С инициативами ИБ у CISO, общающегося с топ-менеджментом, обычно вопросов не возникает. Об этом приятно говорить, так как они носят позитивный характер, позволяют показать движение вперед, а не латание дыр, помогают получить ресурсы и т.п. Но и требуют выполнения обещаний в указанные сроки с заданным качеством и в рамках установленного бюджета.
Хотя мы понимаем, что достичь трех этих элементов одновременно невозможно 🙂
Из опыта иностранных CISO становится понятно, что такие инициативы могут быть совершенно разными и зависящими от множества условий. Например, в одном случае CISO рассказывал об усилиях, реализованных за прошедшие 5 лет в части обеспечения устойчивости против шифровальщиков. В другом, CISO фокусировался на защите цепочек поставок для выпускаемых компанией продуктов.
В высокоприоритетные для бизнеса инициативы может быть включена следующая информация:
- качественное описание прогресса в инициативе или некоторые количественные достижения
- метрики и их целевые значения
- причины реализации отдельных инициатив и их дорожная карта (например, зачем вы реализуете zero trust или почему вы хотите запустить программу Bug Bounty).
Обратите внимание на пример выше. Он интересен не только тем, что на одном слайде отображаются и чисто ИБшные истории, и физическая безопасность, и защита цепочек поставок, и устойчивость предприятия. И против каждой области внимания директора по безопасности (CSO, а не CISO) указаны соответствующие важные для бизнеса риски (недопустимые события), а также инициативы, позволяющие управлять этими рисками, снижая их или перекладывая на чужие плечи. Интересно, что в части ИБ указаны многие привычные и для российских CISO задачи — замена устаревшего (импортного) оборудования, внедрение мониторинга ИБ не для всех, а только для целевых систем, автоматизация реагирования на инциденты, управление уязвимостями в ключевых системах. Тут даже Fusion Center показан в качестве инициативы.
Дополнительная информация (другие статьи серии)
- С чем CISO ходят к своему руководству? 8 примеров
- С чем CISO ходят к своему руководству? Разговор о рисках, угрозах и недопустимых событиях
- С чем CISO ходят к своему руководству? Демонстрация зрелости ИБ
- С чем CISO ходят к своему руководству? Критические инциденты
Заметка С чем CISO ходят к своему руководству? Инициативы по ИБ была впервые опубликована на Бизнес без опасности .
