Главная » Блоги Экспертов И ИТ-Компаний » Общее. С чего начать CISO?

Общее. С чего начать CISO?

По материалам блога http://sborisov.blogspot.ru/

 

Недавно с коллегами обсуждали интересный вопрос – с чего начать CISO недавно пришедшему в компанию, если до него полноценно ИБ не занимались, доверия от руководства ещё нет, бюджеты, выделяемые раньше на ИБ были минимальными, хочется в кратчайшие сроки укрепить лично свои позиции перед руководством, а службу ИБ вывести в состав важнейших, хотя бы на уровне службы ИТ?

 

Тут я вижу 3 варианта действий: бизнес подход, жесткий контроль, лучший специалист.

 

Вариант ИБ бизнес подход”:

·         Собрать комитет по ИБ

·         Определить требования бизнеса к ИБ, цели и приоритеты

·         Разработка концепции ИБ, политики менеджмента ИБ

·         Определить показатели эффективности службы ИБ

·         Довести до всех членов комитета важность вопросов ИБ

·         Убедить всех членов комитета принять активное участие в дальнейших мероприятиях по ИБ

·         Провести инвентаризацию, классификацию и оценку информационных активов

·         Провести классификацию угроз и оценку рисков ИБ

·         Составить план мероприятий по ИБ (обработки рисков ИБ),  внедрения СУИБ и СМИБ

·         Внедрить мероприятия, СУИБ, СМИБ

·         Провести аудит, оценку показателей эффективности службы ИБ и доказать руководству свою значимость и эффективность

 

Выглядит слишком долгосрочным и негарантированным? Тогда быстрый вариант “жесткий контроль”:

·         Получить на короткое время (испытательное) полномочия в корпоративной системе

·         Развернуть небольшой пилотный или демо проект по контролю всех коммуникаций (электронная почта, переговоры, интернет, файловые хранилища, съемные носители, печать) и работой (скриншоты рабочего процесса) ряда пользователей. Даже если не найдем преступников, то будет обнаружено нецелевое использование ресурсов, халатность или нарушение этических норм

·         Заказать недорогой внешний пентест и провести внутренней сканирование  и как следствие понизить репутацию CIO и предстать единственным, кто может “спасти и сохранить” компанию

·         В итоге предыдущей работы собрать компромат на половину топ менеджеров, подружится со второй половиной менеджеров, которые захотят получить доступ к компромату на коллег и послабления по контролю для себя

·         В итоге собрать Комитет по ИБ, с поддержкой менеджеров получить бюджет на расширение  системы тотального контроля на всю организацию и увеличение штата службы ИБ

·         Через некоторое время нагнать страху на  провести презентацию про пару новых, непонятных, но очень опасных угроз для Генерального директора и выбить бюджет ещё на несколько систем защиты мирового уровня (особой потребности для нас в этом нет, после внедрения системы тотального контроля, но ведь бюджет на ИБ нужно сделать побольше)

 

Цели достигнуты, бюджет и репутация в наличие, но вам кажется жестковатым? Тогда помягче вариант “лучший специалист” (хоть он не вполне достигает целей, но имеет место быть):

·         Подход “главное не навредить”. Не делать ничего необдуманного, чтобы не потерять и так небольшую репутацию

·         Сходить на обучение для CISO

·         Научится готовить и читать презентации

·         Изучить психологию

·         Изучить популярные технологии обеспечения ИБ

·         Изучить технологические процессы и системы компании

·         Изучить различные методологии, стандарты и лучшие практики ИБ

·         Ждать подходящего повода - пока руководство обратится за советом, помощью или случится критический инцидент

·         Выдать и презентовать свой идеальный план, стратегию или политику для данного случая.

·         Показав свой профессионализм, убедить руководство выделить ресурсы на реализацию плана и реализовать его  

 

Вот такие получились варианты. Не готов сходу сказать что только один из них идеальный и подходит для всех случаев.

 

Интересно было бы услышать, какой-то ещё возможный вариант действий, а так-же о том, встречался ли вам успешный CISO в одной из этих трех ипостасей?

 

 

PS: статьи и заметки от коллег по этой теме:

 

Алексей Лукацкий. 5 дней из жизни CISO

Алексей Лукацкий. Психология для CISO

Александр Бондаренко. Вам достался отдел ИБ

Евгений Царев. Бизнес-курс для CISO

Дмитрий Орлов. Почему не нужен CISO?

Дмитрий Орлов.  CISOПроведение презентаций 1 и 2


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
6 лет назад | тэги: CISO, Общее, отдел ИБ
Комментарии
Другие публикации
RU, Краснодар
https://docshell.ru/, https://docshell.ru/
Информационные технологии



Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>