Контакты
Подписка 2024
Статьи по информационной безопасности

Business Information Security Officer – востребованный герой нашего времени

Валерий Естехин, 28/04/21

Основная цель процессов ИТ и ИБ в компаниях – это предоставление бизнесу оптимальных сервисов по обоснованной цене с учетом сопутствующих рисков. Управление этими рисками дает бизнесу разумную гарантию, что не реализуется такой сценарий, который сможет существенным образом повлиять на достижение компанией стратегических целей. К сожалению, ИТ- и ИБ-риски во многих компаниях часто оказываются вторичными по отношению к бизнес-целям.

Автор: Валерий Естехин, эксперт по вопросам информационной безопасности, автор блога estekhin.blogspot.ru

Как ИБ стать стратегическим партнером бизнесу?

Для некоторых крупных компаний уже недостаточно директора по информационным технологиям (CIO) и директора по информационной безопасности (CISO). Нужен тот, кто умеет "продавать" топ-менеджменту идеальную модель безопасной компании, а именно деловой директор по информационной безопасности – Business Information Security Officer (BISO). Он должен объединить стратегию кибербезопасности с бизнес-целями компании. Для этого BISO необходимо не только обладать высокой осведомленностью в ключевых технологических тенденциях ИТ и ИБ, но и разбираться в бизнес-процессах компании.

Основные задачи BISO:

  • понимать реальную экономику бизнеса;
  • способствовать включению информационной безопасности во внутреннюю культуру бизнеса;
  • переводить технические вопросы ИТ и ИБ в русло бизнес-требований;
  • четко и эффективно общаться как с технологическими, так и с деловыми партнерами, выступая в качестве контактного лица – советника по вопросам ИБ;
  • способствовать соблюдению политик и нормативных требований ИБ;
  • управлять рисками ИБ с учетом их:
    - финансового воздействия на компанию;
    - регуляторного воздействия на компанию;
    - воздействия на репутацию компании;
    - воздействия на операционную деятельность компании;
  • способствовать обмену информацией, достижению эффективных рабочих отношений на всех уровнях с целью повышения устойчивости компании к внешним и внутренним угрозам;
  • контролировать эффективность инициатив в области кибербезопасности с целью минимизации потерь от реализации существующих ИТ- и ИБ-рисков;
  • предоставлять бизнесу тотальный срез по всем ИТ- и ИБ-рискам портфеля ИТуслуг компании, влияющим на цели и задачи бизнеса;
  • знать структуру и динамику затрат на ИТ и ИБ у конкурентов.

Что же такого может BISO в отличие от CISO?

BISO отводится роль связующего звена между топ-менеджментом, бизнес-подразделениями, ИТ-службой и службой информационной безопасности (ИБ). BISO может помочь бизнесу в достижении целей, представляя эффективную стратегию безопасности, дорожную карту работ и проектов по ИБ на будущее.

Нанимали – веселились, посчитали – прослезились Итак, руководитель компании принял решение нанять очаровавшего его на собеседовании своими сертификатами делового директора по кибербезопасности и вполне обоснованно ожидает, что тот обеспечит надежную защиту бизнеса от внешних и внутренних угроз за разумную цену и в разумные сроки.

Однако при этом никто не гарантирует BISO, что проведение им последовательных шагов в направлении укрепления кибербезопасности компании непременно станет "историей успеха".

Варианты финала могут быть разные.

Риск не оправдать надежд

Во-первых, BISO может потребоваться "своя" команда. Это может повлечь раздувание штата. Через пару месяцев вдруг окажется, что новый директор нанял себе целый штат помощников с целью изучения известных техник, тактик и инструментов атакующих для проактивного обнаружения угроз и поэтапного укрепления защищенности компании. Так компания попадает в экзистенциальный ад исследования безопасности, где ее ИТ-инфраструктуру ломают самыми изощренными способами, привлекая разные команды пентестеров. При этом число уволенных за косяки сотрудников удваивается каждый квартал.

Многоотраслевой "спец на час"

Во-вторых, для BISO существует риск стать директором-популяризатором ("директором на час") ключевых задач бизнеса, связанных с кибербезопасностью компании. Такой BISO будет без конца штамповать блестящие презентации в PowerPoint с манящими заголовками: "Зачем нужна ИБ и какой она должна быть?"; "Что от ИБ ждет бизнес?"; "Как реально защитить организацию и ее активы от киберпреступников, сотрудников и промышленного шпионажа?"; "Какие средства защиты и проекты по ИБ реально нужны и почему?"; "Как не "перекрутить гайки" с безопасностью?"; "Чем грозят бизнесу токсичные законодательные инициативы регуляторов?" и т.д. Но все то, что он способен привнести в компанию на своем "юношеском задоре", по причине того же "юношеского задора" по желанию руководства может в одночасье рухнуть.

Поэтому такие BISO-популяризаторы долго в компаниях не задерживаются.

Но риск быть непонятым не особенно беспокоит этот тип BISO, ведь всегда можно найти себе применение в другой компании, которой требуется "опытный и харизматичный" человек на эту должность.

Осознание внутренней противоречивости роли BISO

Приходя в новую компанию, BISO, как правило, находит повсюду факторы риска и недостатки в инфраструктуре, в ИТ-архитектуре, в кадровом, финансовом, юридическом обеспечении персонала компании, о чем немедленно докладывает руководству. И это может насторожить бизнес.

С одной стороны, по мнению руководства, BISO должен демонстрировать свое понимание бережливого бизнеса, стратегии, возможностей роста, культуры, финансового управления затратами.

С другой стороны, реальность такова, что без параноидального стремления к безопасности компанию рано или поздно взломают. В настоящий момент мы наблюдаем революцию в области коммуникаций и удаленной работы, а фокус деятельности у многих компаний сместился в онлайн. Можно также с уверенностью сказать, что у каждого онлайн-сервиса существуют риски в процессах, влияющие на ценность услуги на разных стадиях жизненного цикла.

Условия деятельности компании, влияющие на безопасность:

  • практически каждый сервис можно монетизировать (монетизации активов в результате действий внутренних и внешних злоумышленников либо в результате кибератак);
  • ошибки в стратегии защиты онлайн-сервисов обойдутся компании слишком дорого (атаки вирусов-шифровальщиков);
  • обеспечение непрерывности бизнеса – задача всех основных и обслуживающих подразделений компании (убытки, понесенные в результате простоя ИТ-систем, не могут быть ниже, чем убытки, нанесенные прерыванием бизнес-процессов, которые эти ИТ-системы обеспечивают);
  • все возможные коммуникационные каналы и онлайн-сервисы компании могут подвергаться атакам злоумышленников.

BISO должен одинаково влиять и на персонал, и на руководство, чтобы не допустить игнорирования рекомендаций специалистов по кибербезопасности.

Область ИБ пока не сформировалась в головах руководителей как самостоятельная сфера по примеру ИТ, бухгалтерии, управления персоналом, пожарной безопасности. Также отношения с ИТ у ИБ иногда бывают очень вязкие из-за нежелания ИТ-службы вносить изменения в ИТ-инфраструктуру по чьей-то указке.

Все перечисленное приводит к тому, что ИБ-службе подчас очень трудно доказать, какая уязвимость точно приведет к краху ИТ-инфраструктуры (доминирующие в данный момент угрозы могут быть пересмотрены и опровергнуты в будущем, после появления новых технологий или открытия каких-нибудь уязвимостей) и что текущие изменения – как реакция на актуальные уязвимости – не вносятся своевременно.

Другими словами, существует очевидное несоответствие между недовольством бизнеса величиной постоянных затрат на создание необходимой безопасной инфраструктуры и тем, как видит эти процессы BISO.

Ставка на покупку компетенции в лице BISO

Роль BISO в достижении стратегических целей бизнеса все еще экзотика для российских компаний. Было бы ошибкой ожидать, что введение должности BISO волшебным образом улучшит качество управления компанией, скорее это приведет к созданию еще одного центра затрат и влияния. Даже в зрелых организациях роль BISO воспринимается по-разному. Где-то он призван обеспечить за короткое время реализацию инициатив в области безопасности с учетом бизнес-контекста компании. Гдето он лишь звено в иерархической структуре реагирования и управления рисками, призванное использовать свою значительную экспертизу в технологиях безопасности для оказания влияния на убеждения и взгляды топ-менеджмента компании.

Управление кибербезопасностью должно соответствовать бизнес-целям, и поэтому со временем, вероятно, должность BISO будет появляться во все большем числе крупных компаний, так как владельцы бизнеса уже осознали непредсказуемость наступления киберрисков и необратимость негативных последствии􀀀 от них.

BISO может стать не только стратегическим активом компании. Эффективное управление рисками, основанное на глубоком понимании затрат на ИТ и ИБ, поможет BISO грамотно распределить инвестиции в средства защиты технологического стека и в целом повысить эффективность команд, отвечающих за информационную безопасность.

Теоретически можно выбрать сколько угодно путей повышения киберустойчивости компании. Задача BISO – добиться правильного баланса и способствовать тому, чтобы мероприятия по ИБ не концентрировались исключительно на технологических аспектах безопасного выполнения бизнес-процессов.

Комментарий эксперта

Константин Саматов, член Правления АРСИБ (Ассоциация руководителей служб информационной безопасности)

Современный бизнес ждет от руководителя подразделения информационной безопасности (CISO) умения выстраивать процессы информационной безопасности и управлять техническими специалистами, а также способности продавать функционал ИБ другим структурным подразделениям компании, а иногда и контрагентам.

Однако ввиду того, что традиционно на должность CISO рассматриваются профессионалы, имеющие прежде всего технический бэкграунд, инженерные компетенции и техническое образование (что находит свое отражение в том числе и в требованиях регуляторов), возникает потребность в новой роли, Business Information Security Officer (BISO).

В целом практика включения роли BISO в мире не нова, но следует отметить, что BISO в подавляющем большинстве случаев – это не директор и не руководитель самостоятельного подразделения, что, в общем-то, и следует из содержания самой аббревиатуры, BISO – это Officer, а не Chief и не Head. Поэтому наиболее эффективно, на мой взгляд, рассматривать BISO как советника, консультанта по вопросам ИБ или менеджера по ИБ, как это и бывает во многих международных компаниях.

С практической точки зрения я бы рекомендовал рассматривать на роль BISO профессионала с хорошим управленческим бэкграундом и управленческим образованием (возможно, степенью МВА) на позиции заместителя или советника для CISO, имеющего хороший технический бэкграунд. Именно на этой должности BISO и сможет эффективно выполнять роль связующего звена, про которое говорит автор статьи. Кроме того, в этом случае BISO и CISO будут хорошо дополнять друг друга, компенсируя свои слабые стороны и используя сильные, что решит многие вопросы, обозначенные автором статьи.
Темы:УправлениеЖурнал "Информационная безопасность" №1, 2021BISO

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024
Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • От черного ящика к прозрачности: что CEO должен знать об ИБ
     Евгений Сурков, менеджер продуктов компании Innostage
    Почему CEO и высшему руководству иногда сложно понять ИБ-вызовы, какие проблемы несет отсутствие единой методологии и где найти баланс между открытостью и безопасностью?
  • Как оценить эффективность системы управления операционным риском? (чек-лист)
    Валерия Окорокова, младший консультант по ИБ RTM Group
    Рассмотрим ключевые моменты и задачи оценки эффективности системы управления операционными рисками и минимизации соответствующих расходов
  • 5 атак нового поколения, актуальных в 2023 году
    Александра Соколова, редактор Cloud Networks
    Технологии развиваются беспрецедентными темпами, и, как следствие, растет арсенал инструментов, доступных киберпреступникам для проведения сложных атак.
  • SECURITY AWARENESS: разработка мероприятий по повышению осведомленности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Поговорим о создании системы мероприятий по повышению осведомленности персонала организации в вопросах информационной безопасности. Рассмотрим, зачем они нужны, кто является их потребителем и как их организовать.
  • ЧЕК-ЛИСТ: организация реагирования на инциденты ИБ
    Чтобы решить задачу по организации/модернизации системы реагирования на инциденты, задайте себе несколько следующих вопросов.
  • Защита конечных точек: начало любой ИБ-стратегии
    Татьяна Белева, менеджер по развитию бизнеса ИБ “Сиссофт”
    Защита конечных точек (Endpoint Security) подразумевает обеспечение безопасности ПК, смартфонов и планшетов, офисной техники и серверов, которые входят в ИТ-ландшафт компании. Являясь точками ввода/вывода данных, все они вызывают повышенный интерес со стороны злоумышленников. Давайте посмотрим, как обстоят дела с защитой конечных точек сегодня.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
23 мая. Инструменты миграции на защищенный Linux
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2024, ООО "ГРОТЕК"