День
первый.
- А можно ознакомиться с результатами работы
предыдущего CISO? – спросил я, зайдя в свой «второй дом».
- Кого, кого?
- Вашего предыдущего начальника.
Женщина в летах вывалила мне на стол пару десятков папок «Дело» и ворох еще
неподшитых бумаг.
- Это что?
- Труды предыдущего владельца этих хором, - в словах прозвучала ирония и скрытая
усмешка и по поводу «трудов» и по поводу «хором». И, правда, отдел размещался на
задворках здания компании в небольшом помещении площадью 12 квадратных метров.
- А в электронном виде нет? – спросил я, недоуменно глядя на поданный мне
архаизм.
- Нет. Предыдущий начальник не доверял всем этим ЭВМ. И я разделяю его опасения.
Хакеры, вирусы, жуки всякие…
- Мда, - подумал я. - И это отдел защиты информации, который должен быть на
передовой информационных технологий. Работка мне предстоит не простая.
Так начался мой первый день в качестве
руководителя отдела защиты информации крупной добывающей компании. Возглавленное
мной подразделение считалось в компании непрестижным, о чем мне поведал мой
друг, работающий здесь в департаменте логистики.
- Твоего предшественника все считали дармоедом, - сказал он во время ланча еще
тогда, когда я только думал, принимать сделанное мне рекрутинговой компанией
предложение или нет.
– Мы от него отдачи никакой не видели, а денег он просил регулярно и много. Да.
Вот еще что. Разругаться он успел со всеми руководителями, кроме Главного. На
планерках он постоянно пытался всем указывать и раздавал приказы. Короче все
забили на него, и что он делал последние полгода никто не знает. Так что думай,
стоит ли ввязываться в таких условиях?.. – предупредил меня друг.
- Да, опасения подтверждаются, - подумал я
после краткого просмотра дел, полученных от МарьИванны, помощницы «бывшего». –
Незавидное мне досталось хозяйство. Почти как Геракл в Авгиевых конюшнях. Надо
как-то выходить из столь незавидного положения.
Первым делом я решил составить список задач,
которые мне предстояло решить в ближайший месяц и квартал. Именно от их удачного
завершения зависит успех того, ради чего меня наняли. Хотя именно этого-то я и
не знаю. Собеседуя меня, Главный как-то расплывчато сказал: «Ну, вы сами знаете,
что надо делать. Удачи!» Похоже он и сам не знал, что я должен делать. Думал:
«Так принято».
- Для начала соберу отзывы о своем
подразделении от тех, для кого я и должен работать – от бизнеса. Заодно
познакомлюсь с руководителями этих отделов, зарабатывающих деньги, пойму их
задачи и приоритеты. Работа предстоит непростая – мой предшественник оставил по
себе плохую память и мне надо как-то сломать это отношение. На ближайшую неделю
дел у меня полно…
День второй. Неделю спустя
- Ну как? Провел беседу с нашим средним
звеном, - спросил меня мой товарищ.
- Да, конечно. Сначала было сложно ломать стереотипы, но потом все пошло по
накатанной. Мне повезло - мой предшественник так тесно не взаимодействовал с
бизнес-подразделениями и не ставил перед собой цель во всем руководствоваться их
интересами. А ведь именно от воли руководителей среднего звена зависит успех или
неуспех информационной безопасности. Самые громкие слова топ-менеджмента о
безопасности так и останутся словами, если они будут воплощены в жизнь рядовыми
сотрудниками под руководством людей, находящихся на среднем уровне иерархии. В
конце концов, безопасность – это не стратегическая, а операционная деятельность,
которой занимаются не высокие чины.
- Теперь-то, что будешь делать?
- Что от меня ждут руководители отделов я понял, куда двигаться дальше я знаю.
Дело осталось за малым - получить санкцию руководства. Обращусь к нему;
представлю первый этап реорганизации всех процессов, связанных с моим
направлением. - Хочу создать комитет по безопасности. Добро руководителей
среднего звена я получил – осталось топ-менеджмент привлечь.
- Да? Зачем тебе этот комитет?
- Ну как же? Безопасность - дело общее и пронизывает она всю компанию сверху
донизу. Я один не в состоянии сделать все. К тому же, мое дело – контроль. Такие
вещи, как внедрение, лежат на ИТ. А постановка целей и анализ результатов –
прерогатива бизнес-подразделений. Я оказываю им всестороннюю поддержку, но за
конечный результат отвечают все-таки они. Бизнес за финансовые результаты, а ИТ
– за бесперебойную работу всей инфраструктуры. Моя цель, чтобы это все
скоординировать и осуществлять защищенным образом.
- А комитет-то тут причем?
- А комитет объединит все заинтересованные стороны и позволит вырабатывать
консолидированное мнение. Это значит, что мы вместе примем решение и отвечать за
него будем вместе. При таком подходе никто не сможет сказать: «Я не виноват -
это все они». Конечно, решение принимается чуть дольше, чем единолично, но зато
и эффект будет несоизмеримо выше. Да и топ-менеджмент с большим доверием будет
относиться к принятым сообща решениям.
- Я думал за безопасность должен отвечать только ты.
- Не совсем так. Вспомни, когда у вас внедряли портал, кто ставил цели и
оценивал результат? Не ИТ, а HR. А когда ERP внедряли? Аналогично. Главенствовал
бизнес, а не ИТ-служба. С безопасностью все тоже самое. Ты меня лучше просвети в
вашей внутренней кухне. Каковы политические течения? Как выделяют деньги? Есть
ли кланы? Выделяет ли руководство каких-нибудь фаворитов? Есть ли у него
какие-нибудь привычки, хобби, ну и т.д.?
День третий. Спустя месяц
Сформировав команду из руководителей наиболее
важных подразделений, я добился того, что все работали сообща. Такие же
коллегиальные были и решения – уже никто не мог валить все «на того парня» или
запускать высокорискованный проект или незащищенный сервис. Показав свою
заинтересованность в «их» делах, я получил их поддержку, что и стало залогом
моего дальнейшего успеха. «Сарафанное радио» разнесло по компании, что я не
«твердолобый дармоед в погонах», а «рубаха-парень», с которым можно иметь дело.
Встреча с руководством прошла успешно – я
получил добро на большинство своих инициатив. Интересной получилось встреча и с
финансовым директором. Я «вышел на него» не с кипой счетов на покупку межсетевых
экранов и антивирусов, а с четко проработанным планом финансирования своего
направления, на котором стояли визы всех членов сформированного мной комитета по
информационной безопасности. Все проекты были разделены на 3 типа:
• фундаментальные, без которых не обойтись (в частности, ежегодное обновление
корпоративного антивируса).
• поддерживающие, для операционной поддержки и снижения TCO
• прямо влияющие на бизнес.
Согласование с комитетом по ИБ помогло мне
определиться и с источниками финансирования моих инициатив. Стратегические
проекты (их оказалось всего 3) бюджетировались на уровне компании в целом, также
как и поддерживающие (фундаментальные) инициативы. А вот деньги на все
промежуточные задачи были найдены в бюджетах бизнес-подразделений, ИТ и т.д.
Например, деньги на программу повышения осведомленности персонала в области
защиты корпоративных ресурсов я получил от HR-подразделения, а ресурсы на защиту
ERP-системы изыскались у отдела внутреннего аудита, заинтересованного в
соответствии наших корпоративных систем требованиям SOX, ISO 27001 и других
стандартов, которым мы, как компания, работающая на международной арене, должны
были соответствовать.
Уже когда я уходил от CFO, он, как бы проверяя
меня, спросил: «Я слышал, что бюджет на защиту информации должен составлять
около 5% от ИТ-бюджета. Что вы об этом думаете?»
Врасплох меня он не застал и мой ответ не заставил его ждать.
- Какие 5% от ИТ бюджета? Кто и откуда взял эти цифры? И почему они стали
стандартом де-факто для всех? ИБ-бюджет зависит только от решаемых задач и ни от
чего больше. Он может быть и больше 5% и меньше 1%. К тому же, как выделить
бюджет на ИБ от бюджета на сетевую инфраструктуру, системные и бизнес-приложения
и их администрирование? Это цифра очень спорна и обычно приводится, когда все
остальные доводы исчерпаны.
Видимо мой ответ удовлетворил нашего финансового гуру и больше он ставил мне
палки в колеса, понимая, что я работаю на благо компании, а не «для галочки».
На очередных посиделках с товарищем речь зашла
о взаимодействии с ИТ-департаментом:
- А как у тебя с ИТшниками?
- Поначалу было сложно. CIO был в отпуске, а его заместитель отличался
консерватизмом в отношении информационной безопасности. Хорошо, хоть CIO
вернулся – с ним мы быстро нашли общий язык. А во время его отсутствия я как раз
решал вопросы по созданию комитета по ИБ и другие оргвопросы, так что дел было
много и без ИТ.
- А сейчас-то о чем с ними договорились?
- Главное, что мы согласовали с ИТ разделение функций. На мне выработка
согласованных требований и контроль их исполнения, а на них собственно
реализация. В конце концов за работоспособность сети отвечает ИТ-служба; им и
карты в руки. Главное, что мы не разругались, а то пришлось бы прибегать к
помощи начальства, а это хуже всего для дела.
- А вообще над чем сейчас трудишься?
- Ну у меня сейчас 3 приоритетных направления. Во-первых, я разрабатываю
архитектуру безопасности, которая будет основополагающим столпом для компании в
области безопасности. От нее уже пойдут ответвления и по части ИТ, и по части
работы с персоналом, и по части взаимодействия со службой безопасности и т.д.
Во-вторых, я сейчас хочу выработать метрики оценки эффективности процессов по
безопасности. Чтобы и самому себя контролировать и остальным демонстрировать
свои «успехи». Ну и, наконец, совместно с HR мы разрабатываем программу
повышения осведомленности персонала. Если мы ее успешно внедрим, то и денег на
технические решения потребуется поменьше.
- А с людьми у тебя как?
- Ну людей как обычно не хватает. Сменил себе ассистента. А то МарьИванна была
еще та «штучка». Теперь хочу взять человека для взаимодействия с
бизнес-подразделениями. Пусть контролирует потребности наших основных
заказчиков. Ну и еще есть пара вакансий, которые надо задействовать.
День четвертый. Полгода спустя
Спустя полгода еле занявшийся огонек
превратился в пламя и процесс управления информационной безопасности в компании
полыхал во всю. Все подразделения были вовлечены в эту работу и никто уже не
называл нас Business Prevention Department. Принятая архитектура безопасности и
программа повышения осведомленности персонала позволила сконцентрироваться на
ключевых моментах и не распыляться по мелочам. Набранные в отдел сотрудники
держали руку на пульсе, что позволило мне сконцентрироваться на совершенно новой
области развития своего направления – модели предоставления безопасности, как
сервиса.
Учитывая, что аналогичную работу проводил и
наш ИТ-департамент, внедряющий в компании ITIL, я подключился к этому процессу
со своей стороны. Взаимодействие с CIO позволило нам выработать соглашение о
качестве обслуживания (SLA) и строго придерживаться его в работе с внутренними
заказчиками. Учитывая, что и подразделения были соответствующим образом
подготовлены, и метрики оценки эффективности были разработаны и утверждены, этот
процесс прошел практически без проблем. Хотя сначала CIO скептически относился к
идее выработки SLA по безопасности.
- Как вы предлагаете считать безопасность? В каких метриках? – спросил он меня
на первой нашей встрече, посвященной внедрению ITIL.
- Все достаточно просто. Для простоты возьмем защиту трейдинговой
онлайн-площадки с помощью межсетевого экрана. В качестве параметров для SLA
могут выступать время на изменение или добавление правил разграничения доступа,
время реагирования на атаки, время восстановления работоспособности атакованной
системы и/или системы защиты и т.д.
- Интересно. Как-то не думал я о декомпозиции до такого уровня, - задумавшись,
ответил мне CIO.
- Можно пойти и еще дальше и измерять, например, процесс подключения нового
пользователя в информационную систему. Здесь у нас появляются такие показатели,
как время ввода информации о новом пользователе, время его ежедневной
регистрации в системе, время реагирования на запрос в Service Desk по поводу
неудачного входа в систему, время смены пароля и т.д. И измерять эффективность
этого процесса тоже можно. Как с помощью уже названных метрик, так и используя
новые и сугубо внутренние параметры. Например, число удачных и неудачных попыток
входа в систему за единицу времени или стоимость обработки и количество
обращений в Service Desk, стоимость и время реагирования на инцидент, связанный
с неудачной попыткой входа в систему и т.д.
- А что! Интересная мысль. Мы ведь так действительно сможем расписать все
задачи, связанные с безопасностью и связать их с количественными
характеристиками.
К внедренной ИТшниками системе Service Desk мы
подключили наш небольшой центр управления безопасностью (security operations
center) и получили единую точку входа на все возникающие в компании инциденты и
проблемы. Учитывая, что все эксплуатационщики сидели в ИТ-департаменте и людей,
работающих «руками» у меня не было, внедрение HelpDesk сильно упростило и нашу
работу и взаимодействие со всеми остальными подразделениями, участвующими в
информационной безопасности – ИТ, HR, внутренний аудит и т.д.
День пятый. Прощание
И вот настал день моего прощания с компанией.
Меня пригласили во вновь образованную объединенную судостроительную компанию и я
посчитал, что это будет интересным шагом в моем профессиональном развитии. Здесь
процессы были налажены, и я не считал, что покидаю тонущий корабль.
Перед устроенной мной прощальной вечеринкой, я
сидел в своем кабинете и вспоминал прошедшие годы. Я действительно добился
много, несмотря на то, что сначала в успех моей затеи никто не верил.
Безопасность воспринималась всеми как технологическая задача, и никто не
связывал ее с бизнесом, не думал, что эффективность безопасности можно измерять
и т.д. И хотя я понимал, что в мгновение ока цели не достичь, унывать я не
собирался.
Я выделил стратегические цели бизнеса и увязал
все свои проекты с ними. Я создал комитет по безопасности и заручился поддержкой
всех руководителей бизнес-подразделений. Я смог выработать подход по оценке
эффективности всех внедряемых процессов и решений. Не все руководство одобряло
мои идеи и мне пришлось пустить в ход все свое красноречие и дипломатический
талант, «обращая в свою веру» высокопоставленных руководителей.
- Повезло мне, - думал я. Если бы не
достаточно высокий уровень зрелости компании и ее руководства, я врядли смог бы
так вписаться в коллектив со своими «продвинутыми» идеями. Думаю, именно это и
обусловило мой успех. В любой другой ситуации пришлось бы действовать по
старинке, каждый раз с трудом выбивая несколько десятков тысяч долларов на
приобретение или обновление средств защиты. Не знаю, что будет на новом месте? В
любом случае, это я получил бесценный опыт, который смогу применить и на новой
работе. Пока могу только заметить, что, как говорил руководитель несуществующей
уже страны, «процесс действительно пошел» и от меня уже мало что зависит. Отдел
работает, связи выстроены, процессы налажены. Главное поддерживать это все и не
дать механизму сломаться…
- Михаил Васильевич, пора. - отвлек меня от
размышлений голос помощницы Юли. - Все накрыто. Народ собирается…
- Ну что ж, пойдем. Негоже заставлять людей ждать…
Об авторе:
Алексей Викторович Лукацкий, консультант по безопасности Cisco
Systems. Связаться с ним можно по тел. (495) 961-1410 или
e-mail:alukatsk@cisco.com
