Мы используем файлы cookie, чтобы сделать наш веб-сайт удобнее. Используя данный веб-сайт и просматривая его разделы, вы тем самым соглашаетесь с Политикой конфиденциальности

Как найти общий язык с топ-менеджментом: руководство для CISO

14 сентября, 2023
Как найти общий язык с топ-менеджментом: руководство для CISO
Руководители компаний часто видят проекты по обеспечению информационной безопасности как черные дыры в бюджете, поглощающие огромные средства, но не дающие ничего взамен, кроме смутного ощущения защищенности. С другой стороны, директор по информационной безопасности (он же CISO) знает, что мощная система кибербезопасности может не только снизить вероятность нарушения информационной защиты, но и стать фактором, способствующим развитию бизнеса и росту финансовых показателей.

Но как директор отдела информационной безопасности может донести эту идею до руководства и добиться его поддержки для соответствующих инвестиций? Найдем ответ на этот вопрос и обсудим динамику взаимоотношений между CISO и топ-менеджментом в этом материале.

В чем особенности работы директора по информационной
безопасности?

Директор по информационной безопасности объединяет в себе множество ролей и функций:
Специалист по стратегическому планированию. Адаптирует стратегию обеспечения безопасности под конкретные нужды компании, а также внедряет инновации для эффективного управления рисками и инвестициями в данной сфере.

Консультант для бизнеса. Взаимодействует и оказывает влияние на реализацию бизнес-проектов в контексте имеющихся рисков.

Защитник. Защищает бизнес-активы путем анализа текущих угроз и контроля над эффективностью существующей программы безопасности.

Эксперт по технологиям. Оценивает новые технологии и стандарты, чтобы определить, насколько они соответствуют требованиям безопасности, и помогает внедрить их в работу компании.
Обычно CISO уделяют больше времени ролям защитника и эксперта по технологиями, мало касаясь области стратегии и бизнеса. Топ-менеджмент же в общении и практике ожидает от CISO обратного: больше времени будет уделено стратегии и меньше — технической стороне. Поэтому для CISO важно соблюдать баланс между техническими и стратегическими ролями не только в своей деятельности, но в и общении с руководством.

Обосновать необходимость инвестиций в информационную безопасность можно в первую очередь за счет стратегических функций, для выполнения которых необходимо осваивать управление рисками, бизнес-планирование, финансовый менеджмент и прочие инструменты.

Таким образом в общении с топ-менеджментом директору по информационной безопасности важно помнить, что цели отдела ИБ должны коррелировать с целями бизнеса и разделяться руководством, быть измеримыми, достижимыми и ориентированными на результат. За каждым предложением должны стоять подробные описания рисков для бизнеса и подтверждающие это цифры и данные.

Как директору по информационной безопасности выстроить диалог
с топ-менеджментом?

Почти в каждой пятой организаций Центральной и Восточной Европы, включая Россию, отдел информационной безопасности не сотрудничает и не интегрирован с прочими отделами, а в 67% организаций CISO не обладает влиянием на уровне совета директоров, поэтому выстраивание диалога между бизнесом и отделом ИБ становится в ряд приоритетных задач.
~
Начать эффективное общение с топ-менеджментом стоит с раскрытия текущих угроз для организации. Важно не просто подробно описать технологические риски (например, крупная утечка конфиденциальных данных), но и объяснить:

  • последствия для бизнеса (нарушения требований регуляторов, репутационный ущерб);
  • степень серьезности рисков (от серьезной до незначительной);
  • вероятность рисков (от маловероятной до крайне вероятной).

Например, можно указать умеренный риск утечки учетных данных и объяснить, как этот риск может привести к краже интеллектуальной собственности, потере рыночной динамики, штрафам за нарушение требований регуляторов и снижению доходов.

Кроме того, необходимо информировать руководство о том, как обстоят дела с безопасностью у конкурентов. Например, если один из ваших конкурентов подвергся атаке, необходимо выяснить, есть ли у вас такое же слабое место и что вы можете сделать для его устранения.
~
Далее необходимо объяснить, что уже делает ваш отдел для устранения рисков ИБ, с которыми сталкивается организация. Главное в этом вопросе — использовать количественные показатели для оценки их эффективности.
Например, отдел информационной безопасности уже сформирован и работает, но количество сотрудников компании и данных, к которым они имеют доступ, постоянно растет, а в связи с этим растет и риск человеческих ошибок.

Для непрерывного контроля полномочий и прав доступа к информационным ресурсам, выявления избыточного доступа к документам, имеющим ограничительную отметку, выявления дубликатов файлов и оптимизации файловых хранилищ требуется все больший штат специалистов информационной безопасности.

В такой ситуации CISO нужно поставить перед руководством вопрос о закупке системы класса DCAP (Data-Centric Audit and Protection) для автоматизации процессов контроля прав и оптимизации файловых хранилищ и обосновать это решение следующими доводами:

  • Автоматизация процессов позволит избежать расширения штата сотрудников информационной безопасности и увеличения фонда оплаты труда.
  • Специалисты отдела информационной безопасности смогут сосредоточиться на внедрении новых решений обеспечения информационной безопасности и модернизации существующих.
  • Оптимизация файловых хранилищ позволит отложить необходимость в приобретении нового дорогостоящего оборудования для хранения данных.

Подкрепив эти доводы реальными примерами и цифрами, топ-менеджмент получит достаточно экономических и стратегических обоснований для инвестирования в отдел информационной безопасности. Говоря на языке преимуществ для бизнеса, CISO может помочь руководству компании рассматривать инвестиции в безопасность как инструмент развития и роста, а не как дополнительные статьи расхода.
~
Часто любая информация от отдела информационной безопасности может восприниматься топ-менеджментом как признание каких-то недостатков в компании вообще и в курируемом CISO отделе, в частности.

Но для того, чтобы наладить диалог с топ-менеджментом необходимо рассказывать о пробелах в обеспечении безопасности организации, объяснять, какие проблемы нужно решить в первую очередь и почему, а также подробно описать, какие дальнейшие инвестиции необходимы.

При этом, при общении с руководством CISO важно уходить от оправданий, почему защита ИТ-инфраструктуры компании оказалась недостаточно надежна или запугивания проблемами, которые могут быть непонятны и неочевидны людям из руководства, напрямую не связанных с ИБ процессами.

Нужно стараться формулировать видение ситуации на понятном руководству языке, предоставлять план действий с четкими сроками, ресурсами (люди, инструменты, технологии и т. д.) и затратами.
Заключение
Директору по информационной безопасности следует строить эффективное общение с топ-менеджментом отталкиваясь от разговора на языке бизнеса и применяя подход, основанный на оценке рисков при принятии решений и оценивая затраты на обеспечение информационной безопасности в контексте общей стратегии компании и ее бизнес-задач.

Не смотря на то, что задача бизнеса — снизить издержки и максимизировать прибыль, а задача отдела информационной безопасности — минимизировать риски взломов, утечек и прочих инцидентов, CISO важно знать и разделять бизнес-цели компании, стремиться к их достижению всеми методами, доступными его отделу.
Менеджер по работе с ключевыми клиентами
Павел Скоробогатов
Подпишитесь на блог
и присоединяйтесь к нам в соц сетях
Я даю свое согласие на обработку персональных данных, предоставленных мною в настоящей заявке, в соответствии с Политикой конфиденциальности и Политикой обработки персональных данных.
Другие статьи: