding Азгануш Мисакян.

Илья Соколов
Как повернуть «утечку мозгов» вспять: удержать профи в регионах

Согласно данным hh.ru, уровень конкуренции за рабочие места в IT-сфере в регионах, включая Нижегородскую область, стабилен и сопоставим с показателями Москвы, составляя около 6 человек на вакансию. Кроме того, на рынке труда ощущается нехватка молодых специалистов в науке и образовании. Средний возраст профессорско-преподавательского состава российских вузов остается высоким, что подчеркивает необходимость привлечения новой волны талантов. Молодые люди всё чаще начинают миграцию уже с университетской, а подчас и со школьной скамьи, стремясь к карьерным и образовательным перспективам.

В условиях усиливающейся «утечки мозгов» многие регионы стремятся сохранить и развить свои интеллектуальные ресурсы. Илья Соколов, директор по развитию ИТ-кампуса «Неймарк» в Нижнем Новгороде, делится опытом создания образовательного проекта, направленного на привлечение и удержание талантливой молодежи в регионе.