Ценности в ИБ: ключевые составляющие стратегии
Как создать внутри компании систему ценностей и смыслов для взаимодействия
Недавно мне в руки попал отчет Deloitte «Под поверхностью кибератаки», где подробно говорится о том, как в крупных корпорациях учитываются затраты, связанные с киберрасследованиями, уведомлениями о нарушениях (к примеру, в области защиты персональных данных) со стороны граждан или клиентов. Также одним из лейтмотивов отчета является мысль, что ИТ- и ИБ-директора должны своевременно и синхронно понимать потребности организации: совету директоров необходимо знать, инвестируются ли средства в правильные средства безопасности для защиты компании, финансовому директору – имеется ли адекватное страхование от киберрисков, а директору по рискам – наблюдается ли снижение рисков с течением времени.
Под прицелом киберпреступников. А вы точно под защитой?
Количество целенаправленных кибератак во всем мире ежегодно растёт →
Следует отметить, что классический, «интровертно-ресурсный», подход к ИБ, когда наращивается количество решений инфраструктуры с ростом угроз, все меньше позволяет компании оставаться конкурентоспособной. Все сильнее заметно движение в сторону сервисной модели (аутсорсинг, MSSP-сервисы), у заказчиков больше нет необходимости содержать большой штат собственных специалистов, и теоретически бизнес может рано или поздно перейти на сервисное потребление ИТ и ИБ, что окончательно снимет вопрос о противостоянии этих двух сегментов на уровне отдельно взятой организации, уберет необходимость взаимопонимания и продажи их услуг бизнесу. Однако, пока этого не произошло, руководителю есть смысл задуматься о том, какие данные ему предоставляют обе службы для принятия решений и как создать внутри компании систему ценностей и смыслов для взаимодействия. Не всегда эти ценности привычны и традиционны для ИБ-департамента.
Несколько ключевых составляющих стратегии
Слушать и слышать
В организациях, в том числе казахстанских, не хватает связи между C-Level, CISO и CIO-командами. Эта разобщенность мешает иметь представление о том, кто и чего ожидает достичь. В связи с этим очень важно, чтобы вы регулярно проводили время с ИТ- и ИБ-командами, даже если это просто телефонный звонок или видеоконференция.
Избегать микроменеджмента
Последнее, что нужно вашей команде ИТ и ИБ, – это микроменеджмент. Дайте команде разработать политики информационной безопасности, предоставьте необходимые ресурсы и полномочия для реализации.
Показать карьерный рост
Очень важно показать, что вы заботитесь о профессиональном росте ваших ИТ- и ИБ-специалистов. Стимулируйте все необходимое для сдачи экзамена на новую сертификацию, мотивируйте проводить регулярные брифинги по новым угрозам. Инвестируйте в профессиональное развитие команды, чтобы сотрудники могли больше узнать о новейших инструментах и технологиях.
Какие навыки стоит развивать внутри вашей ИТ-/ИБ-команды?
Анализ данных. Чтобы создать эффективную стратегию кибербезопасности, специалистам необходимо знать, как собирать данные, а затем использовать их для принятия более эффективных мер безопасности. Вводя данные в системы машинного обучения, можно потенциально автоматизировать процессы кибербезопасности.
Управление проектами. В работе команды требуется целый ряд стратегий для защиты от внутренних, внешних угроз и общих политик защиты данных. Учитывая это, ИТ-специалисты должны обладать навыками многозадачности и уметь расставлять приоритеты в проектах.
Soft Skills. Эти навыки часто забываются в контексте технологической индустрии, но было бы ошибкой игнорировать их. Существует длинный список soft skills, необходимых ИТ-специалисту для обеспечения того, чтобы он хорошо функционировал в своей рабочей среде.
