Как помочь генеральному директору построить информационную безопасность

Как помочь генеральному директору построить информационную безопасность

Как помочь генеральному директору построить информационную безопасность

Гендиректор отвечает за всё в компании, в том числе за кибербезопасность и внедрение средств защиты. Но это в теории, а что на практике? Как сделать руководство проектами по части ИБ эффективным?

 

 

 

 

 

 

 

  1. Введение
  2. Ответственность за ИБ в компании: прямая или косвенная?
  3. Карта кибербезопасности предприятия
  4. Выстраивание ИБ-системы внутри компании
  5. Совет директоров и культура кибербезопасности внутри компании
  6. От теории к практике
  7. Нужно ли гендиректору участвовать в референс-визитах?
  8. Как распределять ответственность?
  9. Выводы

Введение

Российская директорская организация «Ассоциация профессиональных директоров АНД» провела очередное заседание одного из своих комитетов — по новым технологиям, инновациям и кибербезопасности. Обсуждался вопрос, который нередко возникает на уровне топ-руководителей компаний: как организационно выстраивать борьбу с угрозами на предприятии?

 

Рисунок 1. Заседание комитета по новым технологиям, инновациям и кибербезопасности

Заседание комитета по новым технологиям, инновациям и кибербезопасности

 

Эта тема легко разделяется на множество элементов. В чём состоит роль руководителя при выстраивании киберобороны предприятия? Какую ответственность за киберинциденты несёт генеральный директор компании? Как и кому он делегирует свою ответственность? Как контролировать готовность к отражению кибератак?

Может показаться, что ответы очевидны: вся полнота ответственности, конечно, лежит на гендиректоре, а он, в свою очередь, делегирует задачи и контролирует их выполнение. 

С юридической точки зрения всё выглядит просто. Но какие требования и в каком объёме должен предъявлять гендиректор к подчинённым? Какие задачи остаются за ним самим? Как выстроить на практике модель управления, чтобы она работала эффективно? Как применять практику наказаний? Как распределять ответственность, чтобы добиться эффективной безопасности?

Эти вопросы обсуждались на заседании комитета ассоциации, которое прошло в головном офисе ГК «Солар».

Ответственность за ИБ в компании: прямая или косвенная?

Ответственность гендиректора за риски по части ИБ можно изобразить в виде матрёшки, считает Анна Кулашова, управляющий директор «Лаборатории Касперского» в России и странах СНГ. Если взять для примера риски нарушения производственных процессов, то за них отвечает не служба ИБ, а служба главного инженера, потому что именно на неё ложится задача по устранению последствий инцидентов. С информационной безопасностью — то же самое: прямая ответственность лежит на службе ИБ, хотя формально за всё отвечает гендиректор.

 

Рисунок 2. Анна Кулашова приняла участие в дискуссии на заседании комитета АНД

Анна Кулашова приняла участие в дискуссии на заседании комитета АНД

 

Поэтому выстраивание структуры ответственности надо начинать не с оценки угроз ИБ, способных нарушить работу компании, а с анализа кризисных ситуаций, с которыми можно столкнуться. Ключевым становится вопрос о реагировании (с учётом внутреннего устройства организации). 

Поэтому в любой производственной компании, продолжила Анна Кулашова, должна быть составлена карта рисков и разработан план ситуационного планирования.

«Это должен быть не просто набор действий для сохранения необходимого уровня безопасности предприятия. Необходимо заранее получить прогноз развития ситуации».

По мнению спикера, сам по себе киберинцидент не ведёт к существенным последствиям для компании. Реальные риски определяет не инцидент, а вся совокупность его последствий. Анна Кулашова отметила, что реальные киберинциденты встречаются не так уж и часто, но если это происходит, то могут возникать существенные последствия, вплоть до остановки предприятий. Подобные случаи, по её словам, были и в России в 2023 году. Поэтому первое, что необходимо сделать при оценке рисков, — это изучить возможные последствия и назначить ответственных за их устранение.

Прорабатывать защиту от всех возможных инцидентов нет смысла. Это неэффективно с точки зрения распределения ответственности для подчинённых. Надо обращать внимание только на недопустимые для компании события. Остальные инциденты стоит рассматривать в рабочем порядке на уровне работы ИТ- и ИБ-инженеров, считает Анна Кулашова.

Карта кибербезопасности предприятия

Какие меры следует принимать руководству при выстраивании системы безопасности на предприятии? Подробности рассказал Алексей Окишев, независимый директор. 

 

Рисунок 3. Алексей Окишев рассказал о подходах к делегированию ответственности

Алексей Окишев рассказал о подходах к делегированию ответственности

 

Отметим сразу, что долгое время Алексей Окишев возглавлял в России отдел анализа и контроля рисков в PricewaterhouseCoopers. Одним из направлений деятельности агентства PwC была разработка рекомендаций для топ-руководителей. Его мнение отражает мировой опыт по теме.

Алексей Окишев отметил, что действия руководства должны быть нацелены не только на предотвращение инцидентов. Они должны учитывать необходимость минимизировать репутационные риски, сокращать финансовые потери, заботиться о выборе тех решений, которые отвечают задачам по соблюдению сроков восстановления деятельности компании. 

Особое внимание на практике следует также уделять тому, что управляющие модели нуждаются в постоянном пересмотре. Со временем в них необходимо вносить изменения, и об этом не следует забывать.

Чтобы провести оценку рисков по части ИБ, руководителю потребуется ответить на ряд вопросов. Исследователи из PwC предлагают набор, который показан на диаграмме.

 

Рисунок 4. Как выстроить программу оценки рисков для совета директоров

Как выстроить программу оценки рисков для совета директоров

 

Отметим, что PwC ежегодно выпускает набор основных правил для руководителей, полезный при выстраивании системы ответственности. В последней редакции сборника за 2024 год («The C-suite playbook: Putting security at the epicenter of innovation») представлены директивы, согласно которым рекомендуется приоритизировать информационную безопасность. 

Предлагаемая модель опирается на итоги ежегодного опроса «2024 Global Digital Trust Insights». На диаграмме ниже показаны усреднённые ответы наиболее активных компаний, дальше всех продвинувшихся по пути цифровой трансформации. Эти 5 % организаций уже успели доказать на практике своё умение выстраивать эффективные системы безопасности. 

 

Рисунок 5. Наиболее важные для руководства компаний направления развития ИБ на 2025 г.

Наиболее важные для руководства компаний направления развития ИБ на 2025 г.

 

Выстраивание ИБ-системы внутри компании

Алексей Окишев выделил приоритетные направления, которым следует уделять повышенное внимание:

  • оценка рисков по части ИБ при внедрении новых технологий, выстраивании дистанционной работы, выходе на новые рынки, выводе новых продуктов и услуг, приобретении новых бизнес-подразделений;
  • координация действий, чтобы добиться взаимопонимания с руководством (совет директоров, гендиректор, начальники ИТ- и ИБ-служб) и другими подразделениями по тем решениям, которые касаются функционирования системы ИБ;
  • оценка уровня вовлечённости сотрудников для внедрения стандартов безопасности и проводимой политики развития ИБ в компании, контроль регулярности обучения, выстраивание оповещений о нарушениях.

В этом случае ИБ-служба компании перестаёт играть роль «статиста», который отрабатывает задачи при выявлении инцидентов или проведении проверок со стороны регулятора. Алексей Окишев обращает внимание на следующий тезис: ИБ-служба должна придерживаться активной позиции при выстраивании системы безопасности в компании.

 

Рисунок 6. Главные элементы мониторинга устойчивости ИБ в компании

Главные элементы мониторинга устойчивости ИБ в компании

 

Совет директоров и культура кибербезопасности внутри компании

Ответственным за развитие ИБ является исполнительный директор (CEO). Однако в реальности он редко разрабатывает стратегию в области ИБ единолично. Чаще всего этим занимается совет директоров.

Совету важно понимать, на каких рисках должно быть сфокусировано внимание и каким образом руководство будет управлять рисками по части ИБ. Поэтому заранее необходимо выполнить следующее:

  • выделить основных исполнителей для конкретных задач;
  • выявить причины, по которым нужно решать ту или иную задачу;
  • обозначить цели;
  • оценить влияние конкретных ИБ-задач на бизнес. 

Потребуется сформировать список критических активов компании и её потенциальных уязвимостей. По ним можно выстроить последовательность шагов для снижения риска. Совету директоров также нужно будет выяснить, каким образом каждый риск влияет на организацию, по каким метрикам следует измерять это влияние. Понадобится задать критерии для оценки эффективности обучения сотрудников, наладить механизмы регулярного сбора информации о соблюдении требований по части ИБ от руководителей бизнес-подразделений. Проработка этих вопросов позволит расставить приоритеты и выявить существенные риски, а также определить необходимые капитальные вложения и операционные ресурсы для достижения поставленных задач. 

В итоге станет ясно, является ли выделяемый бюджет достаточным для эффективного управления рисками.

 

Рисунок 7. Как повысить качество надзора за ИБ со стороны совета директоров

Как повысить качество надзора за ИБ со стороны совета директоров

 

От теории к практике

Мы уже отмечали, что организатором мероприятия выступила ГК «Солар». Хотелось бы отметить выступление Анны Поповой, руководителя департамента клиентского сервиса. Она рассказала о практике выстраивания системы ИБ внутри компании и о том, что изменилось после февраля 2024 г.

 

Рисунок 8. Анна Попова приняла участие в заседании комитета АНД

Анна Попова приняла участие в заседании комитета АНД

 

Обычно руководители обращают внимание на следующие основные риски: потеря контроля над инфраструктурой, нарушение сетевой безопасности, утечки данных. Подходы, практикуемые для решения этих задач, можно разделить на следующие группы:

  • «обсуждать, но ничего не решать» — руководство «держит руку на пульсе», но ответные действия откладываются «до наступления реальных угроз»;
  • «обсуждать и принимать решения, но не ставить сроков» — работа в направлении ИБ ведётся, но достижение поставленных целей не привязано к конкретным датам. 

Как отметила Анна Попова, после 24 февраля 2022 года сроки принятия решений по вопросам импортозамещения (по крайней мере в ГК «Солар») сократились в разы и стали очень сжатыми. Но главное, по её словам, что произошло в отношении ИБ, — возникло понимание необходимости переосмыслить подходы. 

 

Рисунок 9. Уровень удовлетворённости используемыми средствами ИБ среди руководителей компаний (PwC, 2024)

Уровень удовлетворённости используемыми средствами ИБ среди руководителей компаний (PwC, 2024)

 

Анна Попова выделяет следующие мысли, которые стали частью новой реальности для руководителей компаний:

  1. «ИБ не существует в отрыве от ИТ, инфраструктуры и бизнеса». Как следствие, проектирование инфраструктуры должно происходить совместно с проработкой вопросов касающихся ИБ. Важно также при создании ИБ-стратегии принимать во внимание не только финансовые риски, но и репутационные.
  2. «При импортозамещении необходимо внимательно следить за затратами». Анна Попова особо отметила затраты на внедрение вспомогательных решений, которые приходится применять в дополнение к основному замещаемому продукту. Современная безопасность, по её словам, не может быть лоскутной, потому что тогда она теряет смысл.
  3. «Российские реалии таковы, что финансовая оценка необходимых для ИБ изменений плохо согласуется с доступными бюджетами». Чтобы добиться решения вопросов по части ИБ, необходимо задавать правильные вопросы лицам принимающим решения.

Если оценивать ИБ-практику в целом, то, как отметила Анна Попова, важную роль играет наличие компетентных руководителей проектов. Многие менеджеры, которые до этого управляли только ИТ-проектами, часто не могут поддерживать на адекватном уровне проекты связанные с ИБ. Чтобы выйти из этой «оболочки», им требуется не просто собирать заключения о том, подходит ли ИБ-решение для их проекта, а работать с «сущностными» отчётами. Они должны контролировать, какие именно инциденты были выявлены, насколько они опасны, какие риски удалось минимизировать.

 

Рисунок 10. Регуляторные изменения, способные оказать существенное влияние на развитие ИБ (PwC, 2024)

Регуляторные изменения, способные оказать существенное влияние на развитие ИБ (PwC, 2024)

 

Нужно ли гендиректору участвовать в референс-визитах?

Ценность референс-визитов часто иллюстрируют розничной практикой. В магазинах покупателям нередко предоставляют т. н. «пробники». Они позволяют «почувствовать» будущую покупку. 

В бизнесе аналогичную роль играют демонстрационные образцы, тест-драйвы, а в случае со сложными информационными системами — референс-визиты. С их помощью потенциальные заказчики могут углубить понимание продукта, полученное ранее благодаря печатным материалам или тестированию демоверсий. Референс-визит, или посещение заказчика, который уже внедрил продукт в свои технологические процессы, поможет узнать реальную оценку практического использования продукта, получить непредвзятое мнение о достоинствах и недостатках, имеющихся ограничениях. 

Впрочем, подобные визиты требуют больших затрат времени, их трудно совместить с рабочим графиком руководителя. Более того, как считает Анна Попова, «старые заказчики стараются не разглашать свои оценки другим». Отчасти это объясняется тем, что каждый пользователь предъявляет уникальный набор требований к продуктам, поэтому его оценка является индивидуальной.

 

Рисунок 11. Вопросы ИБ, рассматриваемые руководством компаний (PwC, 2024)

Вопросы ИБ, рассматриваемые руководством компаний (PwC, 2024)

 

Как распределять ответственность?

Обсуждение темы распределения ответственности прошло активно, но в итоге осталось чувство, что тема явно не исчерпана и требует дальнейшего развития.

Почему?

Главный вопрос, который до сих пор во многом не решён, — это выбор методики управления процессом. Пока создаётся впечатление, что очень многое зависит от индивидуальности конкретного руководителя, его знаний и опыта, готовности к обсуждению вопросов ИБ, наличия финансовых средств. Всё очень индивидуально. Нет формальной проработки основ делегирования ответственности, недостаёт единой методики, с опорой на которую руководитель мог бы эффективно управлять процессом.

Добавим, что подобные методики распределения ответственности существуют. Одна из наиболее популярных получила название «матрица RACI» или «матрица ответственности». Это — инструмент для управления отношениями в группах (а ведь руководство компаний само по себе также является «группой»).

RACI — это набор атрибутов: R — «Responsible» (исполняет), A — «Accountable» (несёт ответственность), C — «Consulted» (консультирует), I — «Informed» (оповещается). Через предлагаемое в методике RACI «матричное кодирование» можно описать участие лиц в общем процессе. С её помощью определяются их роли при выполнении задач. 

Отметим, что теоретические наработки в построении матрицы RACI существуют уже и для ИБ. Но об этом мы расскажем в другой статье.

Выводы

Тема управления ответственностью при выстраивании системы безопасности внутри компаний актуальна сегодня ещё и потому, что часто перед руководителями российских организаций стоят непростые задачи по импортозамещению. Многие уже поняли, что необходимо не просто заменять западные продукты на отечественные, а принимать во внимание требования по ИБ на всех этапах внедрения и эксплуатации. Вся ответственность за правильность исполнения этой задачи лежит на топ-руководителях компаний. Как следствие, от их умения делегировать зависит успех и импортозамещения в целом.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru