Помните: Как только вы получите работу, эти мелочи помогут вам сохранить ее. Читая остроумные советы от всемирно известных гуру предметной области: Стивена Нортката, создателя самой мощной программы профессионального обучения и сертификации в области информационной безопасности SANS/GIAC, Алана Паллера, директора по исследованиям SANS Institute, а также заслуженных CSO Боба Мура и Рея Хампфри и др., невольно вспоминаешь собственные злоключения на карьерной лестнице менеджера информационной безопасности и сделанные тогда ошибки.
Оглавление
Предисловие редактора перевода
Эта статья попалась мне на глаза лет шесть назад и сразу произвела впечатление, однако тогда еще рано было переводит ее на русский. Проблема увольнения для CISO в России не существовала, как не существовало тогда и самих CISO. Институт менеджеров информационной безопасности сейчас только начинает формироваться, хотя до вхождения этих людей в состав правления компании или в совет директоров дело дойдет еще не скоро. Каждый из них сталкивается со специфичными для безопасников проблемами, описанными в статье, и многие, обучаясь на собственном опыте, набивая шишки, проходят через ряд увольнений. А что может быть мучительнее, чем учиться на собственном опыте? Только одно: не учиться на собственном опыте.
Думаю, это статья станет одной из концептуальных и системообразующих для информационного портала ISO27000.ru, т.е. одной из тех, к которым регулярно возвращаются и цитируют. Со временем вы сможете дополнить эти советы, почерпнув что-то из собственного опыта, а пока обобщенный список рекомендаций, позволяющий менеджеру информационной безопасности, сохранить работу и добиться выдающихся успехов, выглядит следующим образом:
- Сначала диагностика, потом лечение
- Начните с проведения независимого аудита
- Используйте технику «быстрых побед»
- Изучайте язык бизнеса и демонстрируйте свой вклад
- Разработайте метрики и применяйте оценку рисков для экономического обоснования расходов
- Учитесь делать презентации
- Изучайте вашу отрасль и бизнес процессы
- Повышайте осведомленность сотрудников, лично общаясь с ними, на открытых семинарах
- Наращивайте свой технический бэкграунд
- Сотрудничайте с руководителями других подразделений
- Поддерживайте общение с коллегами из других организаций
- Осуществляйте свой долговременный стратегический план
Читая остроумные советы от всемирно известных гуру предметной области: Стивена Нортката, создателя самой мощной программы профессионального обучения и сертификации в области информационной безопасности SANS/GIAC, Алана Паллера, директора по исследованиям SANS Institute, а также заслуженных CSO Боба Мура и Рея Хампфри и др., невольно вспоминаешь собственные злоключения на карьерной лестнице менеджера информационной безопасности и сделанные тогда ошибки.
Перечисленные советы принадлежат людям, достигшим в своей области выдающихся результатов. С другой стороны, как говориться, если совет хорош, неважно кто его дал. Возьмите в руки международный стандарт ISO 27002 и вы сможете вывести все приведенные выше рекомендации из соответствующих разделов этого стандарта, а также существенно расширить этот список. Ваши результаты будут полезны, но, к сожалению, будут носить чисто теоретический характер. А эти советы, особенно хороши тем, что принадлежат к числу знаний выстраданных, т.е. к той узкой области знаний, которые человек реально может применять на практике.
Для того чтобы извлечь максимальную пользу из этой публикации, попробуйте проделать небольшое практическое упражнение (письменно, либо умозрительно) наглядно проиллюстрировать каждую из приведенных рекомендаций историями из собственного опыта, а мы с благодарностью опубликуем результаты вашей работы.
Александр Астахов
Руководитель проекта ISO27000.ru
Введение
Около 30 лет опыта и четырех должностей в сфере корпоративной безопасности, включая его текущую должность в качестве директора по безопасности (CSO) в Merck, и Мур не разу не был уволен или сокращен.
Он объясняет свою безупречную репутацию всем тем, что вы найдете в книгах по менеджменту – честностью, самоуверенностью, опытностью и т.п. Но затем он подходит к сути. Он показывает, что «собака виляет хвостом, а не наоборот». Его не увольняли главным образом из-за его надежности и профессиональных качеств. Хорошо звучит. Но затем Мур начинает рассказывать, как он этого добился, например, как он отчитывался перед юристами и как выработал общую политику, где наиболее подробным разделом является не то, что сотрудники могут и не могут делать, а наоборот – этическая линия поведения его собственной команды безопасности.
«Он является тем, кого я называю примером лидера, кто берет власть и преуспевает», говорит Трэйси Ленцнер (Tracy Lenzner), генеральный директор LenznerGroup, кадрового агентства, занимающегося трудоустройством CSO и CISO.
Не все так удачливы или находчивы как Боб Мур. На самом деле, причиной того, почему мы выбрали эту историю именно сейчас, когда CISO научились наниматься на работу, является эпидемия увольнений, которая за этим последует. Это особенно верно для должностей в области информационной безопасности. Компании, как, например, Merrill Lynch и Fidelity, часто меняют своих директоров по информационной безопасности. Мы брали интервью по этому вопросу у Р.А. Вернон (R.A. Vernon), CISO компании Reuters America, из-за его богатого опыта и также по причине того, что он содействовал увеличению доходов своей компании, однако его уволили еще до окончания интервью.
Статистика показывает, что большинство из вас не повторят судьбу Боба Мура. Вы только получили эту работу или являетесь первым директором по безопасности в вашей компании, или и то и другое. Многие из вас следуют неопределенным указаниям совета директоров относиться к безопасности серьезно из-за «11 сентября» или из-за постоянных компьютерных атак или из-за непрекращающейся войны. Существует множество причин для создания систем безопасности. В основном, однако, они создаются без определенных представлений о выполняемых ими функциях (описания должностных обязанностей в счет не идут).
Эти факторы, по словам Ленцнер, вместе с тщательной экономией, приводят к вашему увольнению. Если руководство не видит от вашей работы никакой пользы, то вас увольняют сразу.
Но есть и хорошие новости – то, что помогло вам получить эту работу, поможет удержать ее. Вот несколько советов от успешных директоров по безопасности на тему, как сделать себя действительно незаменимым, чтобы однажды вы также как Боб Мур смогли бы этим гордится.
Чем проще, тем лучше
В общем-то, для руководителей служб безопасности не быть уволенным не так уж и просто. В конце концов, их работа, выполненная успешно, ведет к … отсутствию каких-либо последствий. Руководители отделов продаж могут показать возросшие продажи и, вследствие этого, не быть уволенными. Руководители бухгалтерии могут показать снижение расходов – и не быть уволенными. Но руководители служб безопасности должны в буквальном смысле доказывать, что расходы на них ни к чему не привели и что компания должна продолжать тратить деньги именно по этой причине. И это умение требует особых навыков!
Запомнив это, вы можете начать «собирать самые низковисящие плоды» – решать простые задачи, которые сразу продемонстрируют вашу ценность. Мы не говорим, что эти задачи должны быть основными для вас – просто они делаются в первую очередь. И очень важно с них начать, особенно, если вы являетесь первым директором по безопасности в вашей компании. Вам понадобятся эти «быстрые победы», потому что правление, скорее всего, создало позицию CSO исходя из расплывчатых соображений, не понимая истинной сущности вашей работы. Поэтому, если правление в скором времени не увидит, что вложения начинают окупаться, они наверняка потеряют интерес к вам и постараются ликвидировать вашу позицию или, другими словами, сократить расходы.
Простые (и относительно дешевые) первые шаги, описанные ниже, помогут вам добиться видимых результатов и в то же самое время, помогут вашим руководителям осознать, что вы им действительно необходимы.
Сначала, ничего не предпринимайте (только наблюдайте)
Используйте для обозначения этой стратегии любую из понравившихся вам метафор – «исследование окружающей среды», «проведение рекогносцировки», «диагностика пациента». Значительная часть времени CSO должна тратиться на уяснение корпоративной культуры и своей роли в ней. Если вы не сможете этого сделать, то, скорее всего, потеряете свою работу.
Ленцнер очень часто была этому свидетелем. «Когда вы начинаете работу в компании, то автоматически попадаете на испытательный срок, и ваша должность при этом значения не имеет», говорит она. «Мы видели, как люди начинают работу и сразу же проводят увольнения, меняют политику и правила, вмешиваются в работу сотрудников. Они проделывают все это, даже толком не разобравшись куда они попали, не имея четкого представления о том, как эта компания функционирует».
И наоборот, по ее словам, некоторые CSO принимаются за работу без четкого понимания, однако, они добиваются успеха. «Они уделяют время нюансам», говорит Ленцнер, «они находят «основных игроков» и учатся политике предприятия».
CSO, которые уделяют время изучению своего окружения, начинают слышать не только то, что было сказано, но также и то, что под этим подразумевалось, говорит Ленцнер. «CEO говорит – мы хотим, чтобы вы сделали вот это. И хороший CSO понимает, что это означает – мы хотим, чтобы вы сделали вот это, но, если во время выполнения этой задачи вы восстановите против себя те три отдела компании, то вы выиграете битву, но проиграете войну. И они знают, когда следует пойти на компромисс, приспособиться к сложившимся обстоятельствам».
Затем, проведите аудит
Стивен Норткат говорит, что многие потенциальные CSO переживают, что им не хватает квалифиции, и это делает их «нервными, скрытными и депрессивными»
Оценка полной картины корпоративной безопасности определит ваши дальнейшие действия. Многое из того, что вы сделаете потом будет основываться на этой первой оценке. Этот аудит необходим вам, чтобы определить базисное состояние безопасности в компании. «Базис, базис, и еще раз, базис», говорит Стивен Норткат (Stephen Northcutt). «После того, как меня взяли на работу, но еще перед тем, как я вошел в здание BMDO (Организация по Безопасности, работающая с баллистическими ракетами), я заказал независимый аудит. Почему? Как я впоследствии могу сказать, что мой прогресс составил 2%, если у меня нет точки отсчета?»
Вы также можете уже знать, — для того, чтобы остаться на своей работе, вам понадобиться снабдить ваших руководителей – и правление – таким количеством метрик, что сложно себе представить. Скорее всего, даже больше, чем у вас есть.
Хорошо. Те из вас, кто имеет опыт в ИТ, могут начать жаловаться, как сложно создать осмысленные метрики по безопасности. И те из вас, кто ранее работал в физической безопасности, будут вспоминать дни, когда никто не требовал от вас никаких цифр. В обоих случаях мне вас жаль.
«Долгое время безопасность не была обременена необходимостью предоставления метрик. Мы отличались от других работников неким мистическим образом», говорит Рей Хамфри (Ray Humphrey), бывший CSO компании Digital. «В последнее время я вижу, как делается все большее ударение на обеспечение руководителей сравнительными данными и цифрами. Я думаю, что это замечательно».
Но жестокая правда в том, что несмотря ни на что, степень успеха зависит от умения CSO представлять информацию. «Им нужно переместить безопасность из котельной в зал заседаний», говорит Хамфри.
Далее, собирайте низковисящие плоды
Вот и польза от первого аудита безопасности: «Он скорее всего покажет вам одну или две зияющих дыры в архитектуре или политике корпоративной безопасности. Исправьте их сразу же и сделайте из этого представление».
«С финансовой точки зрения, единственной причиной, по которой CEO может вызвать вас, служит обнаружение им убытков или если произойдет что-то из ряда вон выходящее», говорит Т. Шон МакКрири (T. Sean McCreary), специалист по управлению рисками из The Motorists Insurance Group — компании, обеспечивающей безопасность и охрану руководителей в тюрьмах. «Заделайте зияющую дыру в безопасности при незначительных затратах или, лучше, вообще без них, и вы сразу же станете героем», говорит МакКрири. «Это намного лучше, чем прийти и попросить кучу денег на реализацию какого-то нового грандиозного плана».
Вскоре после прибытия в биотехническую компанию Genzyme, CSO Дейв Кент (Dave Kent) понял, что в этой компании есть 13 отдельных систем доступа в здание, и что у множества сотрудников было право делегирования прав доступа. Кент объединил их в одну систему и авторизовал всего несколько сотрудников для предоставления прав доступа (что намного безопаснее). У него также был новый грандиозный план, для осуществления которого требовались тонны ресурсов, однако он сначала одержал первую легкую победу и использовал ее, чтобы заслужить доверие и использовать его для обоснования дальнейших широкомасштабных действий.
Восемь лет спустя он все еще CSO.
Учитесь как использовать, хм, как же это называется?
Итак, вы одержали несколько легких побед. Теперь начинайте закладывать фундамент долгосрочного успеха. Последующие советы позволяют продолжить погружение в таинственную сферу безопасности, о которой говорил Хамфри, и перейти от нее к сфере финансовой.
Вам не предложат стать руководителем, говорит Рей Хампфри, бывший CSOкомпании Digital, пока вы сами пробьетесь.
Майк Кафлин (Mike Coughlin), CSO фармацевтической компании Wyeth, прошел по карьерной лестнице, как и многие CSO, скорее с правоприменительной стороны, нежели со стороны бизнеса. Однако Кафлин говорит, что сегодня, честолюбивый руководитель службы безопасности, изучающий уголовное судопроизводство «тратит деньги зря. Мне нужна бухгалтерия, менеджмент, даже английский и история», говорит он. «Раньше вам и этого было достаточно. Мы работали своего рода внутренней полицией. Но теперь, чтобы сохранить свою должность CSO, вы не можете игнорировать бизнес». Кафлин говорит, что ему нужно улучшить свою деловую хватку. Вам может показаться, что он преувеличивает – ведь его все так хвалят – однако, он также говорит, что одной из важных бизнес способностей, требуемой от CSO, является способность делать привлекательные, хм – как вы их называете? – презентации. Это такой способ передачи информации, умение, которое привлекает высшее руководство на вашу сторону».
PowerPoint для этого очень удобен. Хампфри говорит, что необходимо изучать бюджетирование и стратегическое планирование. Нужно знать дисперсионный анализ. «Хороший руководитель службы безопасности сможет продемонстрировать свой вклад в достижение практических результатов, даже если его работа состоит в том, чтобы расходовать деньги компании в отсутствии неопровержимых доказательств его эффективности».
Кажется, что это очевидный совет – научиться бизнес мышлению – но он требует разъяснения. Ленцнер говорит, что она встречает кандидатов, которые забывают этот совет, теряясь в неопределенных ситуациях (в которых многие из вас находятся, например, получив работу нового CSO, или вообще став первым CSO в компании). Те, кто пришел из мира физической безопасности, мысленно перейдут в правоприменительную практику. А те, кто пришел из мира ИТ, предпочтут углубиться в технические детали.
В любом случае, руководители в скором времени перестанут ожидать от вас чего-то большего, и вы превратитесь в примерного менеджера среднего звена, не имеющего влияния на высшее руководство, или будете уволены.
По словам Кафлина: «Ребята, которые добились успеха в этой профессии, легко справляются с общением на бизнес языке и в бизнес среде».
И очень часто это означает использование, хм, презентаций и так далее.
Учитесь приспосабливаться к вашей отрасли
Даже Боб Мур, имея за спиной два десятилетия впечатляющих достижений, ощущал некоторое беспокойство, приступая к работе в Merck. В чем же дело? «Я переходил в новую для меня отрасль, где у меня не было необходимых знаний и опыта», говорит он. «Я работал в индустрии газа и нефти, ресурсов, которые можно украсть, но нельзя подделать, а продуктовая безопасность в Merck заключается как раз в защите от подделок. Мне надо было учиться заново». Другими словами, безопасность зависит от контекста, и вам лучше точно знать, в каком контексте вы работаете перед внедрением новой политики и так далее.
У Кафлина был похожий опыт в Wyeth. «Вам могут попадаться ученые, подделывающие рецепты по лекарствам, или люди, берущие взятки с поставщиков, любое мошенничество и взяточничество не сильно отличаются от того, с чем вам придется столкнуться в финансовой компании», говорит он. «Уникальны конкретные обстоятельства. Биотехнология как окружающая среда похожа на колледж. Вы столкнетесь с академической атмосферой колледжа, поэтому я не буду обеспечивать безопасность здесь таким же образом, как и в финансовой компании».
Подавайте молоко и печенья в голубых джинсах
Этот странный совет состоит из двух подходов, которые Норткат применял в ВМФ США. Во-первых, он проводил регулярные семинары, открытые для всех желающих, где он в течении получаса объяснял технологии безопасности всем, кто хотел об этом знать. (Мне не было необходимости ограничиваться только технологиями. CSO с более широкой ответственностью может говорить, допустим, о так называемой «политике чистого стола» — когда определенные документы скрыты от посторонних глаз.) Норткат раздавал печенья и молоко на этих неформальных семинарах по повышению осведомленности.
«Вы должны понять, что для меня это была враждебная среда, так как мой предшественник, относился ко всем одинаково, и примерно так: Покажите мне ваш план, и я скажу, какие там проблемы. Поэтому атмосфера там была враждебной. И вылететь с работы было легко». Говорит Норткат. Его семинары помогли перебороть враждебность, потому что «люди поняли в чем заключается разумный смысл безопасности, а также что мы заботимся о том же, о чем и они».
Или, может быть, секрет в бесплатном молоке и печеньях….
Насчет голубых джинсов Норткат говорит, что это пришло еще со времен прошлого менеджера, которых каждую пятницу в 14:30 уединялся для изучения технических вопросов. Всегда строго одетый он называл это время «днем голубых джинсов», хотя сам был одет по-деловому в пиджаке и при галстуке.
«Это было очень полезно, потому что он знал достаточно и, когда нужно было принимать тяжелые решения или работать в условиях кризиса, он знал основные концепции», говорит Норткат. «Он знал, какую терминологию использовать, и люди уважали его».
Добро пожаловать к бизнес столу
Этот процесс состоит из двух шагов. Шаг первый: наладьте связь с остальной свитой.
Не пытайтесь приобрести влияние на других руководителей, используя силу или борясь за ресурсы. «Найдите общий язык с юристами, аудиторами, ребятами из ИТ, и так далее», говорит Хампфри. «Обсуждайте с ними свои решения, совмещайте функции по реализации политики и контролю соответствия».
Тогда у вас появятся союзники. Звучит как шаблонная фраза руководителя. Но вот в чем дело: если вы этого не сделаете, то вы не задержитесь на вашей работе.
Особенно вам нужно будет подружиться с аудиторским комитетом. «Мне представляется, что борьба с аудиторами за ресурсы обеспечит вам самый короткий путь к увольнению», говорит Алан Паллер (Allan Paller), директор по исследованиям в SANS Institute и заслуженный CISO. «Если вы заключите с ними партнерство, будете делиться работой и относиться к ним с должным почтением, то у вас появиться хороший шанс остаться. Пока вы боретесь с ними, ничего не выйдет». Ключевым моментом здесь является не подчинение другим руководителям. Вы должны держать себя с ними как равный. Просто не вступайте с ними в борьбу.
Второй шаг: пригласите сами себя на вечеринку руководителей. Нет смысла объяснять это каким-либо другим путем, отличным от того, что говорит Хампфри, поэтому, помня о том, что Хампфри был CSO и членом совета директоров компании Digital, давайте послушаем его.
«Вас не пригласят в узкий круг руководителей корпорации, пока вы сами не протиснетесь к столу совещаний. Добровольно вызывайтесь работать в различных комитетах и семинарах, не касающихся безопасности. Я всегда заставлял моих младших менеджеров по безопасности делать это. И в самый короткий срок, я вам гарантирую, ребята, не работающие в безопасности, подойдут к вам и скажут – надо же, я и не знал, что у вас такой талант к работе в безопасности».
«Я также могу вам сказать, что люди, работающие на меня, быстро получают повышение на работе и по всей Америке их знают как выпускников Рея Хампфри», говорит он. «Они переосмысливают роль CSO, потому что они заставляют себя присоединиться к кругу руководителей».
Оставьте негативное отношение
Большинство руководителей думают, что оно у вас есть. Именно негативное. И мы здесь не говорим только об офицерах информативной безопасности. Даже традиционные работники физической безопасности – по крайней мере молодые – скорее всего столкнутся с негативным восприятием.
Если вы еще не заметили, сейчас мы подошли к мягкой и пушистой части программы, где обязанности и предписания надо отложить в сторону и вместо этого поговорить о психологии. Другими словами, вы не в комнате заседаний, а на кушетке. Время научиться тому, что значат слова CEO, когда он говорит после увольнения CSO или CISO: «В нем было что-то такое, что не вписывалось в культуру организации».
Вам не понравится, что именно это «что-то такое» означает в вашем случае. Но вы должны знать. Оставьте свою гордость и читайте дальше.
Руководитель службы физической безопасности, согласно существующему стереотипу, должен быть жестким и категорическим «копом», с менталитетом «арестовать всех» и скорее сказать «нет», чем «да».
Руководитель службы информационной безопасности производит впечатление заносчивого всезнайки, который постоянно на что-то жалуется, выгораживает себя, не идет на встречу и не пытается работать с коллективом, потому что никто не в состоянии понять технических проблем, с которыми ему приходится сталкиваться.
Не верно? Ну и что. Не справедливо? Хватит жаловаться. На самом деле, руководители безопасности, которые поднимают шум из-за этих определений, скорее всего и подходят под них. «У нас был один кандидат в CSO из Fortune 500, который не получил работу», говорит Ленцнер. «И он – мне даже сложно объяснить это – но он начал кричать о том, что компания ничего не понимает. Он был очень зол. Как маленький ребенок, который не получил того, что хотел».
Норткат считает, что причиной такого отношения является то, что многие кандидаты в CISO не имеют достаточной квалификации. «Они находятся в условиях постоянного стресса, становятся скрытными, раздражительными и депрессивными, потому что у них нет понимания или мастерства, чтобы добиваться то, что им нужно», говорит он.
Во всяком случае, он демонстрирует по ролям, какое значение имеют взаимоотношения для бизнеса, как если бы он был исполнительным директором, к которому пришел CSO. Он бы сказал: «Я работаю с бизнес процессами. Я в бизнесе. Моя работа заключается в том, чтобы поезда прибывали во время. Мой бонус зависит от 5% улучшения в операциях».
«Потом какой-то парень из безопасности подходит и говорит: Добавьте эту программную коррекцию», говорит Норткат скептически и издевательски. «Как операционному менеджеру, что мне хочется сделать в этом случае? Взять биту и врезать им по голове! Безопасник жалуется, но, говорит нет. В чем дело? Мы здесь бизнесом занимаемся, мистер Парень из Безопасности. Иди-ка лучше и разберись, как сказать мне да, потому что это единственное, что я хочу от тебя услышать».
Другими словами, по мнению Кафлина, CSO, которые раньше занимались уголовным судопроизводством, идут по неправильному пути. «Они ходят вокруг, пытаясь тебя напугать. Но им нужно избавиться от такого отношения».
Будьте смиренны
И это означает не только отказ от своего негативного отношения. Вы должны перейти в другую крайность. Смиренный руководитель службы безопасности находится в лучшем положении, чтобы диктовать свои условия, потому что другие руководители поймут, что их стереотипы не оправданы.
Мы определяем смирение довольно узко, и не имеем в виду некоторые грани этого понятия. Смиренный не значит подобострастный или идущий на компромиссы. Это не значит, что вам придется принижать ваши способности или уверенность в себе. Все это просто поставило бы вас ниже других руководителей.
Помимо эмпирического определения смирения как противоположности высокомерию, есть еще три грани, которые мы имеем в виду.
Во-первых, будьте приветливы. Это приходит с опытом. Искреннее дружелюбие некоторых успешных руководителей службы безопасности, с которыми мы столкнулись во время их первого года в качестве CSO, изменило наше предвзятое мнение. Эти CSO, которые не теряют свою работу, поразительно добры и любезны. И эти качества не теряются во время кризиса, когда спокойствие и невозмутимость перед лицом большой проблемы просто необходимы. Ленцнер называет это «дружелюбным и самоуверенным глянцем», и утверждает, что «такие ребята подчиняются более высоким стандартам честности и преданности».
Во-вторых, вы должны уметь сотрудничать и полагаться на других CSO. Это относится к преданности – руководители служб безопасности уважают свою профессию так же, как они уважают свои компании. Они создали узкий круг, почти гильдию. «Вы поднимаете трубку и спрашиваете: Что я должен сделать?» говорит Кафлин из Wyeth. «Не притворяйтесь, что вы сами сможете это сделать. Реальный опыт очень важен, и если у вас его нет, то у кого-то он есть. Вопросы безопасности берут верх над конкуренцией. Я думаю, что мы должны сотрудничать настолько, чтобы финансовые директора и юристы завидовали нашей сплоченности».
Кент из Genzyme рассказывал своим коллегам из других компаний о программе по обеспечению безопасности штаб-квартиры, несмотря на то, что многие из них, работают в компаниях, являющихся прямыми конкурентами Genzyme. Хампфри говорит, что «Сам криминалитет не признает отраслевых границ и поэтому безопасность также не должна этого делать. Хорошие и успешные CSO могут использовать возможность работы с коллегами из конкурирующих компаний не разглашая конфиденциальную информацию».
«Я знаю много ситуаций, когда CSO может попасть в руки секретная информация конкурентов. Например, записная книжка. И без всяких исключений», говорит Хампфри, «он позвонит своему коллеге из другой компании и скажет: Этот документ принадлежит тебе. Вот те, кто видел его. Ничего больше с ним сделано не было. И он отдаст записную книжку обратно. Вот о какой честности мы говорим».
В-третьих, будьте терпеливы. Проблема с глобальным видением безопасности, которое по определению должен иметь каждый CSO, заключается в том, что оно придает человеку импульс, чтобы сразу это видение реализовать. Сразу все целиком. Это в свою очередь, почти наверняка, отделит вас от других руководителей. «Проявляйте терпение», говорит Мур. «Вы не можете толкать все сразу. Вы должны иметь приоритеты».
Мур говорит, что его собственный план в Merck был «пятилетним планом» и позиционирование безопасности как функции руководства компании отняла три с половиной года. Поэтому терпение – это добродетель.
Будьте Томом Крузом
Есть одна английская пословица, которая говорит «Мошенничай со мной в цене, но не в товаре». Кажется, что руководители служб безопасности – а особенно руководители служб информационной безопасности – приняли это близко к сердцу и научились некоторым «коротким путям» для повышения эффективности их работы. Наверняка, не случайность, что именно этот циничный совет по работе исходит от менеджера информационной безопасности, так как ИТ традиционно относятся к безопасности как к чему-то, что надо сделать напоследок, недоразумение, которое мешает работе. Как бы то ни было, вот как это делается:
В фильме «Несколько хороших парней» Том Круз в качестве лейтенанта Каффи вызывает двух офицеров ВМФ в зал суда. Они производят достаточно путаницы, которая, однако, помогает разоблачить полковника Джессапа, которого играет Джек Николсон. Позже мы узнаем, что те два офицера блефовали. Они были просто приманкой, и ничего конкретного не знали.
Так будьте Томом Крузом. Потому что временами вам потребуется предоставлять больше доказательств для обеспечения безопасности проекта, чем у вас есть, хотя вы знаете, что иначе ставите проект под большой риск.
CISO в одном из самых больших банков в мире (он пожелал сохранить анонимность, демонстрируя этим, что знает, как не быть уволенным) сказал, что он видел слишком много незащищенных программ, внедряемых в эксплуатацию. Поэтому он блефует. Чем больше документации он соберет для защиты проекта, тем лучше, говорит этот CISO. «Неважно насколько эта документация хороша. Просто она должна придавать вес. Здесь много маркетинга. Я иду с тремя хорошими документами и семью фунтами макулатуры вместе с ними, и это работает. Причем каждый раз».
Конечно, вы будете формировать реальный портфолио из достоверных данных (смотрите ниже), но вы и так это знали.
Будьте понаглее
Бил Сперноу (Bill Spernow), CISO в Georgia Student Finance Commission, однажды наблюдал, как последствия инцидента безопасности длились около шести месяцев. Примерно столько вы будете находиться в поле зрения руководства после серьезного нарушения безопасности. Они будут останавливаться возле вашего офиса и проверять что конкретно делает команда безопасности ежедневно.
Также в это время они начнут выделять вам фонды. «Что интересно по поводу серьезных нарушений», говорит Норткат, «так это то, что отменяется статус кво. В тот момент вы можете говорить с любыми начальниками и просить что угодно, и они это выполнят».
«И я всегда к этому готов. У меня есть список покупок. И я не испытываю угрызений совести по этому поводу. Может это и не имеет ничего общего с происшествием, но я все равно это получу».
В обоих случаях, вы немного жульничаете. Но можно поспорить, что, если блеф снижает риск для компании, то тогда вы жульничаете в цене, но не в товаре. Вы должны будете выработать на этот счет собственную Макиавеллевскую мораль.
Метрики, метрики и, еще раз, метрики
В конце концов, надо заглядывать немного вперед. Если вы расставили приоритеты, то вы уже смотрите вперед, откладывая какие-то проекты в пользу других. Но вам нужно подумать еще о двух вещах.
Мы знаем, что это тяжело. Мы знаем, что это отнимает время и деньги, но в итоге, безопасность будет полностью зависеть от метрик. Поэтому, вам надо разработать, выбрать, или иным образом применять анализ рисков, метрики и анализ показателей эффективности. Это позволит удовлетворить ненасытные аппетиты CEO и CFO в предоставлении доказательств вашей полезности. Паллер из SANS считает, что вы должны выделять намного больше финансовых ресурсов для разработки методов анализа эффективности, чем сегодня.
«Менеджер информационной безопасности приходит к CEO, заявляя, что может произойти что-то плохое, а, возможно, и что-то очень неприятное. Но каков шанс, что это случиться он не знает», говорит Паллер. «И если он потратит определенную сумму, он может уменьшить риск, но на сколько он не знает. Просто недостаточно информации. Любой другой руководитель его уровня лучше разберется с этой проблемой и возьмет на себя ответственность за определения риска. В нашем же случае, CISO перекладывает ответственность на CEO. А они этого не хотят, и, в конце концов, они эту ответственность не примут».
Имейте свой план на энное количество лет
Даже выполняя все вышесказанное, вы должны иметь общее видение безопасности. У Кента из Genzyme был двухлетний план для интеграции безопасности в культуру его компании. У Мура в Merck был пятилетний план.
Мур говорит, что после пяти лет работы, он видит, что план практически осуществлен. До прихода Мура у Merck не было руководителя службы безопасности. Однако сегодня его план безопасности настолько совершенен, что он рассуждает о том, как разобраться с внезапными и серьезными угрозами безопасности, такими как, например, SARS (тяжелое острое заболевание дыхательных путей), когда оно активно распространяется по всему миру. Он объясняет, как Merck разберется с SARS, шаг за шагом, детально и, как всегда, спокойно без каких-то намеков на панику.
И у вас не появится ощущения того, что Merck уволит его в ближайшее время.
Скотт Беринато