четверг, 7 апреля 2011 г.

Переводы \ Руководство с Марса, Специалисты по ИБ - с Венеры

В последнем номере журнала (IN)SECURE понравилась статья Брайана Хонана (Brian Honan) о взаимодействии специалистов по информационной безопасности с руководством и бизнес-подразделениями компании. Поскольку проблема не теряет своей актуальности, решил перевести статью на русский.



Одной из наиболее распространенных проблем специалистов по информационной безопасности являются то, что руководство их не понимает или не проявляет должной заботы об ИБ. Почему так происходит? Чаще всего основной проблемой являются коммуникации между руководителями подразделений ИБ и высшим руководством компаний. Точнее, отсутствие этих коммуникаций.

В книге "Мужчины с Марса, Женщины с Венеры", автор Джон Грэй советует парам для улучшения своих отношений признать и принять различия между мужчинами и женщинами. Он утверждает, что мужчины и женщины так же отличаются друг от друга, как существа с разных планет. Если понять эти различия, общаться станет гораздо проще. Аналогично в ИБ - мы должны признать, что существуют значительные различия между специалистами по ИБ и руководителями компаний, хотя, казалось бы, и те и другие заинтересованы в обеспечении безопасности информации. Нам нужно научиться лучше понимать друг друга, чтобы достичь этой цели.

Первое отличие заключается в разном понимании зоны ответственности, в которой находятся вопросы ИБ. Руководство обычно считает, что эти вопросы находятся в зоне ответственности подразделений ИТ и ИБ, а специалисты по ИБ считают, что ответственность за обеспечение ИБ несут все сотрудники компании и это является общей задачей.

Второе отличие заключается в том, что руководство часто не интересуется техническими вопросами. Руководители, особенно из числа топ-менеджеров, концентрируются на ключевых аспектах функционирования бизнеса для обеспечения выживания компании на рынке, реализации целей бизнеса и требований заинтересованных сторон. Любую деятельность, находящуюся за пределами основных бизнес-функций, руководство считает функциями поддержки бизнеса. При таком подходе, службы ИТ и ИБ нередко рассматриваются как необходимое зло, и, соответственно, как увеличение стоимости ведения бизнеса. Такое мнение очень распространено, несмотря даже на те преимущества и повышение продуктивности, которые дает бизнесу ИТ. Даже специалисты подразделений ИТ недостаточно понимают вопросы ИБ и рассматривают ее, как причину дополнительной "головной боли", из-за которой срываются сроки проектов, в компании не внедряются новые технологии, а расходы только растут.

И виноват в этом не только бизнес. Многие из специалистов по ИБ слишком увлекаются технологиям и слишком мало времени уделяют самой информации (информационным активам), которую они должны защищать. Более того, специалисты по ИБ часто довольно смутно представляют себе, как работает компания и какое влияние оказывают на ее работу имеющиеся у нее информационные активы. ИБ – это не только межсетевые экраны, системы обнаружения вторжений, антивирусные средства и системы DLP. ИБ – это, в том числе, и внедрение эффективных политик и процедур, и обучение сотрудников, повышение их осведомленности, чтобы они правильно понимали свою роль и ответственность в обеспечении безопасности информации, с которой они постоянно работают.

Очень распространенной проблемой является то, что многие специалисты по ИБ не могут говорить с руководством на понятном ему языке. Они, как правило, концентрируются на технических деталях, которые обычный человек понять не может. Для руководителя будет пустым звуком фраза, что «существуют уязвимости «нулевого дня», которые могут позволить злоумышленнику получить административный доступ к серверу базы данных». Зато, если сказать ему, что «имеющиеся недостатки обеспечения безопасности этой системы могут позволить злоумышленнику без труда скопировать данные банковских карт всех наших клиентов, а потом снять с них деньги», эффект будет гораздо выше. Руководству безразлично, используют ли спам-фильтры компании Байесовскую фильтрацию или «черные» списки, однако для них важно, сколько времени тратят сотрудники компании на удаление приходящего им спама.

Такая неспособность понять друг друга может привести к разочарованию для обеих сторон. В лучшем случае, бизнес будет воспринимать ИБ как нечто, что необходимо сделать для соблюдения обязательных требований к компании, а в худшем – ИБ будет полностью игнорироваться.

Так как же нам решить эти проблемы межпланетных коммуникаций и добиться лучшего понимания между сторонами? К счастью, это вполне решаемая задача, и несколько несложных шагов могут помочь вам достичь более эффективных взаимоотношений с руководством:

  • Поймите, что руководителей компании тоже беспокоят вопросы ИБ, но они просто не могут позволить себе тратить на это столько же времени, сколько тратит специалист по ИБ. У руководителей есть много других обязанностей и запросов. Вы должны понять, что они могут быть не в состоянии уделить вам столько внимания и времени, сколько вам хотелось бы. Учитывайте это ограничение и старайтесь доносить свои мысли до руководства максимально коротко и максимально понятно, четко обозначайте, в чем заключается проблема и что вы предлагаете.
  • Разберитесь, наконец, чем занимается ваша компания. Вам нужно хорошо понимать потребности бизнеса вашей компании, тогда вы сможете выстроить программу обеспечения ИБ в соответствии с реальными нуждами компании. Ознакомьтесь с годовым отчетом компании - это даст вам немало полезной информации о самой компании и тех областях, на которых она зарабатывает деньги (для банков, помимо внутренней отчетности, рекомендую вот этот ресурс). Изучите бизнес-план компании на ближайшие годы, чтобы понять, как это может отразиться на ИБ. Например, компания может планировать выпустить на рынок новый продукт, открыть офис в другой стране, передать отдельные функции на аутсорсинг, организовать удаленный доступ к внутренним ресурсам и т.п. Любая из таких бизнес-инициатив будет иметь большое влияние на вашу стратегию ИБ. 
  • Регулярно встречайтесь с руководством и сотрудниками бизнес-подразделений, чтобы лучше понять их требования и стоящие перед ними бизнес-задачи. Такие встречи могут проходить не только в формальной обстановке, иногда можно встретиться в перерывах на обед или за чашкой кофе. Вы будете в большей степени доступны для них и они будут готовы обсуждать с вами вопросы, имеющие отношение к ИБ. Кроме того, вы на самых ранних стадиях будете узнавать о новых бизнес-инициативах, которые могут потребовать участия специалиста по ИБ.
  • Помните, что технические вопросы, вызывающие у вас интерес, могут не вызвать такого же интереса у ваших бизнес-коллег. Использование технического жаргона, модных словечек и страшных сокращений быстро приведет к потере интереса у ваших собеседников, в результате чего они не услышат важную информацию, которую вы хотели им сообщить.
  • Руководство понимает и говорит о проблемах, связанных с бизнесом, с позиции управления рисками. Вам нужно научиться понимать и объективно оценивать риски, уметь с их помощью донести до руководства информацию об имеющихся проблемах. Руководство оценит это по достоинству и лучше поймет "масштабы бедствия". Однако учитывайте, что даже если руководитель хорошо поймет суть проблемы и вашего предложения, он может не согласиться на него. Зато он будет адекватно понимать ту ответственность, которую он берет на себя, и сможет лучше объяснить вам причины своего решения.
  • Лучше избегать использования фактора страха, чтобы заставить бизнес принять предлагаемое вами решение. Во-первых, это может подействовать на руководителя совсем не так, как вы хотите (очень хорошо об этом написал Владимир Матвийчук в своем блоге). А, во-вторых, даже если вам удастся достичь своей цели, вряд ли вы при этом получите надлежащую поддержку руководства. Если вы не видите других способов объяснить важность своего решения, еще раз подумайте, а действительно ли это правильное решение? Не решаете ли вы этим свою проблему, вместо проблемы компании? Кроме того, предостерегая бизнес от того, что никогда не произойдет, вы рискуете превратиться в того мальчика из мультфильма, который кричал: "волки!".
  • Периодически напоминайте о себе и не допускайте, чтобы вас начинали слушать, только в случае возникновения проблем и нарушения безопасности. Иначе бизнес приравняет ИБ к плохим новостям. Избавьтесь от этого образа, регулярно готовя для руководства отчеты и статистические данные о положительном влиянии, которое приносят ваши инициативы (разумеется, в понятных и значимых для бизнеса терминах). Существует масса показателей, которые можно использовать для этого. Постарайтесь продемонстрировать, как ваши инициативы сказались на снижении расходов компании, повышении производительности и иных аналогичных вещах, важных для бизнеса. Это будет способствовать формированию у бизнеса более позитивного отношения к ИБ и вам лично.

Комментариев нет: