Фирмен наръчник за киберсигурност

Рискове, бизнес, технологии – кой разбира от всичко

Виртуалният директор по сигурността демократизира достъпа до високи нива на защита

   ©  Петя Савова
   ©  Петя Савова

Информационната сигурност не е технически, а бизнес проблем. Тази максима все по-често се превръща в разделителна линия между успешните и провалените проекти, а цената на провалите расте с всяка изминала година и придобива все повече измерения - финансови, регулаторни, репутационни. В същото време самото й осъзнаване далеч не е решение на проблемите, ако то не се превърне в основа на стратегически модел, който да гарантира нейното прилагане на практика. За да се случи това обаче, е нужно една организация да разполага с талант, който владее изкуството да управлява риска - знание, присъщо за хората, които познават еднакво добре бизнес процесите и технологичните предизвикателства пред информационната сигурност.

Директорът по сигурността излиза на сцената

Седемдесет процента от анкетираните организации в специализираното изследване на ServiceNow и Oxford Economics - The Global CISO Study "How Leading Organizations Respond to Security Threats and Keep Data Safe" - изпитват трудности да приоритизират сигналите за проблеми със сигурността въз основа на важността на атакуваните данни. Опитите да се отговори с еднаква сила и приоритет на всички заплахи едновременно, обясняват анализаторите, може да парализира напълно всяка компания. Тук на сцената излиза директорът по сигурността.

Директорът по сигурността е спойката между бизнес хората и информационната сигурност. Той е медиатор и същевременно отговаря за цялостната стратегия за управление на информационната сигурност, за съветите към бизнес звената и тяхното обучение, както и за това рискът да бъде управляван комплексно и цялостно. Ако няма правилно разбиране за рисковете и то не тръгва от бизнеса, това неминуемо води до проблеми.

"Тази позиция е изключително важна, тъй като тя е връзката между бизнеса и информационната сигурност. Без нея фокусът се измества към технологиите и се получава така, че различен тип ИТ специалисти се опитват да решат проблемите предимно на технологично и продуктово ниво - имплементират се различни инструменти, но това не решава предизвикателствата пред бизнес рисковете", обяснява Борис Гончаров, Chief Strategy Officer в компанията за информационна сигурност Amatas. И добавя: "Директорът по сигурността е спойката между бизнес хората и информационната сигурност. Той е медиатор и същевременно отговаря за цялостната стратегия за управление на информационната сигурност, за съветите към бизнес звената и тяхното обучение, както и за това рискът да бъде управляван комплексно и цялостно. Ако няма правилно разбиране за рисковете и то не тръгва от бизнеса, това неминуемо води до проблеми."

И резултатите от изследването на ServiceNow и Oxford Economics потвърждават това - 81% от участниците са силно загрижени, че установените нарушения не се адресират в достатъчна степен от техните организации.

Отговорности на директора по сигурността

Бизнес - оценка на имплементираните технологии; консултации по отношение на сигурността при дигитална трансформация; съвети за сигурен преход към облачни технологии; подпомагане на бизнес проекти, нуждаещи се от насоки за сигурност; разработване на стратегии, програми и планове за сигурност спрямо бизнес нуждите; проучване на възникващите киберзаплахи и рискове.

Управление - контрол на програмите и плановете за киберсигурност; управление на организацията за киберсигурност; надзор над операциите, свързани със сигурността; организиране на обучения по киберсигурност, координация на отговора при киберинциденти; управление на отношенията с доставчиците на инструменти за киберсигурност.

Контрол на риска - дефиниране на рамката и методологията за управление на риска; анализ и количествено определяне на риска; определяне и проследяване на основните индикатори на риска; анализ на стойността на киберрисковете; изчисляване на риска при веригата за доставки и доставчици от трети страни; мониторинг и докладване на рисковете пред сигурността.

Съответствие - управление на одитите на сигурността и тестовете на системите; оценка на законовото съответствие на трети страни; разработка на политики, процедури и ръководства; дефиниране на рамката за киберсигурност; оценка на контролите за сигурност.

От всичко по много

Многобройните и комплексни изисквания, които трябва да покрива един директор по сигурността, превръщат откриването на подходящ талант в изключително сложна задача. "Един подобен специалист трябва да е наясно с бизнеса - как функционира организацията в детайли, какви са процесите, как протичат, какви са бизнес целите ѝ и как смята да ги реализира, какви са нейните стратегически хоризонти. Също така трябва да е наясно как организацията се развива във финансово отношение. Това са бизнес умения от най-висок порядък, които се придобиват с опит, а не само с теория. От друга страна, са нужни технически умения, защото няма как някой да съветва хората по теми, които сам не разбира или разбира повърхностно. Разбира се, това не означава, че директорът по сигурността трябва да бъде специалист във всяка област. Той трябва да може да интерпретира, да разбира контекста и детайлите", обяснява експертът по информационна сигурност от Amatas.

Но и това не е достатъчно. За да бъде наистина успешен, директорът по сигурността трябва да може да управлява промените и да възпитава и налага организационна култура по отношение на информационната сигурност, което стеснява до голяма степен кръга от специалисти, които могат да влязат безпроблемно в тази роля.

Виртуалният директор като решение

В тази ситуация пред компаниите има няколко възможности. На първо място, те могат да инвестират в създаването на вътрешен специалист. За изграждането на всички тези качества у един човек обаче са нужни години и сериозни инвестиции, а огромното търсене на подобни кадри поставя на дневен ред и проблема със запазването на вече изградения талант.

Организациите също така имат възможност да наемат обучен специалист, но такива не се намират лесно, а и са едни от най-скъпо платените в сферата на киберсигурността.

В момента се намираме в тотално различна индустрия в общия смисъл на думата. Тази среда предполага да се раждат постоянно нови компании, които създават продукти или услуги. Трима души могат да създадат продукт, който се използва от милиони. Компанията сама по себе си е малка, но експозицията на риска е огромна. Това трябва да е отправната точка

"Алтернативният вариант е свързан с наемането на външен специалист - виртуален директор по сигурността. Това означава организацията да погледне от гледна точка на изискванията за длъжността, на дейностите, които трябва да бъдат изпълнявани, и те да бъдат дистрибутирани спрямо някакъв екип от специалисти, които разполагат с нужната експертиза. Това е своеобразен аутсорсинг на сигурността, който се ползва от колективния опит, натрупан от специализираните в сферата на киберсигурността компании. Тук скритата полза идва от това, че този човек или група от хора работят с множество организации и постоянно решават различни казуси. Получава се едно натрупване на знания, което няма как да се случи в друг тип компании", категоричен е Борис Гончаров.

По думите му всяко едно действие в посока дигитална трансформация, което не бъде обмислено в контекста на информационната сигурност, неминуемо води до колапс на организацията. Това осмисляне пък няма как да се случи, "ако няма човек или група от хора, които могат да обвържат бизнес риска и решенията за информационна сигурност".

Размерът няма значение

След като подсигуряването на подобен талант се оказва толкова трудоемко начинание, логично идва въпросът какъв тип организации всъщност има нужда от директор по сигурността. Има ли значение размерът или сферата, в която оперират? Отговорът - категорично не! Значение има единствено експозицията на риска.

"В момента се намираме в тотално различна индустрия в общия смисъл на думата. Тази среда предполага да се раждат постоянно нови компании, които създават продукти или услуги. Трима души могат да създадат продукт, който се използва от милиони. Компанията сама по себе си е малка, но експозицията на риска е огромна. Това трябва да е отправната точка", обяснява Борис Гончаров. И обобщава: "За да се създаде един успешен директор по сигурността, една организация се нуждае от десетилетие, а днес никой няма толкова време. Това е все едно една стартъп компания да не използва облачни услуги, а да започне да изгражда своя инфраструктура, която изисква огромни инвестиции, при положение че облачните услуги позволяват достъп до всичко нужно за отрицателно време. Същото важи и за информационната сигурност. Динамиката на бизнеса в днешно време предполага бързи действия, за да си конкурентен на пазара. Така че съвсем логично е компании от всякакъв размер да се обръщат към този модел на аутсорсинг на сигурността. По този начин достъпът до високи нива на сигурност вече не е привилегия на богатите и големите. Нито само тяхно задължение."

Източници:

The Global CISO Study "How Leading Organizations Respond to Security Threats and Keep Data Safe" - изследване на ServiceNow и Oxford Economics