Сертификация систем менеджмента ISO 9001, ISO 14001, OHSAS 18001, ISO 27001
Адрес:
г. Астана, пр. Б. Момышулы, д.19, офис 43
Качество – правило. Цена – исключение!
Главная \ Новости и статьи \ «Почему Вы не получите работу CISO»

Новости и статьи

« Назад

«Почему Вы не получите работу CISO» 26.04.2019 16:41

Прочитал недавно интересную статейку, касающуюся отличий в мировоззрении специалистов по ИБ и бизнеса. Статья называется "Почему Вы не получите работу CISO", она является ответом на статью специалиста по ИБ "Нездоровое отсутствие вакансий по ИБ", в которой он описывает проблемы с недостаточным вниманием бизнеса к ИБ и те последствия, к которым это может привести. Переводить всю статью я не стал, т.к. ряд вопросов для нашей российской действительности не актуален. Перевод достаточно вольный и «адаптированный» :)

Итак, ниже приведены цитаты из статьи специалиста по ИБ и ответы на них от имени бизнеса.
 

«… часто руководство компаний не понимает, что CISO может принести компании огромную пользу …»

Не наша работа, понимать это. Это Вы должны наглядно продемонстрировать эту пользу, сделать ее реальной! Специалисты по ИБ постоянно твердят о своей значимости и большой пользе, которую они приносят. Но взгляните на это с точки зрения бизнеса. Что приносит ему реальную пользу? Увеличение продаж и сокращение затрат. Уровень продаж зависит от маркетинга и вывода на рынок новых продуктов. А что можно сделать для сокращения затрат? Может быть, уволить CISO?

 

Да, конечно, мы понимаем, что отсутствие у нас CISO может привлечь к нам повышенное внимание хакеров, но ведь угроза хакеров относится ко всем. Все компании, у которых есть подразделения ИБ, сталкиваются с вирусами, спамом и хакерами. И ноутбуки они тоже теряют. Так, где же эта «огромная польза»?! Можете ли Вы выразить ее в каких-то конкретных цифрах, например, словами: «Я сократил на 30% уровень мошенничества с системой Интернет-банкинга, реализовав проект по обеспечению ее безопасности в срок и в рамках бюджета»? 

Если Вы хотите получать реально высокую зарплату, приносите реально высокую пользу!
 

«… отсутствие в компании CISO напрямую связано со множеством нарушений безопасности …»

Правда? «Напрямую связано»? Позвольте мне рассказать вам, как мы используем это словосочетание в бизнесе. Мы подразумеваем наличие явной причинно-следственной связи, либо непосредственно видим, как это происходит.

 

Можете ли Вы сказать, что хакерская атака на компанию может быть вызвана тем, что хакеры увидели объявление о поиске компанией кандидата на должность CISO? Нарушения безопасности происходят потому что наши пользователи делают ошибки, потому что наши разработчики копируют на свои ноутбуки базы с клиентской информацией «для отладки программ» или потому, что наши аудиторы не говорят нам о том, что у нас действительно неправильно. Если у нас будет CISO, это прекратится?

 

«Спецы» по безопасности твердят нам, что мы должны выполнять кучу требований PCI DSS, защищать персональные данные, соответствовать лучшим практикам и т.д. Но даже выполнение всех этих требований вовсе не означает, что мы теперь в безопасности! Если взглянуть на информацию о происходящих в компаниях инцидентах безопасности, вовсе не складывается впечатления, что эти проблемы происходят только в компаниях, где нет CISO!
 

Цитата: «… разве руководство компаний не понимает, что серьезная проблема с безопасностью может поставить под угрозу существование их бизнеса ...?»

Нет, мы не понимаем. Под угрозу бизнес ставит сам факт его существования. Нам угрожает масса вещей и безопасность только одна из таких угроз, причем далеко не самая страшная. В гораздо большей степени нам, как и другим коммерческим компаниям, угрожают проблемы в экономике, недобросовестная конкуренция, кредиторы, действия и решения государственных органов и различных регуляторов.

 

Мы знаем, что GM, Lehman Brothers, «КрасЭйр», «Агрохимбанк», «Тюменьэнергобанк», «Арбат-Престиж», «Беталинк», «Куда.Ру», «Букбери» и еще множество компаний обанкротились за последние два года вовсе не из-за проблем с информационной безопасностью. Они, как и тысячи других компаний, ушли из бизнеса из-за спада в экономике. Многие стали жертвами враждебных поглощений и действий государственных органов (вспомним хотя бы «ЮКОС», «Сибнефть», «Гута-Банк», закрытие игорного бизнеса в России). А какие компании прекратили свое существование из-за проблем с информационной безопасностью?

 

Вы говорите, что у нас в действительности было множество инцидентов, просто мы не знаем о них? Это жалкий пример. Неужели вы думаете, что если бы у нас были действительно серьезные проблемы с безопасностью, генеральный директор тянул бы с приемом на работу CISO? Вы думаете, руководство намеренно существенно искажает и скрывает факты, которые действительно оказывают негативное влияние на бизнес, рискуя при этом сесть в тюрьму?!

 

Подавляющее большинство иностранных и российских компаний, столкнувшихся с серьезными инцидентами информационной безопасности, продолжают работать. Например, Heartland все еще работает, у TJX был лучший квартал после того, как их взломали. В России было немало крупных и получивших огласку утечек информации: Никойл, МТС, Билайн, ВТБ-24. Поставило ли это под угрозу их бизнес? Да это, по большому счету, даже не отразилось на их репутации!
 

Когда мы видим реальную угрозу, мы реагируем на нее и учитываем ее в дальнейшем. Мы максимально сосредоточены на увеличении продаж при одновременном сокращении расходов. А Вы, кажется, сосредоточены на других вещах? На безопасности? Ну, прекрасно, тогда мы можем пожать друг другу руки и разойтись в разные стороны. Но не нужно рассказывать дурацкие страшилки!
 

«... некоторые из новых законов предусматривают серьезные наказания за несоблюдение требований безопасности ...»

Правда? Серьезные наказания? Вы это серьезно? Серьезным наказанием был бы крупный денежный штраф, уголовная ответственность или дисквалификация руководителей компании. Есть хоть один пример таких последствий за несоблюдение компанией требований информационной безопасности? Даже по результатам проверок в рамках пресловутого закона о защите персональных данных серьезно не пострадала еще ни одна компания или должностное лицо! А те штрафы, которые они заплатили, просто ни в какое сравнение не идут с теми затратами, которые они понесли бы в случае выполнения требований этого закона.
 

«… эксперты по информационной безопасности годами говорили, что наша нынешняя информационная инфраструктура находится в серьезной опасности …»

Некоторые люди говорят, что являются экспертами. Они годами воют как волки. Однако пока никто не использовал XSS-атаки, чтобы вывести из строя мировую финансовую систему. Зато именно выбрасывание денег на безопасность привело к обрушению моста на I-35. Подумайте, миллионы россиян лишены даже нормальной медицинской помощи! Наша информационная инфраструктура – это всего лишь одна из многих вещей, в которые мы можем инвестировать средства.
 

Подведем итог. Есть множество причин, по которым любая компания может нанять новых руководителей. Но руководители, которых мы нанимаем, способны видеть лес за деревьями. Они могут разрабатывать и исполнять стратегии, реально влияющие на снижение затрат или увеличение продаж. При этом они используют реальные метрики, однозначно показывающие результат их работы. Мы безусловно считаем, что безопасность важна для нашего бизнеса и наших клиентов, но мы ищем человека, который будет так же как и мы в первую очередь думать о бизнесе и об увеличении доходов компании. А пока мы будем продолжать пользоваться услугами инженеров, которые выполняют технические задачи по безопасности нашей компании. 
 

Вы, ребята, непрерывно говорите о конце света. Но он все никак не наступает. Как руководители, мы требуем доказательств, что потраченные на безопасность деньги дадут адекватный положительный эффект для бизнеса. У Вас есть такие доказательства?

 

По материалам Dmitry Orlov


Контакты
г. Астана, пр. Б. Момышулы, д.19, офис 43
Написать нам
новости Казахстан