Business Information Security Officer – востребованный герой нашего времени
Валерий Естехин, 28/04/21
Основная цель процессов ИТ и ИБ в компаниях – это предоставление бизнесу оптимальных сервисов по обоснованной цене с учетом сопутствующих рисков. Управление этими рисками дает бизнесу разумную гарантию, что не реализуется такой сценарий, который сможет существенным образом повлиять на достижение компанией стратегических целей. К сожалению, ИТ- и ИБ-риски во многих компаниях часто оказываются вторичными по отношению к бизнес-целям.
Автор: Валерий Естехин, эксперт по вопросам информационной безопасности, автор блога estekhin.blogspot.ru
Как ИБ стать стратегическим партнером бизнесу?
Для некоторых крупных компаний уже недостаточно директора по информационным технологиям (CIO) и директора по информационной безопасности (CISO). Нужен тот, кто умеет "продавать" топ-менеджменту идеальную модель безопасной компании, а именно деловой директор по информационной безопасности – Business Information Security Officer (BISO). Он должен объединить стратегию кибербезопасности с бизнес-целями компании. Для этого BISO необходимо не только обладать высокой осведомленностью в ключевых технологических тенденциях ИТ и ИБ, но и разбираться в бизнес-процессах компании.
Основные задачи BISO:
- понимать реальную экономику бизнеса;
- способствовать включению информационной безопасности во внутреннюю культуру бизнеса;
- переводить технические вопросы ИТ и ИБ в русло бизнес-требований;
- четко и эффективно общаться как с технологическими, так и с деловыми партнерами, выступая в качестве контактного лица – советника по вопросам ИБ;
- способствовать соблюдению политик и нормативных требований ИБ;
- управлять рисками ИБ с учетом их:
- финансового воздействия на компанию;
- регуляторного воздействия на компанию;
- воздействия на репутацию компании;
- воздействия на операционную деятельность компании; - способствовать обмену информацией, достижению эффективных рабочих отношений на всех уровнях с целью повышения устойчивости компании к внешним и внутренним угрозам;
- контролировать эффективность инициатив в области кибербезопасности с целью минимизации потерь от реализации существующих ИТ- и ИБ-рисков;
- предоставлять бизнесу тотальный срез по всем ИТ- и ИБ-рискам портфеля ИТуслуг компании, влияющим на цели и задачи бизнеса;
- знать структуру и динамику затрат на ИТ и ИБ у конкурентов.
Что же такого может BISO в отличие от CISO?
BISO отводится роль связующего звена между топ-менеджментом, бизнес-подразделениями, ИТ-службой и службой информационной безопасности (ИБ). BISO может помочь бизнесу в достижении целей, представляя эффективную стратегию безопасности, дорожную карту работ и проектов по ИБ на будущее.
Нанимали – веселились, посчитали – прослезились Итак, руководитель компании принял решение нанять очаровавшего его на собеседовании своими сертификатами делового директора по кибербезопасности и вполне обоснованно ожидает, что тот обеспечит надежную защиту бизнеса от внешних и внутренних угроз за разумную цену и в разумные сроки.
Однако при этом никто не гарантирует BISO, что проведение им последовательных шагов в направлении укрепления кибербезопасности компании непременно станет "историей успеха".
Варианты финала могут быть разные.
Риск не оправдать надежд
Во-первых, BISO может потребоваться "своя" команда. Это может повлечь раздувание штата. Через пару месяцев вдруг окажется, что новый директор нанял себе целый штат помощников с целью изучения известных техник, тактик и инструментов атакующих для проактивного обнаружения угроз и поэтапного укрепления защищенности компании. Так компания попадает в экзистенциальный ад исследования безопасности, где ее ИТ-инфраструктуру ломают самыми изощренными способами, привлекая разные команды пентестеров. При этом число уволенных за косяки сотрудников удваивается каждый квартал.
Многоотраслевой "спец на час"
Во-вторых, для BISO существует риск стать директором-популяризатором ("директором на час") ключевых задач бизнеса, связанных с кибербезопасностью компании. Такой BISO будет без конца штамповать блестящие презентации в PowerPoint с манящими заголовками: "Зачем нужна ИБ и какой она должна быть?"; "Что от ИБ ждет бизнес?"; "Как реально защитить организацию и ее активы от киберпреступников, сотрудников и промышленного шпионажа?"; "Какие средства защиты и проекты по ИБ реально нужны и почему?"; "Как не "перекрутить гайки" с безопасностью?"; "Чем грозят бизнесу токсичные законодательные инициативы регуляторов?" и т.д. Но все то, что он способен привнести в компанию на своем "юношеском задоре", по причине того же "юношеского задора" по желанию руководства может в одночасье рухнуть.
Поэтому такие BISO-популяризаторы долго в компаниях не задерживаются.
Но риск быть непонятым не особенно беспокоит этот тип BISO, ведь всегда можно найти себе применение в другой компании, которой требуется "опытный и харизматичный" человек на эту должность.
Осознание внутренней противоречивости роли BISO
Приходя в новую компанию, BISO, как правило, находит повсюду факторы риска и недостатки в инфраструктуре, в ИТ-архитектуре, в кадровом, финансовом, юридическом обеспечении персонала компании, о чем немедленно докладывает руководству. И это может насторожить бизнес.
С одной стороны, по мнению руководства, BISO должен демонстрировать свое понимание бережливого бизнеса, стратегии, возможностей роста, культуры, финансового управления затратами.
С другой стороны, реальность такова, что без параноидального стремления к безопасности компанию рано или поздно взломают. В настоящий момент мы наблюдаем революцию в области коммуникаций и удаленной работы, а фокус деятельности у многих компаний сместился в онлайн. Можно также с уверенностью сказать, что у каждого онлайн-сервиса существуют риски в процессах, влияющие на ценность услуги на разных стадиях жизненного цикла.
Условия деятельности компании, влияющие на безопасность:
- практически каждый сервис можно монетизировать (монетизации активов в результате действий внутренних и внешних злоумышленников либо в результате кибератак);
- ошибки в стратегии защиты онлайн-сервисов обойдутся компании слишком дорого (атаки вирусов-шифровальщиков);
- обеспечение непрерывности бизнеса – задача всех основных и обслуживающих подразделений компании (убытки, понесенные в результате простоя ИТ-систем, не могут быть ниже, чем убытки, нанесенные прерыванием бизнес-процессов, которые эти ИТ-системы обеспечивают);
- все возможные коммуникационные каналы и онлайн-сервисы компании могут подвергаться атакам злоумышленников.
BISO должен одинаково влиять и на персонал, и на руководство, чтобы не допустить игнорирования рекомендаций специалистов по кибербезопасности.
Область ИБ пока не сформировалась в головах руководителей как самостоятельная сфера по примеру ИТ, бухгалтерии, управления персоналом, пожарной безопасности. Также отношения с ИТ у ИБ иногда бывают очень вязкие из-за нежелания ИТ-службы вносить изменения в ИТ-инфраструктуру по чьей-то указке.
Все перечисленное приводит к тому, что ИБ-службе подчас очень трудно доказать, какая уязвимость точно приведет к краху ИТ-инфраструктуры (доминирующие в данный момент угрозы могут быть пересмотрены и опровергнуты в будущем, после появления новых технологий или открытия каких-нибудь уязвимостей) и что текущие изменения – как реакция на актуальные уязвимости – не вносятся своевременно.
Другими словами, существует очевидное несоответствие между недовольством бизнеса величиной постоянных затрат на создание необходимой безопасной инфраструктуры и тем, как видит эти процессы BISO.
Ставка на покупку компетенции в лице BISO
Роль BISO в достижении стратегических целей бизнеса все еще экзотика для российских компаний. Было бы ошибкой ожидать, что введение должности BISO волшебным образом улучшит качество управления компанией, скорее это приведет к созданию еще одного центра затрат и влияния. Даже в зрелых организациях роль BISO воспринимается по-разному. Где-то он призван обеспечить за короткое время реализацию инициатив в области безопасности с учетом бизнес-контекста компании. Гдето он лишь звено в иерархической структуре реагирования и управления рисками, призванное использовать свою значительную экспертизу в технологиях безопасности для оказания влияния на убеждения и взгляды топ-менеджмента компании.
Управление кибербезопасностью должно соответствовать бизнес-целям, и поэтому со временем, вероятно, должность BISO будет появляться во все большем числе крупных компаний, так как владельцы бизнеса уже осознали непредсказуемость наступления киберрисков и необратимость негативных последствии от них.
BISO может стать не только стратегическим активом компании. Эффективное управление рисками, основанное на глубоком понимании затрат на ИТ и ИБ, поможет BISO грамотно распределить инвестиции в средства защиты технологического стека и в целом повысить эффективность команд, отвечающих за информационную безопасность.
Теоретически можно выбрать сколько угодно путей повышения киберустойчивости компании. Задача BISO – добиться правильного баланса и способствовать тому, чтобы мероприятия по ИБ не концентрировались исключительно на технологических аспектах безопасного выполнения бизнес-процессов.
Комментарий эксперта
Константин Саматов, член Правления АРСИБ (Ассоциация руководителей служб информационной безопасности)
Современный бизнес ждет от руководителя подразделения информационной безопасности (CISO) умения выстраивать процессы информационной безопасности и управлять техническими специалистами, а также способности продавать функционал ИБ другим структурным подразделениям компании, а иногда и контрагентам.
Однако ввиду того, что традиционно на должность CISO рассматриваются профессионалы, имеющие прежде всего технический бэкграунд, инженерные компетенции и техническое образование (что находит свое отражение в том числе и в требованиях регуляторов), возникает потребность в новой роли, Business Information Security Officer (BISO).
В целом практика включения роли BISO в мире не нова, но следует отметить, что BISO в подавляющем большинстве случаев – это не директор и не руководитель самостоятельного подразделения, что, в общем-то, и следует из содержания самой аббревиатуры, BISO – это Officer, а не Chief и не Head. Поэтому наиболее эффективно, на мой взгляд, рассматривать BISO как советника, консультанта по вопросам ИБ или менеджера по ИБ, как это и бывает во многих международных компаниях.
С практической точки зрения я бы рекомендовал рассматривать на роль BISO профессионала с хорошим управленческим бэкграундом и управленческим образованием (возможно, степенью МВА) на позиции заместителя или советника для CISO, имеющего хороший технический бэкграунд. Именно на этой должности BISO и сможет эффективно выполнять роль связующего звена, про которое говорит автор статьи. Кроме того, в этом случае BISO и CISO будут хорошо дополнять друг друга, компенсируя свои слабые стороны и используя сильные, что решит многие вопросы, обозначенные автором статьи.