По мере развития любой
отечественной компании и роста стоимости ее
информационных активов в той же мере развивается и
служба информационной безопасности. При этом стратегия
и тактика работы этой службы становится не только
одной из основных функций высшего менеджмента
компании, но и ее конкурентным преимуществом. Успех
политики информационной безопасности компании зависит,
конечно, от организационных и технических решений в
области защиты информации. Но эффективности кадровых
решений – вот что дает настоящие конкурентные
преимущества. Или не дает. Давайте рассмотрим, каким
уровнем компетентности должны обладать специалисты
современной службы информационной безопасности
российской компании, и как он влияет на сумму
конкурентных преимуществ компании.
Сегодня ведущие отечественные компании
создают две ключевые позиции, отвечающие за
информационную безопасность (ИБ):
-
CISO (Chief Information Security
Officer) – директор по информационной безопасности,
который отвечает, главным образом, за разработку и
реализацию политики безопасности компании,
адекватной происходящим в ней бизнес-процессам.
-
BISO (Business Information Security
Officer) – менеджер/специалист службы информационной
безопасности, который занимается практической
реализацией политики ИБ на уровне подразделения,
например планово-экономического отдела, службы
маркетинга или автоматизации.
Структура подчиненности
Согласно Gartner Research 2001 в
компаниях, входящих в список Global 2000, наблюдается
несколько тенденций.
Одна из них – вывод CISO из структуры
отдела ИТ/автоматизации в подчиненность первому лицу
компании (изменение статуса). Причина в том, что
директор по информационным технологиям/ автоматизации
(CIO) и директор по информационной безопасности (CISO)
имеют разные конфликтующие интересы. CIO отвечает за
работоспособность и оперативность работы КИС. В то же
время CISO заботится о целостности и безопасности КИС
с точки зрения непрерывности или устойчивости бизнеса.
Иными словами, компаниям придется находить баланс
между стремлением к наиболее быстрым способам доставки
информации и помехами, создаваемыми дополнительным
контролем. Поэтому, как отмечает Gartner Research
2001, CIO и CISO должны быть независимыми друг от
друга, и оба подчиняться первому лицу компании.
Другая тенденция (в некоторых
компаниях) – слияние департаментов информационной и
физической безопасности в связи с тем, что у них есть
некоторые общие функции: например, защита
перспективных планов развития компании, решение задач
контроля и управления доступом, защита активов
компании и пр.
Наиболее продвинутые в отношении ИБ и
управления рисками компании инвестируют средства в
позицию CPO (Chief Privacy Officer), русский аналог –
заместитель директора по безопасности. В этом случае
CISO будет подчинен CPO.
Рассмотрим один из возможных вариантов
места службы ИБ в компании.
Структура подчиненности службы ИБ компании
Можно спрогнозировать, что рынком
будут востребованы специалисты по ИБ с мощной
технической и управленческой составляющей, что
традиционно является проблемой для российского рынка
труда.
К аналогичным выводам пришли аналитики
консалтинговой компании КПМГ, отметив, что в наиболее
благополучных с точки зрения ИБ компаниях эта функция
входит в компетенцию высшего руководства. Согласно
исследованию КПМГ, почти в половине организаций
ответственность за ИБ была определена на уровне совета
директоров, что наиболее характерно для финансового
сектора. Непосредственное участие топ-менеджмента
организации необходимо для постановки правильных целей
в области ИБ. Руководство должно обеспечить функцию
безопасности надлежащим уровнем инвестирования и
ресурсов, а также оценивать ее эффективность.
Профиль компетентности
Если поиск компетентного специалиста
на позицию BISO – вопрос сложный, но вполне решаемый
(во всяком случае, на московском и петербургском
рынках труда), то поиск CISO, по всей видимости,
является самой настоящей проблемой по причине
несформированности профиля компетенции и отсутствия
подготовленных специалистов.
Действительно, главная задача CISO –
это оценка и управление технологическими,
производственными и иными рисками компании в срезе
информационной безопасности. Роль CISO по этим
вопросам предполагает, что данный специалист должен
быть способен идентифицировать риски и управлять ими в
соответствии с целями и задачами компании и уровнем ее
развития. Свою специфику также вносит сфера
деятельности компании, ее размер и стоимость
информационных активов.
CISO, по-видимому, будет входить в
верхний эшелон управления компанией, чтобы иметь
возможность сбалансировать потребности бизнеса и
требования безопасности с учетом усложняющихся
технологий, возросшего числа действий злоумышленников
и террористических актов, требований законодательства
и ожиданий партнеров. Дело в том, что потребности
бизнеса систематически «входят в клинч» с
потребностями безопасности. CISO должен быть способен
«переводить с русского на русский», то есть с
технического на тот язык, который могут понять
руководители бизнеса. В дополнение к солидному
образованию и опыту в области защиты информации CISO,
несомненно, должен обладать стратегическим складом
ума, фундаментальными познаниями в управлении
предприятием и лояльностью к компании. Для этого
недостаточно только технического/технологического
образования, также как и только «защитного». Есть два
пути замещения вакантной позиции CISO.
-
Один заключается в заполнении этой
позиции аудиторами или аналитиками в области
безопасности. Проблема в том, что хороший аналитик и
хороший управленец – не одно и то же. Это люди с
принципиально разным складом ума, структурой
мотивации и компетентностью. Проще говоря, им
нравится и они умеют разное. Для совмещения «двух в
одном» профессионала аналитика в этом случае нужно
значительно «подращивать» и укреплять по
менеджерской составляющей.
-
Второй путь – привлечение готового
или почти готового специалиста из числа своих же
сотрудников. В этом случае профессиональная
компетенция будет усилена еще и знанием конкретного
производства.
Сертификация CISO
В настоящее время существуют три
наиболее серьезных системы сертификации специалистов
по защите информации.
По данным Gartner Research, среди
компаний, составляющих Global 2000, предпочтения в
области сертификации распределяются следующим образом:
-
сертификацию CISSP (компания ISC2)
– при приеме на работу или аттестации персонала
требуют 40 % компаний;
-
сертификат SANS – 15 % компаний;
-
другие (MCSE, CISA, ABCP, внутренняя
сертификация) – 25 %.
Валидной отечественной сертификации
пока не существует.
Функции CISO
По мнению аналитиков, CISO должны быть
способны выполнять следующие функции:
-
разработку политики в области ИБ,
включая регламенты, стандарты, руководства;
-
разработку принципов классификации
информационных потоков и управления ими с точки
зрения безопасности;
-
анализ рисков, их оценку;
-
обеспечение персонала всех
подразделений руководствами по исполнению политики
безопасности, организацию соответствующего обучения
и инструктирования;
-
консультирование менеджеров компании
и исполнительского персонала в пределах их
компетенции по вопросам информационных рисков и
защиты от них;
-
согласование всех политик и
регламентов для их успешного внедрения на всех
уровнях компании;
-
работу в составе рабочих групп или
экспертных советов, оценивающих риски при внедрении
новых технологий, модернизации производства,
формировании планов технического обновления или иных
изменениях в бизнесе, включение аспектов ИБ в самые
ранние этапы данных проектов;
-
совместная работа со службой
безопасности в части, касающейся их обоих, например
в функционировании пропускной системы;
-
участие вместе с топ-менеджментом в
управлении кризисом или внештатной ситуацией в
области защиты информации в случае возникновения
таковых;
-
обеспечение высшего менеджмента
компании регулярными обзорами состояния
информационной безопасности, отчетами о внедрении
политики безопасности;
-
информационную поддержку
топ-менеджеров в вопросах изменения
законодательства, технических новшеств, имеющих
отношение к сфере информационной безопасности.
Шесть советов для достижения
успеха, если вы планируете карьеру CISO
Позволим себе несколько советов,
которые могут помочь российским компаниям подготовить
своего CISO.
-
CISO – это не башня из слоновой
кости. С первых дней появления CISO в составе совета
директоров ему придется находить общий язык с
огромным количеством людей, выполняющих самые разные
функции.
-
Открытость, с одной стороны, и
избирательные коммуникации, с другой. Позиция
предполагает следующую модель поведения: много
слушаю, много собираю информации, много синтезирую –
мало говорю.
-
Возможно, есть смысл в
административном помощнике в связи с высокой
информационной загруженностью.
-
Позиция предполагает большую
повседневную работу по информированию, разъяснению
огромному количеству людей принципов построения
системы ИБ и их личной роли в ее нормальном
функционировании. Если CISO не нравится заниматься
этим, вряд ли он/она будет очень успешен.
-
CISO не должен бояться слышать
регулярное «нет» в ответ на свои предложения и
требования, во всяком случае, на первых порах.
-
CISO сам должен быть хорошим
менеджером и коммуникатором – его работа не может
быть выполнена им в одиночку.
Заключение
По данным независимых аналитических
агентств, большинство отечественных компаний увеличили
бюджеты на ИБ в новом 2003 году. Это показывает,
насколько возросло внимание к управлению
информационными рисками за последние несколько лет.
Отчасти это объясняется повышенным интересом к
вопросам ИБ в связи со значительно возросшими
требованиями со стороны государственных регулирующих
органов и деловых партнеров. Обстоятельства доказывают
необходимость и своевременность роста затрат на ИБ,
так как инциденты, связанные с нарушением ИБ,
становятся более частыми и более обременительными в
финансовом отношении. В кадровом аспекте это будет
обозначать даже не поиск готовых специалистов CISO (в
связи с их дефицитом). Вопрос заключается в затратах
(временных, денежных, организационных) на подготовку и
«тюнинг» профессионалов, способных отвечать за
сохранность такого важнейшего ресурса компании, как
информация.
И.В.
Муравьева,
руководитель службы персонала ООО
«Конфидент»
Источник:
Защита информации.Конфидент