Первые 90 дней нового CISO в компании

изображение: grok
CISO – Chief Information Security Officer – роль, которая в организационной структуре может соответствовать различным должностям. Наиболее точный перевод, директор по информационной безопасности (ИБ), не слишком распространен в российских компаниях, в отличие от должности начальника службы (отдела) ИБ или заместителя директора по ИБ, если брать во внимание требования Указа Президента РФ от 01.05.2022 № 250. Вместе с тем, в такой разнице уровней кроется отличие функционала CISO (как руководителя высшего звена) от линейного руководителя ИБ-службы, в том числе при вступлении в должность.
Согласно проводимым исследованиям, в последние годы российские компании, нацеленные на обеспечение устойчивости бизнеса в условиях постоянно растущего количества киберугроз, начали рассматривать роль CISO именно как управленческую, а не сугубо техническую. При этом разрыв в восприятии роли и обязанностей CISO существует как на уровне генеральных директоров (CEO – Chief Executive Officer), так и на уровне самих руководителей по ИБ. Поэтому первые шаги, предпринятые CISO в новой должности, могут определить уровень доверия ко всем последующим решениям, а также траекторию развития функции ИБ в компании.
Вне зависимости от того, «вырос» CISO из рядового ИБ-специалиста организации или это внешний кандидат, стратегия первых 90 дней в новой роли строится на последовательности базовых этапов: погружение, формирование стратегии, запуск ключевых проектов. С тем учетом, что современные CISO – не про «настроить правила на межсетевом экране», а про «перевести риски ИБ на язык бизнеса».
Этап 1. Погружение и оценка процессов ИБ в компании («as is»)
Несмотря на то, что от нового руководителя по ИБ ждут оперативного решения множества задач, цель CISO в первый месяц работы – оценить, какие ИБ-процессы выстроены в компании, как именно они выстроены и насколько регламентированы.
И, конечно, как любой C-level руководитель (руководитель верхнего уровня), в первые месяцы CISO должен выяснить текущую стадию развития компании на рынке, контекст бизнеса, определить ожидания CEO от ИБ-руководителя и принятое разделение между ИТ- и ИБ-подразделениями, в том числе по выделяемым бюджетам.
Что подлежит инвентаризации и аудиту со стороны CISO:
- ИТ-инфраструктура организации. У подведомственных и смежных подразделений необходимо запросить:
- архитектуру и существующие схемы сети;
- перечень защищаемых активов и их локализацию – физические и виртуальные сервера, локальные сетевые папки, облачные хранилища;
- перечень установленных средств защиты информации (СрЗИ), места их применения, доступ к журналам событий этих СрЗИ либо к аналитике событий в разрезе инцидентов, например, если применяется СрЗИ класса SIEM.
- Внутренняя нормативная документация (ВНД) по ИТ- и ИБ-части. Сюда относятся приказы о назначении ответственных, эксплуатационная и техническая документация, матрицы доступов и ролевые модели. Это важно для:
- определения действующего нормативного правового режима активов компании (персональные данные (ПДн), объекты критической информационной инфраструктуры (КИИ), коммерческая тайна);
- разработки перечня рисков, связанных с активами компании, в том числе комплаенс-рисков;
- формирования дальнейшей стратегии по ИБ.
- Реальное соответствие ИБ-процессов тому, что зафиксировано «на бумаге». Наряду с анализом ВНД и ИТ-инфраструктуры полезно выстроить коммуникацию с коллегами, в том числе из смежных подразделений, чтобы оценить, как именно выстроены процессы. Так CISO может узнать, что матрица доступов закреплена, но не соблюдается; ответственный за организацию обработки персональных данных в компании был назначен, но уволился два месяца назад; сотрудники пользуются открытыми моделями искусственного интеллекта (ИИ), загружая туда чувствительную информацию, хотя подписывали соглашение о неразглашении; инциденты ИБ случались, но реагирование на них выстроено неэффективно.
- Перечень инцидентов ИБ, которые уже происходили в компании, как происходило реагирование на них, проводилось ли расследование инцидентов ИБ, принимались ли меры по совершенствованию системы защиты для снижения рисков возникновения повторных инцидентов. Все эти данные позволяют судить о зрелости процессов ИБ в организации.
- Процессы взаимодействия с внешними поставщиками услуг (подрядчики). Руководителю по ИБ важно получить ответы на вопросы, услугами каких ИТ-, ИБ-подрядчиков пользуется компания, какие доступы имеют подрядчики, заключены ли с ними соглашения о конфиденциальности, прописана ли в договорах с подрядчиками ответственность за нарушения.
Этап 2. Планирование, формирование стратегии («to be»)
После анализа информации о текущем состоянии ИБ в организации CISO может выполнить оценку рисков, определить целевое состояние ИБ-процессов и составить документ, определяющий стратегию компании в области ИБ на ближайшие периоды. Важно заметить, что стратегия ИБ должна быть согласована с видением CEO компании и содействовать достижению целей бизнеса. Рассмотрим подробнее:
- Анализ рисков должен учитывать защищаемые активы организации, выявление наиболее критичных для бизнеса информационных (автоматизированных) систем, а также оценку последствий для бизнеса при реализации рисков. В первые месяцы CISO может остановиться на качественной оценке рисков, а не количественной, впоследствии углубив и уточнив её. Для формирования стратегии даже качественная оценка рисков лучше, чем её отсутствие.
- Целевое состояние ИБ-процессов – «как должно быть» («to be») – может быть зафиксировано различными способами, например, в виде стратегии, плана или дорожной карты. При этом стратегия обычно рассчитывается на длительный период времени, а план и дорожная карта – на более короткий период, обычно от трех месяцев до 3 лет.
Направления, зафиксированные в стратегии или дорожной карте, должны соотноситься как с бизнес-целями компании, так и с ИБ-рисками, и в зависимости от всех условий могут включать:
- приведение в соответствие комплаенс-требованиям: разработка и внедрение системы обеспечения ИБ, импортозамещение на объектах КИИ, выстраивание процессов обработки и защиты ПДн с учетом ужесточившейся ответственности за утечки ПДн. Пристальное внимание и обработка комплаенс-рисков очень важны в российских реалиях из-за повышенного внимания регулирующих органов к определенным сферам и периодического изменения нормативной правовой базы. Для отдельных видов бизнеса, например, организаций финансового рынка, санкции за невыполнение требований ИБ могут привести к отзыву лицензии на основную деятельность компании, что ведет к упадку бизнеса. В связи с чем CISO должен уделить комплаенс-рискам особое внимание и корректно оценить последствия невыполнения тех или иных применимых требований ИБ законодательства;
- техническую защиту информации в отношении ключевых активов: защита периметра сети, проведение внешних пентестов, своевременное устранение уязвимостей, реагирование на инциденты ИБ, безопасная разработка и иные направления;
- обеспечение безопасности при взаимодействии с подрядчиками: перезаключение договоров с пунктами об ответственности и конфиденциальности, уточнение SLA (Service Level Agreement), установление критериев выбора подрядчиков;
- оценку достаточности штата ИБ-специалистов, определение корректности распределения их функционала, уточнение зон ответственности;
- обучение и повышение осведомленности сотрудников: повышение квалификации сотрудников компании, занятых в ИБ-подразделении, а также обучение непрофильных специалистов посредством внутренних курсов, проведения тестовых фишинговых атак, киберучений.
Дорожная карта должна содержать приоритизированный перечень мероприятий, высший приоритет – максимальная польза за минимальную стоимость внедрения (принцип Парето). С материалами первого и второго этапов, отчетом по аудиту ИБ «as is» и дорожной картой CISO может проводить защиту ИБ-бюджета перед CEO и топ-менеджментом компании, акцентируя внимание на том, какие меры снижают вероятность рисков или последствий от их реализации до приемлемых значений.
Этап 3. Запуск ключевых проектов
В завершении своего первого квартала в должности CISO может начать реализацию приоритетных мероприятий, зафиксированных в дорожной карте. Конечно, многое зависит от выделенных бюджетов, но даже в условиях обычной операционной деятельности руководитель по ИБ может инициировать важные процессы, не требующие вложений, но влияющие на устойчивость организации в целом.
На этом этапе и в дальнейшей работе CISO важно не уходить в самоличное тушение всех «пожаров», а оптимизировать работу ИБ-подразделения для комплексного решения возникающих проблем и улучшения состояния ИБ в компании в целом.
Таким образом, первые 90 дней CISO в новой должности – очень важный и наполненный событиями период. Начиная от установления взаимодействия с топ-менеджментом и смежными подразделениями, заканчивая первыми запущенными улучшениями, руководитель по ИБ всегда должен находиться в балансе: между безопасностью и бизнесом, между срочностью и важностью, между глубиной и скоростью принятия решений. Именно в этот период закладывается фундамент ИБ-функции в компании и восприятие ИБ со стороны CEO, поэтому взвешенный подход – не разрушить и построить с нуля, а постепенно улучшать существующее – с большей долей вероятности позволит получить кредит доверия к CISO со стороны руководства на все последующие периоды.
Автор: Юлия Петухова, старший аналитик АЦ, УЦСБ.



