Что нужно, чтобы быть CISO: успех и лидерство в сфере корпоративной информационной безопасности

Комментарии нашего руководителя отдела информационной безопасности к результатам опроса его коллег из разных стран.

Как выглядит кибербезопасность в глазах людей, работающих на позиции директора по информационной безопасности (CISO) и ее эквивалентах? Какие проблемы стоят перед ними и какие перспективы они для себя видят? Чтобы узнать ответ на эти вопросы, «Лаборатория Касперского» опросила 250 директоров по всему миру. Ответы местами очень интересны, хотя не могу сказать, что я во всем согласен со своими коллегами.

Взять, например, такой вопрос: в чем измерять эффективность работы CISO? Большинство склоняется к варианту, что главный показатель — это качество и скорость реагирования на инцидент. То, что этот вариант ответа стоит на первом месте, неудивительно. Вообще в современных компаниях все чаще уходят от практики считать киберинцидент каким-то провалом работы безопасников. Отрадно видеть, как растет понимание того, что инциденты неизбежны. Более того, — что они достаточно регулярны. Так что безопасность, в первую очередь, подразумевает выживание компании.

Под выживанием следует понимать гарантированный определенный уровень защиты компании. Обеспечение возможности при сложной целевой атаке, масштабной утечке или мощной DDoS-атаке без особых потерь восстановиться или потерять не больше определенного минимума. То есть CISO сегодня фокусируются на реагировании на инциденты.

С одной стороны, это хорошо. Потому что еще совсем недавно был другой перекос — в сторону превентивных технологий. Считалось, что они должны со стопроцентной вероятностью защищать инфраструктуру от инцидентов. С другой стороны, фокус исключительно на реактивные технологии — это тоже перегиб. На мой взгляд, важно соблюдать баланс. Важны все элементы адаптивной архитектуры — Prevent, Detect, Respond и Predict.

К вопросу о рисках

Очень показательны ответы на вопрос о рисках после киберинцидента. Большинство считает, что самые большие риски — репутационные. Тут я полностью согласен, я бы тоже ответил именно так. Это, по сути, первопричина большинства остальных последствий инцидента. Падение стоимости акций, потеря клиентского доверия, падение продаж — прямые последствия ущерба репутации.

Собственно, именно из-за этого о многих инцидентах публика так и не узнает. Если фирмы могут скрыть инцидент, они его скрывают. При том, что законы в некоторых странах напрямую обязывают сообщать хотя бы акционерам или клиентам о такого рода происшествиях.

Также очевидно, что CISO видят разницу в мотивах атакующих и разделяют, например, атаки организуемые государствами, и атаки, которые проводятся исключительно ради наживы. Хотя лично я бы на первое место ставил атаки инсайдеров. Просто потому, что исторически они самые опасные с точки зрения ущерба. Как показывает практика, недобросовестный сотрудник, воспользовавшийся своим служебным положением, может причинить куда больше неприятностей, чем какие-то внешние злоумышленники.

Влияние CISO на бизнес-решения

Интересно было посмотреть, насколько руководители по безопасности, по их мнению, вовлечены в принятие решений. Я даже удивлен, что всего 58% считают, что они в достаточной мере влияют на эти процессы. Тут можно было бы ожидать и все 100%. Впрочем, это все сильно зависит от того, что они считают «достаточным».

Если коротко, то есть два варианта. Служба безопасности может контролировать каждый шаг бизнеса: разрешать или запрещать. А может служить неким консультативным органом. То есть можно настроить процессы так, что бизнес будет приходить и спрашивать: «Мы делаем вот так, это нормально?».

На первый взгляд, вариант с тотальным контролем эффективнее. Но это было бы действительно так, если бы защита была самоцелью. На практике это увеличивает штат службы безопасности и может стать тормозом для развития, особенно если компания инновационная и устоявшихся практик для защиты ее бизнес-процессов еще нет. Так что тут тоже нужен баланс.

Обоснование бюджета

А вот ответ на вопрос «Какие аргументы вы применяете для защиты бюджета?» меня расстроил. На первых местах до сих пор «страшилки» — отчеты о киберинцидентах и оценки ущерба от прошлых атак. Да, это хорошо действует на психологию. Но проблема в том, что они разговаривают с бизнесом. Бизнес можно напугать один раз, от силы два. А на третий бизнес скажет: «Ну да, страшно. А как другие с этим живут?».

Бизнесу релевантнее узнать средние показатели по рынку. Но в списке популярности аргументов для защиты бюджета эта информация только на седьмом месте. А ведь такие данные можно найти, часто даже в открытом доступе. Вот и у нас есть полезный инструмент — IT Security Calculator.

Короче говоря, отчет об исследовании дает много пищи для размышлений. Ознакомиться с полным текстом отчета можно вот здесь (на английском).

Советы

Защищаем защиту дома

Уберечь свой дом от ограблений, пожаров и прочих инцидентов часто предлагают с помощью умной техники, в первую очередь камер. Но при этом забывают обезопасить от враждебного воздействия сами системы защиты. Мы восполним этот пробел.