Чем занимаются плохие менеджеры ИБ?

Последние 6 лет я провел, работая в направлениях информационной безопасности, управления ИТ-рисками и ИТ-аудита.

Будучи педантом, я очень заморочен вопросом персональной эффективности и постоянно ищу способы её повышения в рамках курируемых мною рабочих вопросов. В ход идет и обучение\сертификация, позволяющие систематизировать знания и провести гап-анализ своих практик в сравнении с общепризнанными, и общение с коллегами по интересам — за несколько лет я оброс знакомствами с ИБ специалистами разного уровня, начиная от технических администраторов, заканчивая топ-менеджерами крупных компаний. Но самую большую пользу мне принесла и приносит обратная связь от конечных пользователей и менеджеров, то есть от бизнеса.

Имхо, мне удалось добиться определенных успехов в популяризации информационной безопасности на выделенном мне периметре (и что не менее важно, в повышении уровня информационной безопасности), в то же время, я вижу как некоторые коллеги, возглавляющие службы ИБ терпят неудачи. Сейчас я расскажу, как потерпеть неудачу, когда тебя назначили руководителем службы ИБ всего за 8 простых шагов. Предупреждаю, что путь к плохому руководителю ИБ службы может занять более года, а как правило — 10-12 лет.

1. Не общайся с владельцами бизнес функций в компании.
Владелец бизнес функции — топ менеджер, который отвечает за какое-либо направление бизнеса и, соответственно, несет все присущие риски. Возьмем, к примеру, банк — какой-нибудь зампред по розничному бизнесу курирует работу ритейла, он то и есть владелец этой бизнес функции, ему наиболее не всё равно, работает ли фронтовая система, сколько времени занимает открытие отделения и как долго сбрасывают пароль единственному сотруднику на точке продаж. Если ты хочешь повысить отказоустойчивость (доступность) фронтовой системы, то среди людей, согласующих бюджет, возможно, он будет единственным, на кого повлияют твои доводы. Другой банковский пример — вице-президент\зампред по удаленному обслуживанию. Кого если не его беспокоит судьба системы интернет-банкинга? Кто будет проталкивать с тобой идею внедрения горячего резервирования и токенов? А знаешь почему ваш сервер интернет-банкинга хостится на win2k, а администрируется по radmin’у под учеткой доменного админа?

2. Ты никогда не участвуешь в проектах
Если не хочешь, чтобы контроли и средства защиты были внедрены к выходу системы в продакшн, то лучшее время для игнорирования требований ИБ — начало проекта, тот самый момент, когда прикидываются сроки, бюджеты и примерная архитектура. Отсутствие оценки рисков на первых этапах внедрения проекта приводит к огромной головной боли в будущем и существенно повышает затраты на приведение ситуации в порядок. Но ты же не будешь приводить ситуацию в порядок.

3. Ты никогда не рассказываешь о проблемах ИБ внутренним аудиторам
Тебе ведь виднее, что творится в компании и тебе не нужен независимый взгляд со стороны.
А самое важное, тебе не нужно, чтобы кто-то оказывал дополнительное давление на топ-менеджеров, вынуждая их принимать меры к снижению ИТ\ИБ рисков.

4. Потому что риск-ориентированный подход будет только мешать
Так как с ним не получится внедрить DLP (data leakage prevention) решение за 20млн. (для защиты активов на 230 рублей мелочью), чтобы мониторить переписку пользователей и запрещать им сидеть вконтакте. Ведь кому, как ни тебе заниматься вопросами мотивации и повышением лояльности сотрудников?

5. Не общайся с пользователями
Мнение пользователей не важно, потому что они не разбираются в вопросах ИБ и априори не могут возразить ничего конструктивного против твоего экспертного мнения.
Внедряемые тобой изменения это вынужденные меры, повышающие информационную безопасность в компании, и, производительность труда (естественно).

6. Внедряй безопасность ради безопасности
Yo Dawg, I herd you like DLP, so I put DLP in your DLP.
Контролей много не бывает, поэтому хорошо бы запретить скачку файлов из интернет. А доступ осуществлять по логину и паролю, естественно с подтверждением каждого перехода между страницами одноразовым смс-паролем. Но, только после подтверждения операции ответственным сотрудником (с занесением в бумажный журнал, хранящийся в сейфе), который по пути к своему рабочему месту прошел через два шлюза, пять раз предъявил пропуск, дважды расписался и написал объяснительную, т.к. забыл вынуть флешку из кармана, когда проходил через рентген.
Никому не позволено нарушать твою политику информационной безопасности!

7. Не стоит согласовывать политики с руководством компании
Кто если не ты сможет диктовать ИБ политику в компании? Ведь ты же эксперт, тебя наняли для обеспечения информационной безопасности. Всё просто — если бы от тебя хотели, чтобы ты отражал интересы бизнеса или пользователей, тебя бы наняли на какую-нибудь другую должность.
Поэтому, скачай политику из интернет, добавь в неё щепотку блекджека и тихонько подсунь на подпись главному.

8. Скрывай результаты своей работы от менеджмента
Если не дай бог, тебя попросят отчитаться о результатах работы, то рецепт прост. Делаешь презентацию со следующими слайдами:
— выгрузка из консоли антивируса, чем больше цифр — тем лучше. Это самые наглядные данные о самых опасных угрозах. 93,8%!!!
— служебная записка на имя председателя с результатами расследования инцидента с флешкой, чем больше текста состоящего из длинных цепочек букв — тем лучше. Желательно, приложить объяснительную.
— Выгрузка с прокси со списком посещенных ресурсов и расходу трафика. Чтобы вызвать живой интерес у аудитории, следует красным выделить самые сальные сайты,

А ведь чтобы не заниматься бесполезной ерундой, достаточно:
— Помнить, что существенная часть информационной безопасности держится только на сознательности пользователя (его надо обучать, ему надо помогать, его надо слушать)
— Быть открытым и про-активным в общении с сотрудниками и менеджментом
— Вовлекать топ менеджмент в управление информационной безопасностью, заинтересовать их и получить поддержку.
— Понимать бизнес, который ты защищаешь и предлагать решение проблем (до их появления)
— Понимать активы, которые нужно защищать
— Не тратить ресурсы на внедрение не нужных контролей. Помнить о cost\benefit составляющей — прикинуть, сколько стоила только что внедренная система безопасности и каков был бы потенциальный количественный ущерб от инцидента.
— Не закрываться в своём коконе. Это касается как общей дружелюбности в общении, так и возможности привлекать других заинтересованных участников в решение насущных проблемы ИБ (как в примере выше с аудитом, который зачастую имеет больше влияния и независимости в компании).
— Вести диалог на доступном языке. Для пользователей — это давно забытый человеческий язык простых людей. Для менеджмента — язык денег, если ты сможешь продать свой план снижения рисков одному из топ-менеджеров, то он уже сможет продать его тому, кто отслюнявит деньги.
— Помнить, что существенная часть информационной безопасности держится только на сознательности пользователя (настолько прочно она держится)
— [Актуально для больших компаний] Каждое достижение в сфере ИБ можно упаковать в красивую обертку и презентовать одному из руководителей, он в своё очередь презентует это на ступень выше и так далее. Это существенная часть эффективной жизни в корпоративной среде, где топ менеджмент обычно живет только решением проблем и негативом, и стремится удержать свою должность. Если ты будешь приносить такие конфеты своему руководителю, то очень вероятно, он будет прилагать усилия, чтобы продвигать твои предложения и решения, которые будут генерировать больше конфет.

Буду рад подискутировать на эту тему, еще больше рад, если кто-то в этой статье увидит свои ошибки и задумается.
Поделиться публикацией
Комментарии 23
    0
    К сожалению очень много таких горе-безопасников, которые, в частности следуют антисоветам Не общайся с пользователями и Внедряй безопасность ради безопасности, отсюда и запрещенные социальные сети, и личный email на работе не посмотришь, и у разработчиков права не админские, и еще куча бреда.
      +1
      Некоторые запреты могут быть вполне обоснованы логически, некоторые могут диктоваться законодательством.
      Но в целом, да, я постоянно вижу чрезмерные и неадекватные запретительные меры которые никак не влияют на уровень ИБ, либо могут только снижать его.
      Тот же доступ к соцсетям регулируется подходом к управлению кадрами, а не ИБ рисками. Можно запретить прямой доступ и пользователи будут искать анонимайзеры, которые принесут еще больше головной боли.
        0
        Есть одна проблема, которая несколько шире компетенции ИБ в чистом виде: желание сэкономить на персонале. Когда кто-то в компании решает, что можно набрать на рядовые должности ленивых и потенциально корыстных персонажей сравнительно низкой квалификации, а потом обложить их ограничениями и прочим, обеспечив и безопасность, и требуемую производительность. И часть этого чудесного плана, как правило, ложится именно на плечи службы ИБ, потому что именно ее запрягают внедрять все эти ограничения, СКУД со встроенным учетом рабочего времени и прочее.
        Иногда такая политика прикрывается фразой, магически влияющей на кого угодно в руководстве: «А где я тебе найду нормальных?»
          0
          такое бывает, но чаще сотрудники ИБ выдумывают себе полномочия и сами задачи по контролю пользователей без указаний на то от руководства.
            0
            Ну, я вот наблюдал такое безобразие не в единственном месте. Специфика простая — места, куда можно «понабрать по объявлению». Тур. агентства, магазины и т.п.
              0
              офицер по ИБ — редкий гость в магазинах и турагентствах.
              А вот обычные безопасники практически всегда больны синдромом вахтера и норовят контролировать абсолютно всё.
                0
                Турагентства бывают разные :) Например, такие, которые заполняют две трети рейсов на одном из основных курортных направлений.
                  0
                  может это тур.оператор?)
                  для 99% агентств масштабы деятельности не позволят транжирить деньги на зарплату безопасника)
                    0
                    Ну они себя называют агентством, по крайней мере :)
                    А строгое формальное отличие туроператора от агентства мне лично неизвестно.
                      0
                      Насколько я знаю, туроператор — это звено между отелем/курортом/перевозчиком и турагенством. Напрямую с конечными клиентами не работают. Чистый b 2 b
                      Турагенства — это вот все те каморки в торговых центрах «Горящие туры», «Отдых в Турции дешево» и т.д. Они лишь посредники при продаже путевок от туроператора конечному клиенту. То есть в основном b 2 c
                        0
                        А, ну тогда это контора, которая и то, и другое. Большая, да.
            0
            Надо подключать зомби технологии :)
            Корпоративные гимны хором по утрам, портрет обожаемого директора на каждом углу…

            Каждое утро в 8.30 все собирались в большом зале в главном офисе компании. Там на подиуме стоял пылесос, рядом лежал коврик и стояла доска. На доске были написаны фамилии сотрудников. Возле тех, кто продал пылесос, стоят галочки. Их все хором поздравляют, выкрикивая что-то вроде «эй-эй, молодец», — говорит бывший продавец. — Еще один обязательный пункт утренней программы – фирменная зарядка, выполняя которую сотрудники поют фирменную же песню

            Ну и бежать скорее оттуда к более вменяемым работодателям.
              0
              Вот вы смеетесь, а гимны действительно помогают избавиться от малоквалифицированных и нелояльных — они обычно слишком циничны, чтобы это выдержать :)
        0
        Человек такое существо, что обязательно нарушит и преступит, если найдется достаточная мотивация.
        Проводить обучения и инструктажи это жизненная необходимость, а вот доверять безоговорочно — нет.
          +1
          Речь не о доверии, а о коммуникации. Если ты всегда готов объяснить и помочь, то твои же собственные меры безопасности будут приниматься с меньшим сопротивлением.
            0
            Ну вот, например, такая непопулярная у пользователей мера, как отключение usb-накопителей. Какое объяснение вы бы дали пользователям, чтобы встретить меньшее сопротивление.
              0
              Сказал бы правду, что это популярный канал заражения (описал последствия, с примерами). И что компания переживает, что таким образом могут уноситься конфиденциальные данные.
              Думаете, что у пользователей будут какие-то доводы в пользу исключения? Эти доводы можно будет принять и таки дать доступ)
                0
                Уточню, что пока обсуждаем пункты 5 и 7 (где 6 кстати?)

                Доводы бывают такого типа — «а мне так удобнее». Железный довод не правда ли?

                Практически любая мера ИБ вызывает снижение комфорта пользователя и его недовольство. Это недовольство будет в любом случае присутствовать, хоть наизнанку вывернись.

                И вот теперь интересный момент, нужно ли нам стремится к системе с упором на человека, или исключить «человеческий фактор» как можно более широко. И закрутить гайки невзирая на то доволен пользователь или не доволен.

                Просто сейчас вижу 2 тенденции: Новаторскую и Старую (условно назовем ее так)

                Новаторская — повернись лицом к пользователю, будь человеком, общайся. И тогда пользователи проникнутся духом безопасности. Смотри на всех с широкой улыбкой и принимай всех с распростертыми объятиями… Безопасник лучший друг пользователя, любим и уважаем.

                Старая — изолируйся и распускай ореол ужаса и всеведения. Смотри проникновенно на всех, как будто видишь как на ладони все их грешки. Пара показательных порок закрепит твой имидж черного властелина. Пользователь должен боятся совершить противоправное деяние.

                В обоих вариантах, пользователь при наличии должной мотивации (деньги, признание, власть...) все равно нарушит, сольет, обойдет и тд.

                Но в каком варианте уровень этой мотивации должен быть выше, а в какой ниже? Как думаете?
                  0
                  Ну, внедрение IDM\SSO решений как раз может повысить комфорт пользователя, которому придется помнить меньшее количество паролей и меньше морочиться с правами в некоторых ситуациях).

                  Я вижу те же две тенденции)
                  Не думаю, что возможно на прямую сравнить мотивацию пользователя и сказать где она будет выше (думаю, что это индивидуально)
                  В первом подходе пользователь будет более информирован, и будет участвовать в твоей системе менеджмента
                  Во втором подходе пользователь будет мешать))

                  В то же время, быть «френдли» не значит позволять сотрудникам безнаказанно делать что им хочется. Показательные порки нужны, но надо не забывать про рациональность и риски. Я видел как уволили человека, который послал сам себе (между ящиками) прайс на телеком услуги провайдера, потому что ему было интересно посмотреть уровень цен и сервисы. Это рационально? Он ведь мог изойти на говно и на зло работодателю воспользоваться своими знаниями чтобы нанести ущерб репутации или инфраструктуре, например.

          +1
          Из интернетов

          Добрый день! Нам в ИТ отдел поступило распоряжение о реализации мер несанкционированного разглашения конфиденциальной информации.
          Одним из пунктов является ограничение копирования пользователей 5 файлов в день на сменные носители и объем файлов не должен превышать 5 мегабайт
          Каким образом это можно реализовать, есть у кого то свои соображения или практика по такому вопросу.


          Вот это я понимаю сурово ))
            0
            Зато просто — заблокировать все традиционные методы и создать свой костыль =)
              0
              Но формулировка прекрасна: «распоряжение о реализации мер несанкционированного разглашения конфиденциальной информации». Т. е. меры должны приводить к разглашению информации =)
                0
                ад и израиль. У нас тоже всякие служебки встречаются, стыдно аж за людей, но это секретно))

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое