10 типичных ошибок руководителя ИБ

Дубцов Денис

Кратко о типичных ошибках руководителя ИБ рассказывает анекдот про три конверта: сначала вали все на предшественника, потом раздавай громкие обещания, в конце пиши свои три конверта. Как не стать временным руководителем ИБ, а закрепиться в компании надолго и быть полезным бизнесу? На этот вопрос отвечает Денис Дубцов, эксперт по информационной безопасности ГК «РАМАКС».

Денис Дубцов, ГК "РАМАКС", 10 типичных ошибок руководителя ИБ, ciso должность, цели политики иб, цели аудита иб, цель обеспечения информационной безопасности предприятия, стратегические цели информационной безопасности

Поздравляю, теперь вы CISO. В этой роли вы впервые, или вы первый CISO в вашей компании, или и то и другое. А может быть, вы работодатель этого CISO?

1. Постановка размытых целей

Давайте откроем ваши верхнеуровневые документы, определяющие деятельность службы ИБ. Что мы увидим? Цели службы ИБ где-то за «горизонтом», задачи весьма абстрактны или носят общий характер, а предполагаемый результат неизмерим или вовсе отсутствует? Это обычная картина для многих организаций, когда «безопасники» осуществляют планирование своей деятельности в отрыве от бизнеса и от его целей.

Читайте также: Ошибки при формировании информационной безопасности в компании. Ч. 1.

Руководство компании часто считает, что назначить ответственного за обеспечение ИБ достаточно для организации: «Иди и делай», «У тебя для этого есть ты». Не удивляйтесь, что в этом случае исполнитель сделает всё в строгом соответствии с указанным поручением, доступными ресурсами и полномочиями. Результат разошелся с ожиданиями? «Итальянская забастовка»? Ничего удивительного.

Помните, цели ИБ должны коррелировать с целями бизнеса и разделяться руководством, быть измеримыми, достижимыми, ориентированными на результат, а не на усилия. Соответствующие условия должны быть обеспечены и необходимые ресурсы должны быть выделены.

2. Планирование усилий и запугивание

Очень часто можно услышать от бизнес-пользователей и руководителей, что они вообще не понимают, чем занимается служба ИБ. «Безопасники» этим успешно пользуются и подкидывают очередную порцию «страшилок». Принцип таков: раз ничего не происходит, значит служба ИБ работает хорошо. Многие компании такое положение дел устраивает, и, что самое печальное, это устраивает и большинство самих «безопасников».

В стремлении доказать свое право на существование, чем отличается руководитель ИБ от страхового агента? На мета-уровне ничем. Стимулом для ваших расходов на безопасность или страховку будет продажа страха того, что риск будет реализован. Аппетит к страху и риску у всех меняется со временем. Запугивание обычно превращается в порочный круг, обосновывать своё право на существование «безопасникам» становится всё сложнее и сложнее. Затем как в том самом анекдоте.

Начните планировать получение результата, позволяющего достичь общих с бизнесом целей. Тогда вы не попадёте в порочный круг по продаже страха или сможете из него вырваться.

3. Амбиции, иллюзии и подстилка из соломы

Никто не любит людей, чьи слова расходятся с их делами. И тут уже камень в огород руководителя ИБ, который сначала говорит «гоп» и только потом понимает, что высоту не взять. «Безопасники» обычно ищут причины своих неудач вокруг себя. Часто вину сваливают на технику, еще чаще – на коллег. Вам наверняка знакомы фразы: «Вы не в курсе, что это запрещено политикой ИБ компании?», или «Вы были ознакомлены с правилами при оформлении на работу!» Разбросанная повсюду солома позволяет какое-то время падать безболезненно. Солома, как и любые другие ресурсы, рано или поздно заканчивается, но обычно еще раньше заканчивается терпение у окружающих.

Не сглаживайте углы у проблемы. Не ждите наступления последствий и не скрывайте симптомы. Не испытывайте ничьё терпение. Отвечайте за свои слова, а не эксплуатируйте правила в своих интересах. Взвешивайте свои возможности (полномочия и ресурсы) перед тем, как кинуться на очередную амбразуру. Соломы много не бывает, её нельзя разбрасывать, её нужно носить с собой.

4. Спрячемся за «периметр»

Вы решили обозначить границы цифровой среды компании и назвали её «периметром». Всё, что за его пределами - вне вашей зоны ответственности.

Немного аналитики:

По данным исследований компании IBM за 2013–2016 годы: 95% всех расследованных инцидентов ИБ признают «человеческую ошибку» как сопутствующую причину инцидента безопасности.

Участники третьего годового сравнительного исследования обеспечения ИБ, проведенного корпорацией «Cisco», считают мобильные устройства (58%), общедоступные облака (57%), облачную инфраструктуру (57%) и модель поведения пользователей (57%) важнейшими источниками угроз при кибератаках.

Данные международного опроса «Ernst & Young» за 2013–2017 годы показывают, что неосмотрительность и неосведомленность сотрудников, по мнению респондентов, лидируют в числе причин уязвимости, т. е. самым слабым звеном в системе ИБ в последние пять лет считается сам человек.

От наличия у вас «периметра», сила «припекания» того, что снаружи «периметра», не меняется...

Обозначить границы цифровой среды компании стало настолько сложно, что расхожее понятие «периметра» стало откровенно вредным. Не старайтесь ограничить этим самым «периметром» свою ответственность. Такой подход никак не соотносится с целями бизнеса и не поможет, когда вдруг «станет жарко».

5. Мы так старались, но внедрённые меры и средства защиты не работают

Тренд - действия злоумышленников с каждым днем все больше похожи на «нормальное» поведение, и системы защиты на «периметре» зачастую просто не способны отличить легитимные действия от действий злоумышленников.

Факты таковы: политика ИБ не работает, регламентам ИБ никто не следует, о существовании правил никто не знает. И все потому, что:

  • О них никому не рассказывают (осведомление носит формальный характер);
  • Сотрудники не принимают участия в обеспечении ИБ, их не обучают правильной реакции и коммуникациям;
  • С результатами контроля работают избирательно, при нарушении одних и тех же правил одним сотрудникам дают обратную связь, а другим нет.

Наладьте обучение и обратную связь по каждому инциденту, иначе в итоге вы рискуете столкнуться с «эффектом разбитых окон»,  для сотрудников правила попросту перестанут существовать, возможно, даже не появившись.

6. Пренебрежение человеческим фактором

Известная латинская поговорка гласит: «Предупреждён – значит вооружен». Поэтому, несмотря на всеобщую цифровизацию и повальную автоматизацию, по-прежнему «кадры решают всё».

Ищите возможность превратить человеческий фактор из недостатка в преимущество. Работайте с сотрудниками, снижайте количество ошибочных действий, которые приводят к инцидентам, меняйте их отношение к тому, что и как они делают. Развивайте у них должную осмотрительность и необходимые навыки.

7. Формирование негативной репутации ИБ

 

Бытует расхожее мнение, что «безопасники» мешают всем вокруг работать.

Вам нет дела до корпоративной культуры и вашей роли в ней? Вы сходу меняете политику и правила, вмешиваетесь в работу сотрудников, увольняете их? Вы не изучаете своё окружение? Выполняя задачу руководства, вы настроили окружение против себя?

8. Занимаемся не своим делом

Вы всё же решили изучить своё окружение, т.к. в своей деятельности столкнулись с сопротивлением ряда сотрудников. Полученные знания дали вам некоторое количество компромата, который вы решили использовать для давления на сопротивляющихся.

Вас можно поздравить, вы выиграли битву, но войну вы проиграете, т.к. подтверждаете то самое расхожее мнение. В работе с персоналом задействуйте отдел кадров: пускай каждый занимается своим делом. И помните: если вы не формируете репутацию ИБ в компании, то её сформируют за вас.

9. Наблюдать нельзя блокировать

В погоне за сохранностью коммерческой тайны и прочей информации ограниченного доступа вы так старались, что перекрыли все доступные вам технические каналы утечки.

Если вы ничего не слышите и не видите, то это не значит, что ничего не происходит. Это означает только то, что теперь вы понятия не имеет кто, что, как и кому «сливает».

Как и в известном крылатом выражении, во фразе «наблюдать нельзя блокировать» расставлять знаки препинания для каждой категории информации нужно по-разному. Помните, что контролируемая утечка должна оставаться всегда.

Расследования проводите тщательнее и не делайте поспешных выводов. Очень часто все люди попадают в ловушку заблуждения «После не значит вследствии».

Денис Дубцов, ГК "РАМАКС", 10 типичных ошибок руководителя ИБ, ciso должность, цели политики иб, цели аудита иб, цель обеспечения информационной безопасности предприятия, стратегические цели информационной безопасности

10. Не понимаем, чем управляем

Как бытие определяет сознание, так и подход к управлению деятельностью подвержен давлению подхода к управлению компанией в целом. Ваши попытки переделать систему, скорее всего, приведут к тому, что вы окажетесь на обочине. Ведь любая система в стремлении к самосохранению отторгает токсичный элемент (в нашем случае речь о CISO). Но даже в организации, управляемой на основе функционального подхода, все происходящее будет до боли напоминать «итальянскую забастовку». В проектной организации проектный подход будет плодить проекты по поводу и без. А российские законотворцы регулярно превращают только налаженный процесс комплаенса обратно в проект.

Смотрите также: Система развития управленческого персонала «РусГидро»

При выстраивании управления ИБ важно не нарушать правила и изначально обговаривать подход к управлению ИБ. Предложить такие цели ИБ, которые однонаправленны с извлечением прибыли. Утвердить целевые результаты и их измерение. Определить заказчика ИБ, потребителя и пользователя. Получить полномочия для управления, привлечения ресурсов и поставщиков. Заручиться поддержкой руководства и окружающих.
Например, построить сервисный процесс, регулярно его анализировать и адаптировать свою деятельность под нужды внутреннего потребителя. Возможно, есть смысл получить знания в области процессного управления и системного менеджмента.

Фото Pixabay

При использовании материала гиперссылка на соответствующую страницу портала HR-tv.ru обязательна

Добавлено 29 октября 2018




Комментировать

Партнёры

© Информационно-образовательный портал HR-tv.ru, 2012—2019. Все права защищены. Материалы ресурса являются собственностью компании.

Размещение видеороликов, статей и иных материалов на сторонних ресурсах возможно при однозначном указании источника (активная ссылка обязательна!). На регулярную и массовую републикацию материалов требуется разрешение редакции.

info@hr-tv.ru
zen.yandex.ru/id/5c4985c078e51100ad6218d5
Разработка сайта — группа «Энерго»


Яндекс.Метрика
-->