Журнал "Information Security/ Информационная безопасность" #1, 2021

Как ИБ стать стратегическим партнером бизнесу? Для некоторых крупных компаний уже недостаточно директора по информа- ционным технологиям (CIO) и директора по информационной безопасности (CISO). Нужен тот, кто умеет "продавать" топ- менеджменту идеальную модель без- опасной компании, а именно деловой директор по информационной безопас- ности – Business Information Security Officer (BISO). Он должен объединить стратегию кибербезопасности с бизнес-целями ком- пании. Для этого BISO необходимо не только обладать высокой осведомлен- ностью в ключевых технологических тен- денциях ИТ и ИБ, но и разбираться в бизнес-процессах компании. Основные задачи BISO: l понимать реальную экономику бизнеса; l способствовать включению информа- ционной безопасности во внутреннюю куль- туру бизнеса; l переводить технические вопросы ИТ и ИБ в русло бизнес-требований; l четко и эффективно общаться как с технологическими, так и с деловыми партнерами, выступая в качестве кон- тактного лица – советника по вопросам ИБ; l способствовать соблюдению политик и нормативных требований ИБ; l управлять рисками ИБ с учетом их: – финансового воздействия на компа- нию; – регуляторного воздействия на ком- панию; – воздействия на репутацию компа- нии; – воздействия на операционную дея- тельность компании; l способствовать обмену информацией, достижению эффективных рабочих отно- шений на всех уровнях с целью повы- шения устойчивости компании к внеш- ним и внутренним угрозам; l контролировать эффективность ини- циатив в области кибербезопасности с целью минимизации потерь от реализа- ции существующих ИТ- и ИБ-рисков; l предоставлять бизнесу тотальный срез по всем ИТ- и ИБ-рискам портфеля ИТ- услуг компании, влияющим на цели и задачи бизнеса; l знать структуру и динамику затрат на ИТ и ИБ у конкурентов. Что же такого может BISO в отличие от CISO? BISO отводится роль связующего звена между топ-менеджментом, биз- нес-подразделениями, ИТ-службой и службой информационной безопасно- сти (ИБ). BISO может помочь бизнесу в достижении целей, представляя эффективную стратегию безопасности, дорожную карту работ и проектов по ИБ на будущее. Нанимали – веселились, посчитали – прослезились Итак, руководитель компании принял решение нанять очаровавшего его на собеседовании своими сертификатами делового директора по кибербезопас- ности и вполне обоснованно ожидает, что тот обеспечит надежную защиту бизнеса от внешних и внутренних угроз за разумную цену и в разумные сроки. Однако при этом никто не гарантирует BISO, что проведение им последова- тельных шагов в направлении укрепле- ния кибербезопасности компании непре- менно станет "историей успеха". Варианты финала могут быть разные. Риск не оправдать надежд Во-первых, BISO может потребоваться "своя" команда. Это может повлечь раз- дувание штата. Через пару месяцев вдруг окажется, что новый директор нанял себе целый штат помощников с целью изучения известных техник, тактик и инструментов атакующих для про- активного обнаружения угроз и поэтап- ного укрепления защищенности компа- нии. Так компания попадает в экзистен- циальный ад исследования безопасности, где ее ИТ-инфраструктуру ломают самы- ми изощренными способами, привлекая разные команды пентестеров. При этом число уволенных за косяки сотрудников удваивается каждый квартал. Многоотраслевой "спец на час" Во-вторых, для BISO существует риск стать директором-популяризатором ("директором на час") ключевых задач бизнеса, связанных с кибербезопас- ностью компании. Такой BISO будет без конца штамповать блестящие презента- ции в PowerPoint с манящими заголов- ками: "Зачем нужна ИБ и какой она должна быть?"; "Что от ИБ ждет биз- нес?"; "Как реально защитить организа- цию и ее активы от киберпреступников, сотрудников и промышленного шпиона- жа?"; "Какие средства защиты и проекты по ИБ реально нужны и почему?"; "Как не "перекрутить гайки" с безопас- ностью?"; "Чем грозят бизнесу токсичные законодательные инициативы регулято- ров?" и т.д. Но все то, что он способен привнести в компанию на своем "юно- шеском задоре", по причине того же "юношеского задора" по желанию руко- водства может в одночасье рухнуть. 30 • УПРАВЛЕНИЕ Business Information Security Officer – востребованный герой нашего времени сновная цель процессов ИТ и ИБ в компаниях – это предоставление бизнесу оптимальных сервисов по обоснованной цене с учетом сопустствующих рисков. Управление этими рисками дает бизнесу разумную гарантию, что не реализуется такой сценарий, который сможет существенным образом повлиять на достижение компанией стратегических целей. К сожалению, ИТ- и ИБ-риски во многих компаниях часто оказываются вторичными по отношению к бизнес-целям. О Валерий Естехин, эксперт по вопросам информационной безопасности, автор блога estekhin.blogspot.ru