Безопасность: общая ответственность (часть 1)

• Безопасность: общая ответственность (часть 3)

• Безопасность: общая ответственность (часть 4)
• Безопасность: общая ответственность (часть 6)

Введение

Концепция ИТ-безопасности настолько широка, что для любого, кто хоть что-то знает об этом предмете, идея единственного «решения безопасности» кажется смехотворной. Точно так же идея о том, что безопасность является или должна быть обязанностью только одного человека или команды, не имеет смысла, если рассматривать ее с точки зрения «общей картины».

Правительства могут назначать руководителей безопасности, а корпорации могут нанимать главных офицеров безопасности (CSO) или руководителей по информационной безопасности (CISO) для надзора и координации усилий персонала по обеспечению безопасности, но эффективная стратегия безопасности есть и всегда будет общей ответственностью, которая выходит за рамки границы компании.

Только работая вместе, поставщики программного обеспечения, производители оборудования, лица, принимающие решения в компании, специалисты по внедрению, администраторы, консультанты и конечные пользователи могут помешать усилиям хакеров и злоумышленников (как внешних, так и внутренних), предотвратить вирусы и вредоносное ПО, а также предотвратить преднамеренное и непреднамеренное утечка данных. Это большая работа, аналогичная той, которую берет на себя армия, защищающая свою страну от вторжения вражеских сил, или полицейское агентство, защищающее город от жестоких преступников.

В этой серии, состоящей из нескольких частей, мы собираемся сделать шаг назад и посмотреть на эту общую картину и на то, как каждый компонент (внутренняя должность или внешнее лицо) вписывается в головоломку, а также обсудить важность определенных сфер ответственности.

Зоны ответственности

Когда я был патрульным полицейским, обычным звонком был сигнал тревоги, который требовал проведения обыска здания. Это один из самых потенциально опасных видов звонков, потому что вы не знаете, заходя внутрь, что вас ждет внутри здания. Таким образом, у нас были протоколы, которым нужно было следовать, и одним из основных принципов было выделение отдельных зон ответственности для каждого офицера. Наша жизнь зависела от того, чтобы каждый из нас сосредоточил свое внимание на своей конкретной сфере ответственности и доверял нашим партнерам делать то же самое.

Точно так же, когда речь идет об организационной стратегии ИТ-безопасности, важно, чтобы каждый член команды знал свою зону ответственности и сохранял постоянную бдительность в рамках ее параметров. Последствия могут быть не такими ужасными, как ситуация жизни или смерти, которая может возникнуть при обыске здания, но неспособность выполнить свою часть работы вполне может означать жизнь или смерть чистой прибыли компании, общественного доверия и отрасли. стоя. На более личном уровне это может означать жизнь или смерть вашей карьеры или, по крайней мере, вашего следующего повышения или продвижения по службе.

Некоторые из общих областей ответственности в структуре безопасности компании включают следующее:

• Управление рисками
• Политики и процедуры безопасности
• Управление угрозами и уязвимостями
• Безопасность конечной точки
• Безопасность сети и периметра
• Управление идентификацией
• Контроль доступа
• Безопасность данных
• Безопасность приложений
• Сторонняя безопасность
• Конфиденциальность
• Реагирование на инциденты и управление ими
• Соответствие нормативным и отраслевым требованиям
• Непрерывность бизнеса и аварийное восстановление
• Физическая охрана
• Взаимодействие с высшим руководством и другими подразделениями/департаментами

Конечно, многие из этих обязанностей пересекаются; может быть несколько разных должностей или организаций, связанных с одной из этих областей, и могут быть должности или организации, которые имеют обязанности, относящиеся к более чем одной из этих областей. Структуры компаний и должностные инструкции сильно различаются, и существует дополнительная сложность, заключающаяся в том, что организационная структура и должностные инструкции, которые «хорошо выглядят на бумаге», не соблюдаются в точности (а иногда и вовсе) на практике.

Таким образом, нет никаких жестких и быстрых правил относительно областей ответственности. Кто в конечном итоге несет ответственность за то, что в некоторых организациях так же зависит от личностей сотрудников, как и от формально описанных должностных обязанностей. Но я надеюсь, что следующее обсуждение даст вам некоторое представление о различных способах эффективного разделения ответственности за безопасность и особенно о важности обеспечения того, чтобы все важные обязанности были возложены на и предпочтительно на человека или должность, наиболее подходящие для их выполнения. вне.

Начиная сверху: CSO/CISO

Должность, обязанности и объем полномочий «главного звена» в куче ИТ-безопасности будут частично различаться в зависимости от размера и структуры организации. На крупном предприятии вполне может быть и директор по безопасности, и директор по информационной безопасности. CSO может иметь более широкие полномочия и ответственность, включая надзор за вопросами, связанными с безопасностью для компании, включая физическую безопасность помещений и активов, безопасность сотрудников, предотвращение убытков и даже защиту телохранителей для важных руководителей.

В этих крупных организациях директор по информационной безопасности может отчитываться перед директором по информационной безопасности, при этом последний сосредоточен исключительно на безопасности, связанной с ИТ. Или компетенции CSO и CISO могут быть полностью разделены, при этом CISO подчиняется директору по информационным технологиям (CIO). Другая возможность заключается в том, что должности CSO и CISO в организационной структуре примерно равны, и оба подчиняются главному операционному директору (COO).

Включение обязанностей директора по информационной безопасности в должность директора по безопасности или помещение должности директора по информационной безопасности непосредственно в подчинение директора по безопасности может стать способом внедрения более «целостного» подхода к безопасности. Это имеет смысл в среде, где физическая и цифровая безопасность становятся все более технологически взаимосвязанными. Например, смарт-карты, используемые для входа в сеть, могут быть теми же, что и для отпирания дверей в рабочие зоны. Старые камеры видеонаблюдения, которые когда-то вели наблюдение за помещениями и территорией, все чаще заменяются IP-камерами, доступ к которым возможен через Интернет и, таким образом, подвергается хакерским атакам со стороны.

Еще одним преимуществом объединения двух должностей/отделов является экономия средств, поскольку вы можете выполнять работу с меньшим количеством персонала. Однако важно убедиться, что лица, занимающие эти должности, обладают опытом как в области информационной безопасности, так и в традиционной физической безопасности, а более высокая заработная плата, необходимая для найма людей с несколькими наборами навыков, может компенсировать эту экономию.

В любом случае, положение CSO/CISO в организационной структуре важно, потому что оно определяет объем ответственности и, в некоторой степени, то, насколько «руким» будет сотрудник. Должность, которая включает в себя обязанности как CSO, так и CISO, с меньшей вероятностью будет заполнена лицом, обладающим конкретными техническими знаниями, или даже если у человека, занимающего эту должность, они есть, у него/нее будет меньше времени для непосредственного участия в реализации стратегий. и решения.

Структурное положение также, вероятно, повлияет на направленность CSO или CISO. Если должность подчиняется юридическому отделу, то внимание, скорее всего, будет больше сосредоточено на вопросах соблюдения нормативных требований. Если он подчиняется ИТ-директору или ИТ-отделу, работа может быть больше сосредоточена на технологиях: брандмауэрах, IDS/IPS, антивирусе/антивредоносном ПО, управлении исправлениями и так далее. Если он подчиняется генеральному директору или другому исполнительному руководству, то, скорее всего, основное внимание будет уделяться политикам, показателям, оценке рисков и т. д.

Вот хорошая статья о различных типах директоров по информационной безопасности и о том, как каждый из них вписывается в организационную структуру:
Перед кем должен отчитываться CISO?

Важно, чтобы обязанности CSO или CISO были четко определены. Позиция CISO обычно охватывает как стратегические, так и операционные аспекты. Обязанности обычно включают некоторые или все из следующих действий:

• Установите цели и задачи в отношении позиции безопасности компании на основе общей бизнес-стратегии и задач компании, а также определите способы измерения прогресса (показатели).
• Разработайте политики безопасности (совместно с высшим руководством) и следите за тем, чтобы эти политики выполнялись (процедуры).
• Надзор за управлением рисками (в сочетании с юридическими и/или общекорпоративными рисками).
• Принимать решения или влиять на выбор поставщиков продуктов и услуг, связанных с безопасностью (оборудование, программное обеспечение, облачные сервисы и т. д.).
• Развертывание, управление и мониторинг технологий и инструментов безопасности.
• Контролируйте управление исправлениями, тестирование и развертывание обновлений безопасности.
• Управляйте конфигурацией операционной системы и приложений в соответствии с передовыми методами обеспечения безопасности.

Как видите, первые несколько обязанностей в приведенном выше списке в большей степени ориентированы на стратегию, тогда как последние пункты носят более оперативный характер. Некоторые CSO/CISO могут передавать некоторые операционные задачи ИТ-администраторам, которые контролируют сетевую инфраструктуру. В качестве альтернативы они могут передать некоторые из этих оперативных задач внешним консультантам или перенести их в облако. Однако это может значительно затруднить контроль над операционными процедурами, которые, в конце концов, являются местом, где все стратегические решения и политики претворяются в жизнь. Если директор по информационной безопасности слишком удален от операционных «окопов», это может привести к тому, что политика будет трудно или невозможна для реализации внутри организации или станет неэффективной.

Также важно помнить, что директор по информационной безопасности и его команда безопасности не работают в вакууме. Жизненно важным, но иногда упускаемым из виду аспектом работы CSO или CISO является представление «истории» безопасности высшему руководству компании и другим бизнес-подразделениям/отделам. Это означает, что отличные коммуникативные навыки и способность говорить на языке управления необходимы. Директор по информационной безопасности (или кто-то, кому делегирована ответственность) должен быть в состоянии выступать в качестве «агента по связям с общественностью» для команды безопасности, объясняя требования и потребности безопасности тем, для кого безопасность имеет тенденцию быть отягчающим обстоятельством, а не развлечением..

Резюме

Вероятно, в вашей организации уже есть структура безопасности, но она могла быть заранее хорошо продумана или просто «выросла». Даже если первое имеет место, ситуация могла измениться по мере того, как бизнес и сеть росли и принимали новые вызовы, внедряли новые технологии и работали в меняющейся бизнес-среде.

Стоит взглянуть «в целом» на то, как проектируется, реализуется и управляется система безопасности, а также на роли и обязанности всех, кто участвует в процессе обеспечения безопасности. В этой первой части нашей серии мы внимательно рассмотрели роль CSO или CISO на вершине структуры ИТ-безопасности. В следующий раз, в части 2, мы продолжим обсуждение и рассмотрим роль(и) безопасности ИТ-администраторов.

• Безопасность: общая ответственность (часть 3)
• Безопасность: общая ответственность (часть 4)
• Безопасность: общая ответственность (часть 6)