CISO и бюджет. Как убедить гендиректора компании инвестировать в ИБ
Поддержка и развитие систем кибербезопасности в крупном бизнесе требует немалых инвестиций, и задача CISO - обосновать их необходимость перед руководством компании. О сложностях защиты ИБ-бюджета в экспертной колонке для SecPost рассказал руководитель службы информационной безопасности "МойОфис" Дмитрий Соколов.
Вопрос окупаемости инвестиций в информационную безопасность всегда сложный. Я не буду брать два крайних варианта, когда CEO либо принципиально не хочет тратить деньги на ИБ по личным причинам, либо CEO и CISO лучшие друзья детства, и обоснования никакого не нужно.
Есть простая формула, которую мне преподавали 20 лет назад в университете: стоимость защиты не должна превышать стоимость информации. Это база, которая актуальна и на данный момент, только стоимость информации все сложнее и сложнее считать. Комплексное воздействие этой информации на компанию рассчитать еще сложнее, учитывая имиджевые потери, штрафы, простой бизнеса и т.д.
Я разделяю обоснование затрат на ИБ на законодательное (регуляторное) и бизнесовое. В законодательном плане все проще – есть закон, его требования и наказание за его неисполнение, теперь вплоть до уголовного. Был у меня разговор с коллегой, который перешел из государственного сектора в коммерцию: «Хочу обратно вернуться на госслужбу, там все гораздо проще – есть закон, по нему все закупают и не нужно бизнесу объяснять зачем и почему, достаточно – по закону нам это нужно». Но тут есть обратная сторона: закупка оборудования есть, а обслуживать его некому. Пример с «Аэрофлотом» говорит о том, как неправильно инвестируют. В кулуарах одного форума было сказано представителем вендора, что у «Аэрофлота» много дорогих, хороших систем, но мало квалифицированных специалистов, кто бы их обслуживал. И подход – купить что-то дорогое, но не нанять хороших специалистов для обслуживания его, довольно часто встречается в компаниях.
В бизнес-среде все гораздо сложнее. Можно много рассказывать про уязвимости, давить на страх, что нас сломают, но в реальности это редко работает. За последние три года у бизнеса появилось много других проблем (ключевая ставка, платежи за границу, кадровый голод и т.д.) и для бизнеса ИБ не стала важнее, даже после громких инцидентов подходы не меняются. Проблемы с ИБ могут быть, но могут и не быть, а кредитная ставка сейчас высокая – и это факт.
В бизнесе я выделяю ранний этап развития ИБ, когда все начинается с нуля. На этом этапе безопасность можно стоить сравнительно недорого – несколько специалистов, которые смогут написать корректные требования и проконтролировать их выполнение: лучшие практики настройки оборудования и ПО, обновление систем, обучение сотрудников через семинары, письма, бесплатные курсы, изоляция критических систем уже имеющимся сетевым оборудованием. На этот этап бизнес часто идет без особых дискуссий – можно нанять двух-трех специалистов, «пусть что-то там настраивают».
На следующем этапе, когда минимальная база сделана и есть необходимость в развитии существующих процессов с расширением штата и закупкой систем, часто возникают сложности. Пока проходит базовая настройка, а это может занять год-два-три, то бизнес привыкает к мысли, что мы стали безопаснее, и это дешево. А почему теперь ИБ должна стоить больших денег, до этого же все работало? Такая же ситуация может возникнуть, когда компанию «А» покупает компания «Б» с более развитой безопасностью, специалисты остаются старые, а уровень ИБ необходимо поднимать на качественно новый уровень.
И на этом этапе открывается главная причина сложности обоснования бюджета: CISO не говорит на языке бизнеса. CISO часто сам не понимает реальные риски своей компании, не знает, чем компания зарабатывает деньги и что действительно необходимо защищать. Много ли специалистов имеет степень MBA? Или хотя бы тех, кто понимает механизмы бизнеса своей компании? Рисуются многочисленные графики по возможным убыткам от инцидентов ИБ, количеству уязвимостей, спама и т.д., но они не коррелируются с целями компании, они не говорят на языке бизнеса. Они действуют по накатанной схеме, не учитывая особенности компании.
В современном мире среднестатистической компании невозможно закрыться от мира – утечки и инциденты будут в любом случае. Но масштаб, критичность и последствия у них могут быть разные. В этих условиях необходимо видеть ключевые элементы в компании и делать акцент на их защите, уменьшив число мест хранения данных. Можно долго дискутировать по поводу рисков, но не так много знаю специалистов, которые реально понимают суть этого процесса. И в этом случае покупка средства за 1 млн рублей превращается в «экшен» на несколько месяцев.
Не менее важным критерием при защите бюджета является репутация CISO как специалиста и человека в глазах CEO и совета директоров: гибкость и договороспособность при принятии решений, общие софтовые качества, подходы к работе. Если в бирюзовой ИТ-компании применять военные подходы к ИБ, то бюджет защитить будет крайне сложно. Это работает и в обратную сторону: в части компаний необходимо быть жестким, иначе будут считать «слабым». Если CEO видит компетентность CISO в вопросах, которые сам CEO хорошо знает, то и к остальным вопросам он будет более лояльным.
CISO должен быть харизматичным продажником, и продавать свои идеи компании, а не насаживать их директивно. Важный подход – не говорить о том, что все опасно и нас взломают, а говорить о том, как помогать бизнесу, считать, сколько может сэкономить внедренная система компании.
Нужна DLP – идите не оттого, что мы предотвратим утечку, а от того, что с помощью DLP сможем лучше контролировать загруженность сотрудников, поднять их эффективность, посмотреть, чем они занимаются в рабочее время. А «побочным эффектом» уже будет контроль утечек.
Нужен спам-фильтр, посчитайте, сколько приходит спама, сколько сотрудники и техподдержка тратят времени на его обработку, выразив это в человеко-часах. Попытайтесь учесть моральный дух сотрудников от большого количества спам-писем. И сколько может стоить простой сотрудника, если он заразится вирусом – вот эти цифры бизнес поймет. И только в конце приложите ссылку на исследования, что много атак начинается с фишинга.
Следующий принцип при согласовании бюджета – обосновывать через личный страх CEO. Он тоже человек, у него есть свои страхи. Действуйте на личность, что лично он потеряет от того, если будет инцидент: снимут с должности, испортит репутацию, потеряет контроль в бизнесе, подумают о том, что он устарел. Все это страхи высоких руководителей, идите через них.
Не стоит забывать и про политический момент: «каждый тянет одеяло на себя», защищая свои интересы.
Глобальных изменений в отношении к ИБ за последние три годя я не увидел. Ландшафт угроз меняется, но работают те же люди с теми же установками и подходами.
С одной стороны, будет рост в ИБ направлении за счет импортозамещения, связанного с естественным устареванием оборудования, и более жесткие требования законодательства. С другой стороны – ИБ сейчас не главная проблема для бизнеса.
Подводя итог, я считаю, что нет универсального решения этого вопроса. В каждой компании, с каждым CEO нужно действовать по своему сценарию, ориентируясь на обстоятельства. Главное — понимание бизнес-процессов и целей компании. График в «экселе» с парой заметок или объемный документ на 100 страниц – уже не важно, это всего лишь форма подачи той сути, которую CISO несет в компании. Важно смотреть, как внедряемые процессы будут влиять на бизнес, а в идеальном мире – помогать ему.
