Чем занимаются плохие менеджеры ИБ?
Последние 6 лет я провел, работая в направлениях информационной безопасности, управления ИТ-рисками и ИТ-аудита.
Будучи педантом, я очень заморочен вопросом персональной эффективности и постоянно ищу способы её повышения в рамках курируемых мною рабочих вопросов. В ход идет и обучениесертификация, позволяющие систематизировать знания и провести гап-анализ своих практик в сравнении с общепризнанными, и общение с коллегами по интересам — за несколько лет я оброс знакомствами с ИБ специалистами разного уровня, начиная от технических администраторов, заканчивая топ-менеджерами крупных компаний. Но самую большую пользу мне принесла и приносит обратная связь от конечных пользователей и менеджеров, то есть от бизнеса.
Имхо, мне удалось добиться определенных успехов в популяризации информационной безопасности на выделенном мне периметре (и что не менее важно, в повышении уровня информационной безопасности), в то же время, я вижу как некоторые коллеги, возглавляющие службы ИБ терпят неудачи. Сейчас я расскажу, как потерпеть неудачу, когда тебя назначили руководителем службы ИБ всего за 9 простых шагов. Предупреждаю, что путь к плохому руководителю ИБ службы может занять более года, а как правило — 10-12 лет.
1. Не общайся с владельцами бизнес функций в компании.
Владелец бизнес функции — топ менеджер, который отвечает за какое-либо направление бизнеса и, соответственно, несет все присущие риски. Возьмем, к примеру, банк — какой-нибудь зампред по розничному бизнесу курирует работу ритейла, он то и есть владелец этой бизнес функции, ему наиболее не всё равно, работает ли фронтовая система, сколько времени занимает открытие отделения и как долго сбрасывают пароль единственному сотруднику на точке продаж. Если ты хочешь повысить отказоустойчивость (доступность) фронтовой системы, то среди людей, согласующих бюджет, возможно, он будет единственным, на кого повлияют твои доводы. Другой банковский пример — вице-президентзампред по удаленному обслуживанию. Кого если не его беспокоит судьба системы интернет-банкинга? Кто будет проталкивать с тобой идею внедрения горячего резервирования и токенов? А знаешь почему ваш сервер интернет-банкинга хостится на win2k, а администрируется по radmin’у под учеткой доменного админа?
2. Ты никогда не участвуешь в проектах
Если не хочешь, чтобы контроли и средства защиты были внедрены к выходу системы в продакшн, то лучшее время для игнорирования требований ИБ — начало проекта, тот самый момент, когда прикидываются сроки, бюджеты и примерная архитектура. Отсутствие оценки рисков на первых этапах внедрения проекта приводит к огромной головной боли в будущем и существенно повышает затраты на приведение ситуации в порядок. Но ты же не будешь приводить ситуацию в порядок.
3. Ты никогда не рассказываешь о проблемах ИБ внутренним аудиторам
Тебе ведь виднее, что творится в компании и тебе не нужен независимый взгляд со стороны.
А самое важное, тебе не нужно, чтобы кто-то оказывал дополнительное давление на топ-менеджеров, вынуждая их принимать меры к снижению ИТИБ рисков.
4. Потому что риск-ориентированный подход будет только мешать
Так как с ним не получится внедрить DLP (data leakage prevention) решение за 20млн. (для защиты активов на 230 рублей мелочью), чтобы мониторить переписку пользователей и запрещать им сидеть вконтакте. Ведь кому, как ни тебе заниматься вопросами мотивации и повышением лояльности сотрудников?
5. Не общайся с пользователями
Мнение пользователей не важно, потому что они не разбираются в вопросах ИБ и априори не могут возразить ничего конструктивного против твоего экспертного мнения.
Внедряемые тобой изменения это вынужденные меры, повышающие информационную безопасность в компании, и, производительность труда (естественно).
7. Внедряй безопасность ради безопасности
Yo Dawg, I herd you like DLP, so I put DLP in your DLP.
Контролей много не бывает, поэтому хорошо бы запретить скачку файлов из интернет. А доступ осуществлять по логину и паролю, естественно с подтверждением каждого перехода между страницами одноразовым смс-паролем. Но, только после подтверждения операции ответственным сотрудником (с занесением в бумажный журнал, хранящийся в сейфе), который по пути к своему рабочему месту прошел через два шлюза, пять раз предъявил пропуск, дважды расписался и написал объяснительную, т.к. забыл вынуть флешку из кармана, когда проходил через рентген.
Никому не позволено нарушать твою политику информационной безопасности!
8. Не стоит согласовывать политики с руководством компании
Кто если не ты сможет диктовать ИБ политику в компании? Ведь ты же эксперт, тебя наняли для обеспечения информационной безопасности. Всё просто — если бы от тебя хотели, чтобы ты отражал интересы бизнеса или пользователей, тебя бы наняли на какую-нибудь другую должность.
Поэтому, скачай политику из интернет, добавь в неё щепотку блекджека и тихонько подсунь на подпись главному.
9. Скрывай результаты своей работы от менеджмента
Если не дай бог, тебя попросят отчитаться о результатах работы, то рецепт прост. Делаешь презентацию со следующими слайдами:
— выгрузка из консоли антивируса, чем больше цифр — тем лучше. Это самые наглядные данные о самых опасных угрозах. 93,8%!!!
— служебная записка на имя председателя с результатами расследования инцидента с флешкой, чем больше текста состоящего из длинных цепочек букв — тем лучше. Желательно, приложить объяснительную.
— Выгрузка с прокси со списком посещенных ресурсов и расходу трафика. Чтобы вызвать живой интерес у аудитории, следует красным выделить самые сальные сайты,
А ведь чтобы не заниматься бесполезной ерундой, достаточно:
— Помнить, что существенная часть информационной безопасности держится только на сознательности пользователя (его надо обучать, ему надо помогать, его надо слушать)
— Быть открытым и про-активным в общении с сотрудниками и менеджментом
— Вовлекать топ менеджмент в управление информационной безопасностью, заинтересовать их и получить поддержку.
— Понимать бизнес, который ты защищаешь и предлагать решение проблем (до их появления)
— Понимать активы, которые нужно защищать
— Не тратить ресурсы на внедрение не нужных контролей. Помнить о costbenefit составляющей — прикинуть, сколько стоила только что внедренная система безопасности и каков был бы потенциальный количественный ущерб от инцидента.
— Не закрываться в своём коконе. Это касается как общей дружелюбности в общении, так и возможности привлекать других заинтересованных участников в решение насущных проблемы ИБ (как в примере выше с аудитом, который зачастую имеет больше влияния и независимости в компании).
— Вести диалог на доступном языке. Для пользователей — это давно забытый человеческий язык простых людей. Для менеджмента — язык денег, если ты сможешь продать свой план снижения рисков одному из топ-менеджеров, то он уже сможет продать его тому, кто отслюнявит деньги.
— Помнить, что существенная часть информационной безопасности держится только на сознательности пользователя (настолько прочно она держится)
— [Актуально для больших компаний] Каждое достижение в сфере ИБ можно упаковать в красивую обертку и презентовать одному из руководителей, он в своё очередь презентует это на ступень выше и так далее. Это существенная часть эффективной жизни в корпоративной среде, где топ менеджмент обычно живет только решением проблем и негативом, и стремится удержать свою должность. Если ты будешь приносить такие конфеты своему руководителю, то очень вероятно, он будет прилагать усилия, чтобы продвигать твои предложения и решения, которые будут генерировать больше конфет.
Буду рад подискутировать на эту тему, еще больше рад, если кто-то в этой статье увидит свои ошибки и задумается.
Автор: numberfive