Откажитесь от контроля как основы для целей безопасности
В этом интервью для Help Net Security Девин Рудницки, директор по информационной безопасности (CISO) в Fitch Group, утверждает, что стратегия безопасности терпит неудачу, когда теряет связь с бизнес-результатами.
Рудницки рассказывает о том, как согласовать цели безопасности с корпоративными приоритетами, почему CISO должны представлять риски в терминах, понятных руководству для принятия решений, и как сбалансировать скорость инноваций с взвешенным подходом к рискам. Она описывает три метрики, которые должна отслеживать каждая программа безопасности: ценность, риск и зрелость. Рудницки также затрагивает тему, где модели зрелости помогают, а где вводят в заблуждение, и объясняет, как решить, что автоматизировать.
Я считаю, что самая большая ошибка руководителей — отсутствие «зачем», связанного с бизнес-результатами и безопасным обеспечением деятельности компании. Цели безопасности часто формулируются как внедрение контролей, например, «внедрить X, развернуть Y», вместо достижения конкретных результатов. Если я не могу достаточно ясно объяснить, как цель безопасности защищает выручку, доверие клиентов или бесперебойную работу, вероятно, она не является стратегической.
На практике это означает привязку стратегии безопасности к трём составляющим: корпоративным целям, реальным киберугрозам, с которыми сталкивается организация, и соответствующим отраслевым стандартам. В Fitch наша стратегия информационной безопасности явно построена вокруг этих трёх измерений, чтобы мы могли объяснять, как решения в области безопасности способствуют реализации бизнес-стратегии, а не просто удовлетворяют требованиям контролей.
Стратегия должна лежать в основе всего, что команда информационной безопасности делает для организации. Я сосредоточилась на преобразовании стратегии информационной безопасности Fitch, сделав её ориентированной на результат, согласованной с корпоративными целями, направленной на устранение ключевых киберрисков и соответствующей лучшим отраслевым стандартам. Это помогает нам нести ответственность за выполнение стратегии и позволяет демонстрировать измеримый прогресс.
Во-первых, важно обеспечить, чтобы бизнес понимал риски и потенциальные последствия быстрого внедрения. Новый инструмент, который может помочь заработать 1 миллион долларов выручки, в итоге может обойтись бизнесу в 5 миллионов, если он создаёт существенный киберриск и приводит к значительному инциденту безопасности.
Цель — представить лицам, принимающим решения, варианты мер по снижению рисков, которые позволяют снизить угрозы, продолжая при этом внедрять инновации безопасным образом. Один из способов сделать это — реализовать инновацию в защищённой «песочнице», чтобы проверить потенциальные бизнес-выгоды и понять профиль рисков.
Важно понимать, что директорам по информационной безопасности необходимо обеспечивать соразмерность предлагаемых мер защиты — внедрение средств безопасности стоимостью 5 миллионов долларов редко имеет смысл для защиты активов на 1 миллион. Директорам также следует учитывать текущую угрозную обстановку при принятии решений. Геополитические события или другие развивающиеся угрозы могут существенно повысить киберриски организации в конкретный момент времени.
Ценность: Создавайте метрики возврата инвестиций (ROI) и/или ключевых результатов (OKR) для крупных инвестиций в кибербезопасность, чтобы продемонстрировать ценность инициативы. Например, моя команда внедрила инструмент на базе ИИ для обработки клиентских анкет безопасности, что сократило внутреннее время ответа примерно на 75%. Это повышение эффективности было важным, поскольку оно освободило команды от рутинной ручной работы — ускорило циклы ответов клиентам и позволило сосредоточиться на анализе рисков и взаимодействии с клиентами, приносящих большую ценность.
Риск: Отслеживайте корпоративные киберриски с течением времени по системам, приложениям, сетям и сторонним поставщикам, позволяя руководству понимать, растёт ли уровень угроз или снижается, и принимать обоснованные стратегические решения. Это отслеживание должно отражать реальное влияние на бизнес, используя классификацию рисков, согласованную с бизнес-процессами, чтобы выделять самое важное, а не перегружать руководителей сырыми данными.
Возможности/зрелость: Измеряйте показатели зрелости кибербезопасности относительно целевых значений. Независимая оценка зрелости, проведённая третьей стороной по отраслевому стандарту, может быть очень полезной. Это демонстрирует, как зрелость вашей организации в области кибербезопасности прогрессирует со временем, и точно указывает, куда инвестиции улучшают состояние безопасности и снижают риски.
Модели зрелости — хороший способ измерить успех стратегии безопасности, но их не следует использовать как единственную меру. Они полезны для демонстрации прогресса в развитии зрелости безопасности с течением времени и создания общего языка между службой безопасности и руководством. Учитывая огромный объём информации и систем, требующих защиты, они также помогают определить, куда направить ограниченные ресурсы.
Тем не менее, руководству следует понимать, что зрелость не равнозначна 100% безопасности — даже самые развитые программы безопасности могут и будут сталкиваться с киберинцидентами. Более высокая зрелость означает, что вы способны обнаруживать, реагировать и восстанавливаться после кибератак быстрее. Это различие критически важно на уровне высшего руководства. Оценки зрелости наиболее эффективны, когда они поддерживают инвестиционные решения и планирование устойчивости, а не когда их рассматривают как гарантии или финишную черту.
Хотя некоторые команды могут воспринимать результаты оценки зрелости как «список дел», им не обязательно использовать их именно так. Лучше рассматривать результаты как руководство для определения наиболее ценных инициатив, продвигающих киберстратегию и бизнес-стратегию.
С точки зрения руководства, автоматизацию следует оценивать не только по снижению рисков, но и по тому, создает ли она возможности для людей проявлять суждение, развивать экспертизу и глубже вовлекаться в бизнес-процессы.
Принятие решений с участием человека остается ключевым для решений с высоким риском и обеспечения подотчетности, особенно в вопросах, затрагивающих людей. Наиболее эффективная автоматизация сосредоточена на повторяющихся, рутинных задачах, освобождая команды для более стратегической и ценной работы.
По мере того как организации все шире внедряют новые технологии, неизбежно будут расти и опасения сотрудников относительно вытеснения с должностей. Руководители должны быть осознанными и прозрачными в том, как они сообщают об изменениях, объясняя, что означают эти новые технологии для работы их бизнеса и как люди продолжают приносить пользу.
Вебинар: Реальное состояние безопасности 2026