Становление директоров по информационной безопасности (CISO) в первый раз может быть ошеломляющим. С первого дня эти специалисты, часто нанятые извне, должны обеспечивать безопасность организации, одновременно справляясь с большим количеством проблем. С одной стороны, есть немедленное давление, чтобы защититься от растущего множества киберугроз. С другой стороны, есть необходимость ориентироваться в организационной динамике, склонять на свою сторону сварливых руководителей и расставлять приоритеты мер безопасности, не нарушая при этом бизнес-процессы.
«Успешный CISO — это всесторонне развитый лидер, который добивается успеха во всех областях кибербезопасности и умеет сбалансировать их, а также понимает интересы и проблемы компании и ее основных заинтересованных сторон», — говорит Майк Бриттон, CISO в Abnormal Security.
Но это легче сказать, чем сделать. У каждого CISO есть своя доля сожалений и список вещей, к которым они хотели бы подойти по-другому, от правильного выполнения скучной работы до построения отношений или обучения более эффективному управлению разочарованием. Делясь этим опытом, они предлагают ценную дорожную карту для новичков, помогая им избежать уроков, полученных трудным путем.
Оглавление
Одних технологий недостаточно
Знание технологий необходимо, но недостаточно. «Вы отвечаете за безопасность информации компании, а не только за усиление защиты серверов и установку исправлений на ноутбуки», — говорит Нейт Ли, CISO и директор Cloudsec.ai.
CISO следует придерживаться целостного взгляда, включающего людей и процессы, поскольку роль технологий заключается в том, чтобы дополнять все, говорит Димитри Чичло, CSO в BforeAI. «Превосходный процесс, связанный со слабой технологией, более эффективен, чем слабый процесс, связанный с превосходной технологией», — добавляет он.
Импровизируйте. Адаптируйтесь. Преодолейте
Как сказал профессиональный боксер Майк Тайсон: «У каждого есть план, пока тебе не дадут в морду». Эта цитата применима и к CISO. «В первый же день я понял, что большую часть того, что я задумал, нужно выбросить в окно», — говорит Бриттон. «Вместо этого мне нужно было быстро оценить, что было критически важным и требовало немедленного внимания, и расставить приоритеты между этими инициативами и долгосрочными проектами преобразований. Как наемный сотрудник, вы должны быть готовы адаптировать свои первоначальные планы».
Адаптивность касается каждого аспекта работы, включая уклонение от офисной политики и создание отношений. «Хотя может быть сложно завоевать доверие, это также возможность доказать свою адаптивность», — добавляет Бриттон.
Что касается способности адаптироваться, Джон Террилл, директор по информационной безопасности компании Phosphorus, дает простой совет: «Научитесь чувствовать себя комфортно, даже если вам некомфортно».
Когда случается инцидент — а он случается — CISO будут чувствовать себя неуютно. «Вы не можете зацикливаться на этом. У вас нет машины времени, и вы не сможете вернуться назад во времени. Сосредоточьтесь на вещах, которые вы можете контролировать».
Приготовьтесь к хаосу, но устанавливайте разумные ожидания
Конечно, никакие личные усилия не предотвратят инциденты, новичок в должности CISO не должен чувствовать, что он защищает компанию в одиночку. «Вы не Atlas, у которого на плечах весь мир», — говорит Террилл. «Хорошие программы рождаются из надежных процессов, мышечной памяти и выполнения сложной работы».
При этом CISO следует избегать выгорания и создания необоснованных ожиданий. «Никто не сможет удержать продвинутые угрозы, если не выспится как следует ночью», — добавляет Террилл.
Чтобы быть уверенным, что вы сможете проводить вечера дома, «вместо того, чтобы сосредотачиваться только на защите, выделите значительные усилия и бюджет на реагирование, возможности резервного копирования и восстановления», — говорит Чичло.
Делай скучные вещи
Кибербезопасность — это не просто охрана корпоративных ворот. Это также контроль над всеми вашими действиями с помощью управления жизненным циклом, стратегий изменений и обеспечения надежности ИТ-инфраструктуры.
Возможности резервного копирования и восстановления должны периодически тестироваться, чтобы сделать программы-вымогатели менее проблемными, и все остальные базовые контроли безопаснсоти должны быть охвачены. «Наличие плана реагирования на инциденты, основанного на таких мероприятиях, как моделирование угроз и настольные учения, — это минимум, который должен быть у каждого CISO», — говорит Чичло.
Неспособность оптимизировать существующие платформы также часто упускается из виду. «Это приводит к усталости от оповещений, поскольку сотрудники службы безопасности должны уметь определять, что является ложным срабатыванием, а что — готовящейся атакой», — говорит Сью Бергамо, глобальный CIO и CISO в BTE Partners.
Как всегда, поддержание хорошей кибер-гигиены и правильное следование основам кибер-безопасности может иметь большое значение. «Большая часть безопасности — это профилактическое обслуживание, которое приравнивает вашу роль к управлению чем-то, больше напоминающим персонал по обслуживанию компьютеров, а не передовых бойцов», — говорит Террилл.
Избегайте чрезмерного раскрытия технических подробностей
В то время как CISO живут и дышат кибербезопасностью, это не относится к их коллегам из высшего руководства. Вот почему каждый CISO должен убедиться, что он общается таким образом, чтобы его было легко понять. «Если вы говорите только на техническом жаргоне, вы теряете свою аудиторию, и они переключатся на другие приоритеты», — говорит Чичло.
Распространенная проблема с неопытными CISO заключается в том, что они слишком делятся техническими подробностями. «Мы совершаем ошибку, думая, что всем интересно знать, что мы отразили миллион атак в месяц, — но, честно говоря, никто не хочет слышать эту информацию», — добавляет Бергамо.
А Рене Гуттманн, почетный CISO и основатель CisoHive, соглашается: «Не представляйте цифры, не понимая их значимости. Подумайте, как извлечь из цифр смысл».
Когда происходит инцидент, CISO должны подчеркнуть тот факт, что «компания не понесла существенный ущерб, ее доходы и бренд не пострадали, используемые технологии эффективны, а персонал усердно работает над общей киберзащитой», — говорит Бергамо.
Не переусердствуйте
Одна из главных обязанностей CISO — понимать бизнес в целом. Это позволяет им «идти на соответствующие риски для достижения бизнес-целей», — говорит Бриттон. Если они будут применять протоколы, которые являются безопасными, но слишком сложными, «их будут считать блокировщиками или, что еще хуже, неэффективными в выполнении своей роли», — добавляет он.
Чичло рекомендует начинающим CISO понимать, что их основные клиенты — это бизнесмены, «те, кто зарабатывает деньги для вашей компании. Каждая мера безопасности — это потенциальное ограничение для них, и вам нужно найти баланс между безопасностью и удобством использования», — говорит он. «Излишняя догматичность — это убийца доверия, безопасности и потенциального дохода».
Террилл придерживается того же мнения: «Если вы начнете слишком усложнять людям выполнение их работы, вы можете нанести больший ущерб бизнесу, чем внешний злоумышленник».
Научитесь расставлять приоритеты
Часто CISO приходится работать с ограниченными ресурсами, поэтому Чичло советует им «научиться справляться с разочарованиями. Вы никогда не получите достаточный бюджет, необходимый для защиты своей ИТ-среды», — говорит он. «Вам (увы) придется расставить приоритеты относительно того, какие риски вы будете устранять в первую очередь, чтобы максимизировать отдачу от инвестиций в безопасность».
Учитывая ограниченность средств, их следует использовать с умом. «В большинстве случаев, особенно в случае с продуктами кибербезопасности, решение не устраняет проблему, а создает новые проблемы и больше работы», — говорит Террилл. «Если вы можете выписать чек и действительно устранить проблему, это самая дешевая проблема, которая у вас есть».
Просвещать и вовлекать
Во многих компаниях у сотрудников ограниченные знания в области безопасности. «Общая осведомленность ваших коллег о рисках кибербезопасности, независимо от их должности, обычно базовая и их представления часто наивны», — говорит Чичло. Однако это можно изменить с помощью эффективного обучения, проводимого в каждом отделе, включая ИТ. «Необходимо приложить огромные усилия для обучения», — добавляет он.
В дополнение к образованию, необходимо развивать атмосферу сотрудничества. CISO должны стремиться к партнерству, а не указывать пальцем, поскольку они здесь, чтобы помогать, а не осуждать за ошибки.
«Возложите как можно больше ответственности за кибербезопасность на своих коллег по ИТ», — говорит Чичло. «Безопасность должна реализовываться “по умолчанию и по замыслу”. Те, кто действует, должны быть теми, кто обеспечивает безопасность с самого начала».
Обучение и советы на месте должны исходить из лучших побуждений и включать эмпатию. «Не попадайтесь в ловушку постоянной необходимости быть плохим парнем», — добавляет Гуттманн. «Не позволяйте другим командам сделать вас плохим парнем или козлом отпущения».
Как насчет того, чтобы принести кексы на работу?
Это факт: CISO — не самые любимые люди в офисе. Иногда они применяют драконовские меры безопасности, что немного усложняет жизнь всем. «Мы часто являемся носителями суровой правды и плохих новостей, а внедряемые нами меры контроля часто воспринимаются как источник трений», — говорит Ли.
Приносить кексы на работу каждую пятницу может быть невыполнимо, но налаживание связей с другими командами и построение значимых отношений будет иметь большое значение. Цель здесь — чтобы вас воспринимали как надежного партнера, а не врага. Или, как говорит Гуттманн: «Речь идет о влиянии, а не о власти. Самая большая ошибка — думать, что кнут работает лучше, чем пряник».
Вот почему проактивность и построение отношений с коллегами имеют большое значение. «Понимайте их потребности и проблемы на личном уровне, а не просто взаимодействуйте, когда вам что-то от них нужно», — говорит Бриттон. «Эта основа доверия окажется бесценной, когда вам понадобится поддержка или вы столкнетесь с сопротивлением».
Лучший подход к сообщению потенциально неприятных решений по безопасности — это посадить всех заинтересованных лиц за стол переговоров на раннем этапе и убедиться, что они понимают причины этих решений. «Люди гораздо более восприимчивы к изменениям, когда понимают причину и чувствуют, что у них есть голос в принятии решений, даже если они хотели бы другого результата», — говорит Ли. «Получение звания CISO само по себе не дает никаких неотъемлемых полномочий. Вам нужно мудро распорядиться им, чтобы завоевать уважение и связи, которые позволят вам действительно продвинуться вперед в вопросах безопасности».
Поставьте свою семью на первое место
Хотя работа часто определяет нас, мы должны помнить, что в жизни есть нечто большее. Гуттман сожалеет, что пропустила один из парадов своей дочери на Хэллоуин, потому что ее начальник позвонил ей, когда она ехала домой, и ей пришлось долго с ним разговаривать. Она пропустила мероприятие. «Одна моя подруга сфотографировала для меня мою дочь, и она расплакалась», — говорит Гуттман. «Я хранила эту фотографию в своем офисе».
Когда кто-либо из членов ее команды просил у нее отгул для визита к врачу, футбольного матча или школьных занятий, она просто поворачивалась, делала фотографию своей плачущей дочери и показывала ее коллеге, чтобы та могла ее увидеть — мягкое напоминание о том, что работа может подождать.
Андрада Фискутян
Источник: https://www.csoonline.com/article/3526638/10-things-cisos-wished-they-knew-from-the-start.html
Особенно понравился последний совет, чтобы поставить семью на первое место.