Перейти к содержанию
View in the app

A better way to browse. Learn more.

IT2B - Технологии разведки для бизнеса

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Проблемы отросли

Featured Replies

Опубликовано

- А можно ознакомиться с результатами работы предыдущего CISO? – спросил я, зайдя в свой «второй дом».

- Кого, кого?

- Вашего предыдущего начальника.

Женщина в летах вывалила мне на стол пару десятков папок «Дело» и ворох еще неподшитых бумаг.

- Это что?

- Труды предыдущего владельца этих хором, - в словах прозвучала ирония и скрытая усмешка и по поводу «трудов» и по поводу «хором». И, правда, отдел размещался на задворках здания компании в небольшом помещении площадью 12 квадратных метров.

- А в электронном виде нет? – спросил я, недоуменно глядя на поданный мне архаизм.

- Нет. Предыдущий начальник не доверял всем этим ЭВМ. И я разделяю его опасения. Хакеры, вирусы, жуки всякие…

- Мда, - подумал я. - И это отдел защиты информации, который должен быть на передовой информационных технологий. Работка мне предстоит не простая.

 

Так начался мой первый день в качестве руководителя отдела защиты информации крупной добывающей компании. Возглавленное мной подразделение считалось в компании непрестижным, о чем мне поведал мой друг, работающий здесь в департаменте логистики.

- Твоего предшественника все считали дармоедом, - сказал он во время ланча еще тогда, когда я только думал, принимать сделанное мне рекрутинговой компанией предложение или нет.

– Мы от него отдачи никакой не видели, а денег он просил регулярно и много. Да. Вот еще что. Разругаться он успел со всеми руководителями, кроме Главного. На планерках он постоянно пытался всем указывать и раздавал приказы. Короче все забили на него, и что он делал последние полгода никто не знает. Так что думай, стоит ли ввязываться в таких условиях?.. – предупредил меня друг.

 

- Да, опасения подтверждаются, - подумал я после краткого просмотра дел, полученных от МарьИванны, помощницы «бывшего». – Незавидное мне досталось хозяйство. Почти как Геракл в Авгиевых конюшнях. Надо как-то выходить из столь незавидного положения.

 

Первым делом я решил составить список задач, которые мне предстояло решить в ближайший месяц и квартал. Именно от их удачного завершения зависит успех того, ради чего меня наняли. Хотя именно этого-то я и не знаю. Собеседуя меня, Главный как-то расплывчато сказал: «Ну, вы сами знаете, что надо делать. Удачи!» Похоже он и сам не знал, что я должен делать. Думал: «Так принято».

 

- Для начала соберу отзывы о своем подразделении от тех, для кого я и должен работать – от бизнеса. Заодно познакомлюсь с руководителями этих отделов, зарабатывающих деньги, пойму их задачи и приоритеты. Работа предстоит непростая – мой предшественник оставил по себе плохую память и мне надо как-то сломать это отношение. На ближайшую неделю дел у меня полно…

 

День второй. Неделю спустя

 

- Ну как? Провел беседу с нашим средним звеном, - спросил меня мой товарищ.

- Да, конечно. Сначала было сложно ломать стереотипы, но потом все пошло по накатанной. Мне повезло - мой предшественник так тесно не взаимодействовал с бизнес-подразделениями и не ставил перед собой цель во всем руководствоваться их интересами. А ведь именно от воли руководителей среднего звена зависит успех или неуспех информационной безопасности. Самые громкие слова топ-менеджмента о безопасности так и останутся словами, если они будут воплощены в жизнь рядовыми сотрудниками под руководством людей, находящихся на среднем уровне иерархии. В конце концов, безопасность – это не стратегическая, а операционная деятельность, которой занимаются не высокие чины.

- Теперь-то, что будешь делать?

- Что от меня ждут руководители отделов я понял, куда двигаться дальше я знаю. Дело осталось за малым - получить санкцию руководства. Обращусь к нему; представлю первый этап реорганизации всех процессов, связанных с моим направлением. - Хочу создать комитет по безопасности. Добро руководителей среднего звена я получил – осталось топ-менеджмент привлечь.

- Да? Зачем тебе этот комитет?

- Ну как же? Безопасность - дело общее и пронизывает она всю компанию сверху донизу. Я один не в состоянии сделать все. К тому же, мое дело – контроль. Такие вещи, как внедрение, лежат на ИТ. А постановка целей и анализ результатов – прерогатива бизнес-подразделений. Я оказываю им всестороннюю поддержку, но за конечный результат отвечают все-таки они. Бизнес за финансовые результаты, а ИТ – за бесперебойную работу всей инфраструктуры. Моя цель, чтобы это все скоординировать и осуществлять защищенным образом.

- А комитет-то тут причем?

- А комитет объединит все заинтересованные стороны и позволит вырабатывать консолидированное мнение. Это значит, что мы вместе примем решение и отвечать за него будем вместе. При таком подходе никто не сможет сказать: «Я не виноват - это все они». Конечно, решение принимается чуть дольше, чем единолично, но зато и эффект будет несоизмеримо выше. Да и топ-менеджмент с большим доверием будет относиться к принятым сообща решениям.

- Я думал за безопасность должен отвечать только ты.

- Не совсем так. Вспомни, когда у вас внедряли портал, кто ставил цели и оценивал результат? Не ИТ, а HR. А когда ERP внедряли? Аналогично. Главенствовал бизнес, а не ИТ-служба. С безопасностью все тоже самое. Ты меня лучше просвети в вашей внутренней кухне. Каковы политические течения? Как выделяют деньги? Есть ли кланы? Выделяет ли руководство каких-нибудь фаворитов? Есть ли у него какие-нибудь привычки, хобби, ну и т.д.?

 

День третий. Спустя месяц

 

Сформировав команду из руководителей наиболее важных подразделений, я добился того, что все работали сообща. Такие же коллегиальные были и решения – уже никто не мог валить все «на того парня» или запускать высокорискованный проект или незащищенный сервис. Показав свою заинтересованность в «их» делах, я получил их поддержку, что и стало залогом моего дальнейшего успеха. «Сарафанное радио» разнесло по компании, что я не «твердолобый дармоед в погонах», а «рубаха-парень», с которым можно иметь дело.

 

Встреча с руководством прошла успешно – я получил добро на большинство своих инициатив. Интересной получилось встреча и с финансовым директором. Я «вышел на него» не с кипой счетов на покупку межсетевых экранов и антивирусов, а с четко проработанным планом финансирования своего направления, на котором стояли визы всех членов сформированного мной комитета по информационной безопасности. Все проекты были разделены на 3 типа:

• фундаментальные, без которых не обойтись (в частности, ежегодное обновление корпоративного антивируса).

• поддерживающие, для операционной поддержки и снижения TCO

• прямо влияющие на бизнес.

 

Согласование с комитетом по ИБ помогло мне определиться и с источниками финансирования моих инициатив. Стратегические проекты (их оказалось всего 3) бюджетировались на уровне компании в целом, также как и поддерживающие (фундаментальные) инициативы. А вот деньги на все промежуточные задачи были найдены в бюджетах бизнес-подразделений, ИТ и т.д. Например, деньги на программу повышения осведомленности персонала в области защиты корпоративных ресурсов я получил от HR-подразделения, а ресурсы на защиту ERP-системы изыскались у отдела внутреннего аудита, заинтересованного в соответствии наших корпоративных систем требованиям SOX, ISO 27001 и других стандартов, которым мы, как компания, работающая на международной арене, должны были соответствовать.

 

Уже когда я уходил от CFO, он, как бы проверяя меня, спросил: «Я слышал, что бюджет на защиту информации должен составлять около 5% от ИТ-бюджета. Что вы об этом думаете?»

Врасплох меня он не застал и мой ответ не заставил его ждать.

- Какие 5% от ИТ бюджета? Кто и откуда взял эти цифры? И почему они стали стандартом де-факто для всех? ИБ-бюджет зависит только от решаемых задач и ни от чего больше. Он может быть и больше 5% и меньше 1%. К тому же, как выделить бюджет на ИБ от бюджета на сетевую инфраструктуру, системные и бизнес-приложения и их администрирование? Это цифра очень спорна и обычно приводится, когда все остальные доводы исчерпаны.

Видимо мой ответ удовлетворил нашего финансового гуру и больше он ставил мне палки в колеса, понимая, что я работаю на благо компании, а не «для галочки».

 

На очередных посиделках с товарищем речь зашла о взаимодействии с ИТ-департаментом:

- А как у тебя с ИТшниками?

- Поначалу было сложно. CIO был в отпуске, а его заместитель отличался консерватизмом в отношении информационной безопасности. Хорошо, хоть CIO вернулся – с ним мы быстро нашли общий язык. А во время его отсутствия я как раз решал вопросы по созданию комитета по ИБ и другие оргвопросы, так что дел было много и без ИТ.

- А сейчас-то о чем с ними договорились?

- Главное, что мы согласовали с ИТ разделение функций. На мне выработка согласованных требований и контроль их исполнения, а на них собственно реализация. В конце концов за работоспособность сети отвечает ИТ-служба; им и карты в руки. Главное, что мы не разругались, а то пришлось бы прибегать к помощи начальства, а это хуже всего для дела.

- А вообще над чем сейчас трудишься?

- Ну у меня сейчас 3 приоритетных направления. Во-первых, я разрабатываю архитектуру безопасности, которая будет основополагающим столпом для компании в области безопасности. От нее уже пойдут ответвления и по части ИТ, и по части работы с персоналом, и по части взаимодействия со службой безопасности и т.д. Во-вторых, я сейчас хочу выработать метрики оценки эффективности процессов по безопасности. Чтобы и самому себя контролировать и остальным демонстрировать свои «успехи». Ну и, наконец, совместно с HR мы разрабатываем программу повышения осведомленности персонала. Если мы ее успешно внедрим, то и денег на технические решения потребуется поменьше.

- А с людьми у тебя как?

- Ну людей как обычно не хватает. Сменил себе ассистента. А то МарьИванна была еще та «штучка». Теперь хочу взять человека для взаимодействия с бизнес-подразделениями. Пусть контролирует потребности наших основных заказчиков. Ну и еще есть пара вакансий, которые надо задействовать.

 

День четвертый. Полгода спустя

 

Спустя полгода еле занявшийся огонек превратился в пламя и процесс управления информационной безопасности в компании полыхал во всю. Все подразделения были вовлечены в эту работу и никто уже не называл нас Business Prevention Department. Принятая архитектура безопасности и программа повышения осведомленности персонала позволила сконцентрироваться на ключевых моментах и не распыляться по мелочам. Набранные в отдел сотрудники держали руку на пульсе, что позволило мне сконцентрироваться на совершенно новой области развития своего направления – модели предоставления безопасности, как сервиса.

 

Учитывая, что аналогичную работу проводил и наш ИТ-департамент, внедряющий в компании ITIL, я подключился к этому процессу со своей стороны. Взаимодействие с CIO позволило нам выработать соглашение о качестве обслуживания (SLA) и строго придерживаться его в работе с внутренними заказчиками. Учитывая, что и подразделения были соответствующим образом подготовлены, и метрики оценки эффективности были разработаны и утверждены, этот процесс прошел практически без проблем. Хотя сначала CIO скептически относился к идее выработки SLA по безопасности.

- Как вы предлагаете считать безопасность? В каких метриках? – спросил он меня на первой нашей встрече, посвященной внедрению ITIL.

- Все достаточно просто. Для простоты возьмем защиту трейдинговой онлайн-площадки с помощью межсетевого экрана. В качестве параметров для SLA могут выступать время на изменение или добавление правил разграничения доступа, время реагирования на атаки, время восстановления работоспособности атакованной системы и/или системы защиты и т.д.

- Интересно. Как-то не думал я о декомпозиции до такого уровня, - задумавшись, ответил мне CIO.

- Можно пойти и еще дальше и измерять, например, процесс подключения нового пользователя в информационную систему. Здесь у нас появляются такие показатели, как время ввода информации о новом пользователе, время его ежедневной регистрации в системе, время реагирования на запрос в Service Desk по поводу неудачного входа в систему, время смены пароля и т.д. И измерять эффективность этого процесса тоже можно. Как с помощью уже названных метрик, так и используя новые и сугубо внутренние параметры. Например, число удачных и неудачных попыток входа в систему за единицу времени или стоимость обработки и количество обращений в Service Desk, стоимость и время реагирования на инцидент, связанный с неудачной попыткой входа в систему и т.д.

- А что! Интересная мысль. Мы ведь так действительно сможем расписать все задачи, связанные с безопасностью и связать их с количественными характеристиками.

 

К внедренной ИТшниками системе Service Desk мы подключили наш небольшой центр управления безопасностью (security operations center) и получили единую точку входа на все возникающие в компании инциденты и проблемы. Учитывая, что все эксплуатационщики сидели в ИТ-департаменте и людей, работающих «руками» у меня не было, внедрение HelpDesk сильно упростило и нашу работу и взаимодействие со всеми остальными подразделениями, участвующими в информационной безопасности – ИТ, HR, внутренний аудит и т.д.

 

День пятый. Прощание

 

И вот настал день моего прощания с компанией. Меня пригласили во вновь образованную объединенную судостроительную компанию и я посчитал, что это будет интересным шагом в моем профессиональном развитии. Здесь процессы были налажены, и я не считал, что покидаю тонущий корабль.

 

Перед устроенной мной прощальной вечеринкой, я сидел в своем кабинете и вспоминал прошедшие годы. Я действительно добился много, несмотря на то, что сначала в успех моей затеи никто не верил. Безопасность воспринималась всеми как технологическая задача, и никто не связывал ее с бизнесом, не думал, что эффективность безопасности можно измерять и т.д. И хотя я понимал, что в мгновение ока цели не достичь, унывать я не собирался.

 

Я выделил стратегические цели бизнеса и увязал все свои проекты с ними. Я создал комитет по безопасности и заручился поддержкой всех руководителей бизнес-подразделений. Я смог выработать подход по оценке эффективности всех внедряемых процессов и решений. Не все руководство одобряло мои идеи и мне пришлось пустить в ход все свое красноречие и дипломатический талант, «обращая в свою веру» высокопоставленных руководителей.

 

- Повезло мне, - думал я. Если бы не достаточно высокий уровень зрелости компании и ее руководства, я врядли смог бы так вписаться в коллектив со своими «продвинутыми» идеями. Думаю, именно это и обусловило мой успех. В любой другой ситуации пришлось бы действовать по старинке, каждый раз с трудом выбивая несколько десятков тысяч долларов на приобретение или обновление средств защиты. Не знаю, что будет на новом месте? В любом случае, это я получил бесценный опыт, который смогу применить и на новой работе. Пока могу только заметить, что, как говорил руководитель несуществующей уже страны, «процесс действительно пошел» и от меня уже мало что зависит. Отдел работает, связи выстроены, процессы налажены. Главное поддерживать это все и не дать механизму сломаться…

 

- Михаил Васильевич, пора. - отвлек меня от размышлений голос помощницы Юли. - Все накрыто. Народ собирается…

- Ну что ж, пойдем. Негоже заставлять людей ждать…

 

Об авторе:

Алексей Викторович Лукацкий, консультант по безопасности Cisco Systems. Связаться с ним можно по тел. (495) 961-1410 или e-mail:alukatsk@cisco.com

 

http://www.securitylab.ru/opinion/294477.php

  • Ответов 25
  • Просмотры 10,6т
  • Создана
  • Последний ответ

Топ авторов темы

Для публикации сообщений создайте учётную запись или авторизуйтесь

Account

Navigation

Поиск

Поиск

Configure browser push notifications

Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.