Пришло время нанять директора по информационной безопасности и начать относиться к безопасности всерьез.
Долгое время информационная безопасность находилась в ведении ИТ-директора, будучи одним из пунктов в длинном перечне обязанностей и навыков, перечисляемых в описании вакансии. Во многих компаниях дело обстоит так и до сих пор.
Если долго не уделять внимания безопасности, то внимание на ее отсутствие начнут обращать «плохие парни». Именно это произошло с сетью супермаркетов Target, а позднее и с Home Depot. Они стали жертвой масштабных атак, в результате которых злоумышленники получили доступ к данным по платежам за большой период времени — за несколько недель в случае Target, а в случае Home Depot — за несколько месяцев. Только представьте себе: кто-то месяцами копался в недрах ИТ-систем компании, и лишь внешние организации — банки — убедили руководство Home Depot как следует проверить сеть, обнаружить брешь и закрыть ее.
У ИТ-директоров так много проектов, проблем и планов, что они могут забывать об обязанности укреплять защищенность своих систем и следить за целостностью сетей и машин. Более того, ИТ-директор может не иметь нужных навыков и игнорировать необходимость быть в курсе актуальных угроз и следить за ландшафтом безопасности.
Независимо от того, кому подчиняется директор по ИБ — ИТ-директору или, что лучше, директору по ИБ, единственными его обязанностями должны быть управление профилем безопасности и слежение за тем, чтобы укрепление сетей и систем осуществлялось непрерывно и приносило необходимые результаты. ИТ-директор может отвечать за взаимодействие с бизнесом и эксплуатацию ИТ-систем, тогда как директор по безопасности — за то, чтобы тылы компании были защищены.
Роль CISO
В идеальном мире у каждой компании будет директор по информационной безопасности, а заниматься он будет нижеследующим.
Реагировать на проникновения и планировать ответные действия. Как уже говорилось, атака против Home Depot могла продолжаться по сей день, если бы не вмешательство третьих сторон. С тех пор как был обнаружен взлом, прошло больше недели, прежде чем в компании официально признали факт атаки и начали компенсировать заказчикам нанесенный ущерб.
Главной обязанностью директора по ИБ в чрезвычайных ситуациях будет проследить за тем, чтобы атака не обернулась чем-то подобным тому, что произошло в Home Depot и Target. И это не должно быть функцией ИТ-директора. По сути, в случае атаки вся ответственность должна лежать на директоре по ИБ. В идеале у него должны быть полномочия и бюджет на то, чтобы быстро и эффективно реагировать на взломы, не увязая в бюрократии и отчетности, — по крайней мере до тех пор, пока опасность и последствия взлома не будут устранены.
Участвовать в согласовании планируемых ИТ-инвестиций. У ИТ-директора может быть немало амбициозных планов и проектов, но он, возможно, не уделяет внимания оценке их влияния на безопасность. Что еще хуже, в стандартной схеме осуществления проектов, принятой в организации, может вообще не быть мер по обеспечению безопасности и целостности. В организации также может не быть человека с достаточным опытом, чтобы как следует оценить план с точки зрения его влияния на безопасность.
В идеале у директора по ИБ должна быть обязанность проводить тщательные проверки планов освоения и использования новых сервисов. У него должны быть возможности и полномочия утвердить предложение с точки зрения ИБ, потребовать пересмотра в целях устранения каких-либо недочетов в плане защищенности либо наложить вето при обнаружении серьезных проблем с безопасностью, которые нельзя устранить без чрезмерных затрат.
Кратко, но эффективно доводить информацию до сведения заинтересованных лиц. Нарушения ИБ — по своей природе чисто техническая проблема. Но ее сложность не уменьшит числа вопросов, которые директор по ИБ получит от других топ-менеджеров, членов правления и не только.
Директор по ИБ должен разбираться в первопричинах проблем безопасности, будь то взлом или уязвимость, не учтенные в новом проекте, чтобы кратко, но внятно разъяснить ключевым фигурам опасность и дать рекомендации по устранению.
Конечно, директора по ИБ обычно слушать не хотят, подобно тому как никто не хочет выслушивать, что скажет внутренний аудитор. Но эффективный директор по ИБ, обладающий глубокими техническими познаниями и способностью разъяснять просто сложные вопросы, сможет убедительно отстаивать необходимые меры и решения.