18 мая 2023 г.

Александр Зубриков

Отсутствие вклада в повышение выручки предприятия, стабильные затраты на закупку ПО, оборудование и в расширение команды, а также постоянно ускользающий образ результата («Правильный кибербез — это как?») — во многом из-за этих факторов на CISO косо смотрят как финансовые директора, так и собственники бизнеса.

Универсальная система KPI наверняка решила бы все проблемы. И потребность в ней уже начинает оформляться. Компании задумываются об учреждении должности Business Information Security Officer, задача которого — построить мостик между ИБ и всем многообразием бизнес-заказчиков, от административно-хозяйственного отдела до уровня совладельцев. Иными словами, с появлением BISO контексты, в которых происходит зарабатывание денег и защита компании от внешних и внутренних угроз, наконец должны соединиться.

Как быть организациям, которые не желают дожидаться появления всемогущего BISO, а хотели бы «в моменте» считать ключевые показатели эффективности отдела ИБ — хотя бы с целью корректно начислять команде кибербеза премии? Какое-то время им придется пожить в прежней парадигме и выбрать конкретную систему KPI из существующих. Давайте разберемся, что это за системы, для кого предназначены и какими достоинствами и недостатками обладает каждая из них.

Вариант 1. «Лампочка Генри Форда»

Более 100 лет назад знаменитый автомобильный магнат провел эксперимент: он начал платить бригадам ремонтников за простой и вычитать из зарплаты деньги, когда какие-то участки конвейера выходили из строя. Таким образом, чем четче все работало стараниями ремонтников и чем быстрее они ликвидировали простои, тем выше оказывалось их вознаграждение.

Этот кейс вполне можно применить к корпоративному кибербезу. Действительно, ведь если не происходит недопустимых событий, которые приводят к нарушению основной деятельности организации (например, реализованная атака шифровальщика), значит, ИБ работает скорее хорошо.

Впрочем, дискретная оценка («хорошо/плохо») — наверняка не предел мечтаний для руководителя, который хотел бы оперировать более разнообразными метриками. Этому поможет матрица оценки рисков. Она нужна как минимум по двум причинам. Первая — выстроить для CISO и его ведомства систему координат: вот этот риск мы считаем некритичным, а вот тот уже относится к недопустимым событиям, и взыскание за него будет жестким.

Зачем это надо? В первую очередь — чтобы исключить вариант замалчивания со стороны директора по безопасности. Если наказывать команду ИБ даже за незначительные прегрешения, отдел кибербеза достаточно быстро станет скрывать реальную ситуацию. Итог — о действительно важном происшествии собственники бизнеса и генеральный рискуют прочитать в тематических ТГ-каналах или в деловой прессе. Без матрицы рисков и разделения ИБ-событий по степени критичности подход работать не будет.

Несомненным плюсом такого подхода станет аспект премирования — ведь где есть кнут (штрафы), там найдется место и прянику. Пряником здесь может выступать то, как CISO организовал реагирование на инцидент. Как быстро купировал, насколько четко провел его ликвидацию согласно бизнес-процессам, как быстро расследовал, насколько заложил возможности недопущения такого инцидента впредь, хорошо ли сработал с другими департаментами в рамках разруливания киберпроисшествия.

И еще один важный плюс — эта модель достаточно гуманная по отношению к CISO. Она исходит из того, что даже суперзащищенную организацию могут взломать.

Вариант 2. Кибербез по стандартам

Второй способ базируется на аудите информационной безопасности и на соответствии корпоративного кибербеза основным международных стандартов и регламентов. В их числе — ISO27001, ISO27005, NIST 800 и другие. Ими вдохновляются для выстраивания ИБ-процессов. Если нет вопросов к работоспособности, выполняется цикл PDCА (он же цикл Деминга), есть план совершенствования, есть план контроля и т.д. — с кибербезом скорее все в порядке. Если недостатки находятся, оценивается их критичность. Найденным недоработкам присваивает удельный вес. В итоге в качестве KPI формируется некая синтетическая оценка, исходя из которой совет директоров и совладельцы предприятия понимают ситуацию с ИБ.

Система KPI, основанная на выполнении compliance и учитывающая международные нормы и регламенты, предполагает определенную зрелость организации, которая решится на ее внедрение. Матрица рисков, их стоимость и удельный вес рассчитываются усилиями отдела внутреннего контроля. Вместе с тем, чтобы смежное подразделение адекватно оценивала эффективность работы ИБ, отдел внутреннего контроля должен быть квалифицированным и хорошо разбираться в рисках информационной безопасности, чтобы определить KPI для команды кибербеза.

Слабое место подхода вытекает из его достоинств. Да, есть понятные и принятые на международном уровне стандарты. Но буквальное следование им несет в себе достаточно серьезный стратегический риск, когда ИБ идеально функционирует в вакууме, в отрыве от потребностей бизнес-заказчиков и от рыночных реалий.

Чем это грозит? Любое, самое незначительное изменение корпоративной структуры или стратегии может застать врасплох: ИБ как функция перестанет соответствовать облику компании «в моменте». А значит, перестанет защищать бизнес. Соответственно, сформированная и тщательно рассчитанная нормоконтролем матрица рисков с удельными весами по каждой угрозе станет абсолютно нерабочей сущностью. А потому никакая оценка в рамках KPI для корпоративной функции кибербеза окажется невозможной.

Вариант 3. ИБ на «долгосрок»

Как следует из названия, этот подход применяют компании с солидным горизонтом планирования, в районе 3-5 лет. Стратегия разрабатывается достаточно верхнеуровнево: отвечать таким-то вызовам, оказывать такую-то поддержку на таких-то рынках, «накрыть» информационной безопасностью такие-то процессы.

Верхнеуровневый подход привлекателен с точки зрения образа результатов (они понятны акционерам) и метрик оценки — в силу того, что стратегия формируется именно как корпоративный документ, попадание (или непопадание) в таргеты будут видны на самом верху корпоративной иерархии. Собственникам бизнеса будет понятно, за что похвалить или поругать CISO. Реально представлять положение дел — всегда приятно.

Кадровая проблема — слабое место этого подхода. ИБ-директоров, даже очень высокого уровня, собственники далеко не всегда стремятся сделать совладельцем компании — то есть посадить в одну лодку с собой. Статус наемного сотрудника позволяет CISO в любой момент покинуть компанию. Второй минус — в системе мотивации. Горизонт планирования означает, что CISO может рассчитывать на бонус в лучшем случае через год, а то и через два — когда компания получит профит от новаций в ИБ, которые ему удалось реализовать.

Главный вызов здесь стоит не перед CISO, а в большей степени перед владельцами компании. Собственникам необходимо не только найти ИБ-директора, который реально заинтересован играть вдолгую, но и уметь «перезагружать» его мотивацию по завершению каждого отчетного периода, чтобы открывать перед ним как перед профессионалом новые горизонты. Подобная «перезагрузка» мотивации реализуема при поддержке внешних консультантов. К их услугам следует обратиться, если CISO для компании действительно ценен, и организация не намерена его терять.

Что в итоге?

Отдельные эксперты уже высказываются о более чем вероятной (очередной!) трансформации ИБ-директора. На место CISO рано или поздно придет BISO, о котором мы упоминали в самом начале. Однако это с большей вероятностью произойдет в организациях, где ИБ изначально «приземлена» на продукты и сервисы, и где компания не может расти и развиваться в отрыве от кибербеза.

Другим фактором развития становится регуляторное давление на бизнес — оживленно обсуждаемый в отрасли 250-й приказ, проект закона об оборотных штрафах и другие регуляторные новации. Владельцы и руководители компаний волей-неволей начинают вовлекаться в процесс обеспечения кибербезопасности, и происходит это в том числе из-за банального нежелания рисковать своими деньгами. Владельцы компании понимают: штрафы за просчеты в ИБ фактически будут изыматься из их карманов. Впрочем, учитывая общий тренд на рост уровня компетенций CISO, нам бы хотелось надеяться, что собственное желание «сделать круто» перевесит перспективу суровых взысканий.

Источник: Александр Зубриков, генеральный директор ITGLOBAL.COM Security