Заявка на демо
Оцените MAKVES DCAP в действии! Заполните форму и мы свяжемся с вами для согласования времени и формата демонстрации.
Мы используем файлы cookie, чтобы сделать наш веб-сайт удобнее. Используя данный веб-сайт и просматривая его разделы, вы тем самым соглашаетесь с Политикой конфиденциальности
Как найти общий язык с топ-менеджментом: руководство для CISO
14 сентября, 2023
Руководители компаний часто видят проекты по обеспечению информационной безопасности как черные дыры в бюджете, поглощающие огромные средства, но не дающие ничего взамен, кроме смутного ощущения защищенности. С другой стороны, директор по информационной безопасности (он же CISO) знает, что мощная система кибербезопасности может не только снизить вероятность нарушения информационной защиты, но и стать фактором, способствующим развитию бизнеса и росту финансовых показателей.
Но как директор отдела информационной безопасности может донести эту идею до руководства и добиться его поддержки для соответствующих инвестиций? Найдем ответ на этот вопрос и обсудим динамику взаимоотношений между CISO и топ-менеджментом в этом материале.
Но как директор отдела информационной безопасности может донести эту идею до руководства и добиться его поддержки для соответствующих инвестиций? Найдем ответ на этот вопрос и обсудим динамику взаимоотношений между CISO и топ-менеджментом в этом материале.
В чем особенности работы директора по информационной
безопасности?
безопасности?
Директор по информационной безопасности объединяет в себе множество ролей и функций:
Специалист по стратегическому планированию. Адаптирует стратегию обеспечения безопасности под конкретные нужды компании, а также внедряет инновации для эффективного управления рисками и инвестициями в данной сфере.
Консультант для бизнеса. Взаимодействует и оказывает влияние на реализацию бизнес-проектов в контексте имеющихся рисков.
Защитник. Защищает бизнес-активы путем анализа текущих угроз и контроля над эффективностью существующей программы безопасности.
Эксперт по технологиям. Оценивает новые технологии и стандарты, чтобы определить, насколько они соответствуют требованиям безопасности, и помогает внедрить их в работу компании.
Консультант для бизнеса. Взаимодействует и оказывает влияние на реализацию бизнес-проектов в контексте имеющихся рисков.
Защитник. Защищает бизнес-активы путем анализа текущих угроз и контроля над эффективностью существующей программы безопасности.
Эксперт по технологиям. Оценивает новые технологии и стандарты, чтобы определить, насколько они соответствуют требованиям безопасности, и помогает внедрить их в работу компании.
Обычно CISO уделяют больше времени ролям защитника и эксперта по технологиями, мало касаясь области стратегии и бизнеса. Топ-менеджмент же в общении и практике ожидает от CISO обратного: больше времени будет уделено стратегии и меньше — технической стороне. Поэтому для CISO важно соблюдать баланс между техническими и стратегическими ролями не только в своей деятельности, но в и общении с руководством.
Обосновать необходимость инвестиций в информационную безопасность можно в первую очередь за счет стратегических функций, для выполнения которых необходимо осваивать управление рисками, бизнес-планирование, финансовый менеджмент и прочие инструменты.
Таким образом в общении с топ-менеджментом директору по информационной безопасности важно помнить, что цели отдела ИБ должны коррелировать с целями бизнеса и разделяться руководством, быть измеримыми, достижимыми и ориентированными на результат. За каждым предложением должны стоять подробные описания рисков для бизнеса и подтверждающие это цифры и данные.
Обосновать необходимость инвестиций в информационную безопасность можно в первую очередь за счет стратегических функций, для выполнения которых необходимо осваивать управление рисками, бизнес-планирование, финансовый менеджмент и прочие инструменты.
Таким образом в общении с топ-менеджментом директору по информационной безопасности важно помнить, что цели отдела ИБ должны коррелировать с целями бизнеса и разделяться руководством, быть измеримыми, достижимыми и ориентированными на результат. За каждым предложением должны стоять подробные описания рисков для бизнеса и подтверждающие это цифры и данные.
Как директору по информационной безопасности выстроить диалог
с топ-менеджментом?
с топ-менеджментом?
Почти в каждой пятой организаций Центральной и Восточной Европы, включая Россию, отдел информационной безопасности не сотрудничает и не интегрирован с прочими отделами, а в 67% организаций CISO не обладает влиянием на уровне совета директоров, поэтому выстраивание диалога между бизнесом и отделом ИБ становится в ряд приоритетных задач.
~
Начать эффективное общение с топ-менеджментом стоит с раскрытия текущих угроз для организации. Важно не просто подробно описать технологические риски (например, крупная утечка конфиденциальных данных), но и объяснить:
Например, можно указать умеренный риск утечки учетных данных и объяснить, как этот риск может привести к краже интеллектуальной собственности, потере рыночной динамики, штрафам за нарушение требований регуляторов и снижению доходов.
Кроме того, необходимо информировать руководство о том, как обстоят дела с безопасностью у конкурентов. Например, если один из ваших конкурентов подвергся атаке, необходимо выяснить, есть ли у вас такое же слабое место и что вы можете сделать для его устранения.
- последствия для бизнеса (нарушения требований регуляторов, репутационный ущерб);
- степень серьезности рисков (от серьезной до незначительной);
- вероятность рисков (от маловероятной до крайне вероятной).
Например, можно указать умеренный риск утечки учетных данных и объяснить, как этот риск может привести к краже интеллектуальной собственности, потере рыночной динамики, штрафам за нарушение требований регуляторов и снижению доходов.
Кроме того, необходимо информировать руководство о том, как обстоят дела с безопасностью у конкурентов. Например, если один из ваших конкурентов подвергся атаке, необходимо выяснить, есть ли у вас такое же слабое место и что вы можете сделать для его устранения.
~
Далее необходимо объяснить, что уже делает ваш отдел для устранения рисков ИБ, с которыми сталкивается организация. Главное в этом вопросе — использовать количественные показатели для оценки их эффективности.
Например, отдел информационной безопасности уже сформирован и работает, но количество сотрудников компании и данных, к которым они имеют доступ, постоянно растет, а в связи с этим растет и риск человеческих ошибок.
Для непрерывного контроля полномочий и прав доступа к информационным ресурсам, выявления избыточного доступа к документам, имеющим ограничительную отметку, выявления дубликатов файлов и оптимизации файловых хранилищ требуется все больший штат специалистов информационной безопасности.
В такой ситуации CISO нужно поставить перед руководством вопрос о закупке системы класса DCAP (Data-Centric Audit and Protection) для автоматизации процессов контроля прав и оптимизации файловых хранилищ и обосновать это решение следующими доводами:
Подкрепив эти доводы реальными примерами и цифрами, топ-менеджмент получит достаточно экономических и стратегических обоснований для инвестирования в отдел информационной безопасности. Говоря на языке преимуществ для бизнеса, CISO может помочь руководству компании рассматривать инвестиции в безопасность как инструмент развития и роста, а не как дополнительные статьи расхода.
Например, отдел информационной безопасности уже сформирован и работает, но количество сотрудников компании и данных, к которым они имеют доступ, постоянно растет, а в связи с этим растет и риск человеческих ошибок.
Для непрерывного контроля полномочий и прав доступа к информационным ресурсам, выявления избыточного доступа к документам, имеющим ограничительную отметку, выявления дубликатов файлов и оптимизации файловых хранилищ требуется все больший штат специалистов информационной безопасности.
В такой ситуации CISO нужно поставить перед руководством вопрос о закупке системы класса DCAP (Data-Centric Audit and Protection) для автоматизации процессов контроля прав и оптимизации файловых хранилищ и обосновать это решение следующими доводами:
- Автоматизация процессов позволит избежать расширения штата сотрудников информационной безопасности и увеличения фонда оплаты труда.
- Специалисты отдела информационной безопасности смогут сосредоточиться на внедрении новых решений обеспечения информационной безопасности и модернизации существующих.
- Оптимизация файловых хранилищ позволит отложить необходимость в приобретении нового дорогостоящего оборудования для хранения данных.
Подкрепив эти доводы реальными примерами и цифрами, топ-менеджмент получит достаточно экономических и стратегических обоснований для инвестирования в отдел информационной безопасности. Говоря на языке преимуществ для бизнеса, CISO может помочь руководству компании рассматривать инвестиции в безопасность как инструмент развития и роста, а не как дополнительные статьи расхода.
~
Часто любая информация от отдела информационной безопасности может восприниматься топ-менеджментом как признание каких-то недостатков в компании вообще и в курируемом CISO отделе, в частности.
Но для того, чтобы наладить диалог с топ-менеджментом необходимо рассказывать о пробелах в обеспечении безопасности организации, объяснять, какие проблемы нужно решить в первую очередь и почему, а также подробно описать, какие дальнейшие инвестиции необходимы.
При этом, при общении с руководством CISO важно уходить от оправданий, почему защита ИТ-инфраструктуры компании оказалась недостаточно надежна или запугивания проблемами, которые могут быть непонятны и неочевидны людям из руководства, напрямую не связанных с ИБ процессами.
Нужно стараться формулировать видение ситуации на понятном руководству языке, предоставлять план действий с четкими сроками, ресурсами (люди, инструменты, технологии и т. д.) и затратами.
Но для того, чтобы наладить диалог с топ-менеджментом необходимо рассказывать о пробелах в обеспечении безопасности организации, объяснять, какие проблемы нужно решить в первую очередь и почему, а также подробно описать, какие дальнейшие инвестиции необходимы.
При этом, при общении с руководством CISO важно уходить от оправданий, почему защита ИТ-инфраструктуры компании оказалась недостаточно надежна или запугивания проблемами, которые могут быть непонятны и неочевидны людям из руководства, напрямую не связанных с ИБ процессами.
Нужно стараться формулировать видение ситуации на понятном руководству языке, предоставлять план действий с четкими сроками, ресурсами (люди, инструменты, технологии и т. д.) и затратами.
Заключение
Директору по информационной безопасности следует строить эффективное общение с топ-менеджментом отталкиваясь от разговора на языке бизнеса и применяя подход, основанный на оценке рисков при принятии решений и оценивая затраты на обеспечение информационной безопасности в контексте общей стратегии компании и ее бизнес-задач.
Не смотря на то, что задача бизнеса — снизить издержки и максимизировать прибыль, а задача отдела информационной безопасности — минимизировать риски взломов, утечек и прочих инцидентов, CISO важно знать и разделять бизнес-цели компании, стремиться к их достижению всеми методами, доступными его отделу.
Не смотря на то, что задача бизнеса — снизить издержки и максимизировать прибыль, а задача отдела информационной безопасности — минимизировать риски взломов, утечек и прочих инцидентов, CISO важно знать и разделять бизнес-цели компании, стремиться к их достижению всеми методами, доступными его отделу.
Менеджер по работе с ключевыми клиентами
Павел Скоробогатов
Другие статьи:
Узнайте больше о решениях Makves
