Последние 6 лет я работал в области информационной безопасности, управления ИТ-рисками и ИТ-аудита.
Будучи педантом, меня очень волнует вопрос личной эффективности и постоянно ищу пути ее повышения в рамках курируемых мной рабочих вопросов.
Также используется обучение/сертификация, позволяющая систематизировать знания и провести анализ пробелов ваших практик в сравнении с общепринятыми, и общение с коллегами со схожими интересами - за несколько лет я приобрел знакомства со специалистами по информационной безопасности различного уровня, от технических администраторов до топ-менеджеров крупных компаний.
Но наибольшую пользу мне приносили и продолжают приносить отзывы конечных пользователей и менеджеров, то есть бизнеса.
ИМХО, мне удалось добиться определённых успехов в популяризации ИБ на отведённом мне периметре (и, что не менее важно, в повышении уровня ИБ), в то же время я вижу, как некоторые коллеги, возглавляющие службы ИБ, терпят неудачу .
Сейчас я расскажу вам, как провалиться, когда вас назначили руководителем службы информационной безопасности всего за 8 простых шагов.
Предупреждаю, что путь к плохому руководителю службы информационной безопасности может занять больше года, а как правило - 10-12 лет. 1. Не общайтесь с владельцами бизнес-функций в компании.
Владельцем бизнес-функции является топ-менеджер, который отвечает за любую сферу бизнеса и, соответственно, несет все присущие ей риски.
Возьмем, к примеру, банк - какой-то зампред по розничному бизнесу курирует работу ритейла, он владелец этой бизнес-функции, его больше всего волнует, работает ли фронтовая система, сколько времени нужно на открытие филиала и сколько времени занимает сброс пароля одного сотрудника в торговой точке.
Если вы хотите повысить отказоустойчивость (доступность) фронтовой системы, то среди людей, согласующих бюджет, он может оказаться единственным, на кого повлияют ваши аргументы.
Другой банковский пример — вице-президент/заместитель председателя по удаленным услугам.
Кого, как не его, волнует судьба системы интернет-банкинга? Кто вместе с вами протолкнет идею введения горячих резервов и токенов? Знаете ли вы, почему ваш сервер интернет-банкинга размещен на Win2k и администрируется Radmin под учетной записью администратора домена? 2. Вы никогда не участвуете в проектах Если вы не хотите, чтобы контроль и меры безопасности были реализованы до запуска системы в производство, то лучшее время игнорировать требования ИБ — это начало проекта, тот самый момент, когда оцениваются сроки, бюджеты и примерная архитектура.
Неспособность оценить риски на первых этапах реализации проекта приводит к огромной головной боли в будущем и существенно увеличивает затраты на наведение порядка.
Но ситуацию вы не наведете в порядок.
3. Вы никогда не говорите о проблемах информационной безопасности внутренним аудиторам.
Вы лучше знаете, что происходит в компании, и вам не нужен независимый взгляд со стороны.
И самое главное, вам не нужно, чтобы кто-то дополнительно давил на топ-менеджеров, заставляя их принимать меры по снижению ИТ/ИБ-рисков.
4. Потому что риск-ориентированный подход будет только мешать Так как за 20 миллионов реализовать DLP (предотвращение утечки данных) решение не получится.
(для защиты активов на сумму 230 рублей сдачи) для отслеживания переписки пользователей и запрета им находиться в ВКонтакте.
Ведь кто, как не вы, должен заниматься вопросами мотивации и повышения лояльности сотрудников? 5. Не общайтесь с пользователями Мнение пользователей не важно, поскольку они не разбираются в вопросах информационной безопасности и априори не могут возразить ничего конструктивного вашему экспертному мнению.
Вносимые вами изменения – это вынужденные меры, повышающие информационную безопасность в компании, и производительность труда (естественно).
6. Внедряйте безопасность ради безопасности Йоу, чувак, я считаю, что тебе нравится DLP, поэтому я вставил DLP в твой DLP. Элементов управления много не бывает, поэтому хорошо бы запретить скачивание файлов из Интернета.
А доступ предоставляется по логину и паролю, естественно с подтверждением каждого перехода между страницами одноразовым СМС-паролем.
Но только после подтверждения операции ответственным сотрудником (с записью в бумажном журнале, хранящемся в сейфе), который по пути на рабочее место прошел через два шлюза, пять раз предъявил свой пропуск, дважды расписался и написал пояснительная записка, т. к.
я забыла вынуть из кармана флешку, когда проходила рентген.
Никто не имеет права нарушать вашу политику информационной безопасности! 7. Не следует согласовывать политику с руководством компании.
Кто, как не вы, можете диктовать политику информационной безопасности в компании? Ведь вы специалист, вас наняли обеспечивать информационную безопасность.
Все просто — если бы они хотели, чтобы вы отражали интересы бизнеса или пользователей, вас бы взяли на какую-то другую должность.
Поэтому скачайте полис из интернета, добавьте в него щепотку блэкджека и незаметно подсуньте начальнику на подпись.
8. Скрывайте результаты своей работы от руководства Если, не дай Бог, вас попросят отчитаться о результатах вашей работы, то рецепт прост. Сделайте презентацию со следующими слайдами: — выгрузка из консоли антивируса, чем больше цифр, тем лучше.
Это самые точные данные о самых опасных угрозах.
93,8%!!! - записка на имя председателя с результатами расследования инцидента с флешкой, чем больше текста, состоящего из длинных цепочек букв, тем лучше.
Желательно приложить пояснительную записку.
— Загрузка с прокси со списком посещенных ресурсов и потреблением трафика.
Чтобы вызвать живой интерес у аудитории, жирные сайты следует выделять красным цветом, Но чтобы не заниматься бесполезной ерундой, достаточно: — Помните, что значительная часть информационной безопасности держится только на сознании пользователя (его нужно обучать, ему нужно помогать, его нужно слушать) — Быть открытым и активным в общении с сотрудниками и руководством.
— Вовлечь топ-менеджмент в управление информационной безопасностью, заинтересовать его и получить поддержку.
— Понимать бизнес, который вы защищаете, и предлагать решения проблем (до того, как они возникнут) — Понять активы, которые необходимо защитить — Не тратьте ресурсы на внедрение ненужных мер контроля.
Помните о составляющей «затраты/выгода» — оцените, сколько будет стоить вновь внедренная система безопасности и каков будет потенциальный количественный ущерб от инцидента.
— Не закрывайся в своем коконе.
Это касается как общей доброжелательности в общении, так и возможности привлечения других заинтересованных сторон к решению актуальных проблем информационной безопасности (как в примере выше с аудитом, который зачастую имеет больше влияния и независимости в компании).
— Вести диалог доступным языком.
Для пользователей это давно забытый человеческий язык простых людей.
Для менеджмента - язык денег, если вы можете продать свой план по снижению рисков одному из топ-менеджеров, то он уже может продать его тому, кто будет слюнявиться на деньги.
— Помните, что значительная часть информационной безопасности держится только на сознании пользователя (оно настолько прочно удерживается) — [Актуально для крупных компаний] Каждое достижение в области информационной безопасности можно упаковать в красивую обертку и подарить одному из руководителей, он, в свою очередь, преподносит его на ступеньку выше и так далее.
Это неотъемлемая часть эффективной жизни в корпоративной среде, где высшее руководство обычно живет только решением проблем и негатива и стремится сохранить свои позиции.
Если вы принесете такую конфетку своему руководителю, то весьма вероятно, что он приложит усилия для продвижения ваших предложений и решений, что принесет еще больше конфет. Буду рад обсудить эту тему, и буду еще больше рад, если кто-то в этой статье увидит свои ошибки и задумается над этим.
Теги: #информационная безопасность #суиб #Менеджмент #эффективность работы #информационная безопасность
-
Звегинцев Владимир Андреевич.
19 Oct, 24 -
Stat.nic.ru Обсчитали?
19 Oct, 24 -
Вы Не Можете Сделать Все, И Это Нормально.
19 Oct, 24 -
Богиня Луны Вернется С Землей
19 Oct, 24
