Ръководство за мениджъри по управление на сигурността
Пробивите в сигурността рядко започват със зловреден софтуер. Те започват с неяснота. Никой не поема отговорност за решенията, свързани с риска, политиките остават непроменени и неизползвани, от ИТ отдела се очаква да носи отговорност, която принадлежи на ръководството, а управителният съвет получава отчети, които създават впечатление за активност, но не водят до реална промяна. Именно затова е необходимо ръководство за висшето ръководство относно управлението на сигурността. Управлението е оперативният модел, който стои в основата на всяка сериозна програма за сигурност. Без него инструментите се множат, разходите нарастват, а рискът остава неуправляван.
За много организации проблемът не е липсата на усилия. Проблемът е липсата на ясна управленска структура. Екипите внедряват контроли, реагират на одити и се опитват да изпълнят коригиращи мерки, но не разполагат с рамка за вземане на решения, която да свързва сигурността с бизнес приоритетите. Именно тук управлението на сигурността играе ключова роля. То определя кой взема решенията, какво се измерва, как се ескалират рисковете и кога сигурността се превръща от ИТ проблем в бизнес въпрос.
Какво всъщност означава управлението на сигурността
Управлението на сигурността представлява система от лидерство, отчетност, надзор и вземане на решения, която определя как киберсигурността подпомага бизнеса. То не е същото като оперативната дейност по сигурността. Оперативните екипи откриват заплахи, реагират на инциденти, прилагат актуализации, наблюдават системите и провеждат разследвания. Управлението на сигурността определя правилата, приоритетите, допустимото ниво на риск и механизмите за отчитане, които насочват всички тези дейности.
Ръководителите често наследяват фрагментирана среда, в която сигурността се е развивала реактивно. Написана е политика, за да се изпълни изискване на клиент. Добавен е нов инструмент след инцидент. Създадена е програма за съответствие, защото отделът по доставки или възложителят го е изисквал. Всяко от тези решения може да е било разумно в конкретния момент. В съвкупност обаче те водят до програма, в която има много дейност, но липсва реален контрол.
Доброто управление на сигурността променя въпроса от „Какъв продукт за сигурност ни е необходим?“ към „Какво ниво на риск сме готови да приемем, кой одобрява това решение и как ще проверим дали нашите контроли съответстват на него?“. Именно тази промяна отличава тактическото управление на сигурността от стратегическото лидерство в областта на сигурността на изпълнително ниво.
Ръководството за мениджъри по управление на сигурността започва с ясно определена отговорност
Ако отговорността не е ясно разпределена, управлението на сигурността се превръща в театър без реално съдържание. Много организации все още разглеждат киберсигурността като изцяло техническа област, управлявана единствено от ИТ отдела. Това може да работи, когато компанията е малка и системите са сравнително прости. Но този подход се проваля, когато организацията се разраства, навлиза в регулирани пазари, увеличава броя на външните доставчици или обработва по-чувствителни данни.
Поемането на отговорност на изпълнително ниво не означава, че главният изпълнителен директор (CEO) или оперативният директор (COO) трябва лично да управляват уязвимостите. То означава, че ръководството приема, че киберрискът е бизнес риск. Някой на управленско ниво трябва да има правомощията да определя посоката, да взема решения при конфликт на приоритети и да държи екипите отговорни за резултатите. В зрелите организации тази роля често се изпълнява от директора по информационна сигурност (CISO). В по-малките или развиващи се компании тя може да бъде поета от външен или почасов експерт по сигурността, комитет по управление на риска или определен изпълнителен спонсор с ясно структурирана подкрепа.
Най-важният елемент е яснотата. Управителният съвет осъществява надзор. Ръководният екип определя очакванията и одобрява решенията, свързани с риска. Лидерите по сигурността превръщат риска в конкретни действия. ИТ отделът внедрява и поддържа контролите. Правният отдел, звената по съответствие, човешки ресурси и оперативните екипи носят отговорност за дейностите в своите области. Когато тези граници не са ясно дефинирани, появата на пропуски е неизбежна.
Управлението на сигурността е мястото, където сигурността среща бизнес реалността
Управлението на сигурността се проваля, когато е изградено като каталог от контроли, а не като бизнес система. Ръководителите не се нуждаят от още един набор от политики. Те се нуждаят от модел, който подпомага растежа, устойчивостта и съответствието с изискванията, без да забавя бизнеса до степен на парализа.
Това изисква вземане на трудни решения и компромиси. Стартъп, който продава на корпоративни клиенти, може да даде приоритет на зрелостта на политиките и готовността за одити по-рано, отколкото би направил при други обстоятелства. Производствена компания с остарели оперативни технологии може съзнателно да отложи модернизацията, защото рискът от прекъсване на производството е по-голям от риска, свързан с незабавната подмяна. Здравна организация може да постави управлението на поверителността и защитата на личните данни пред по-широкото обновяване на архитектурата, тъй като регулаторният риск е непосредствен и значителен. Не съществува универсален модел, който да е подходящ за всички. Съществува само управление на сигурността, което е съобразено с рисковете, пазара и начина на функциониране на конкретната организация.
Ето защо решенията, свързани със сигурността на изпълнително ниво, трябва да бъдат представяни на езика на бизнеса: влияние върху приходите, допустимо време за прекъсване на дейността, договорни задължения, регулаторна отговорност, доверие на клиентите и възможност за застраховане. Ако разговорът остане единствено на техническо ниво, ръководството или ще загуби интерес, или ще одобрява разходи без реален стратегически контрол върху тях.
Основните елементи на ефективен модел за управление на сигурността
Ефективният модел за управление на сигурността не е непременно сложен, но изисква дисциплина. Той започва с определянето на допустимото ниво на риск (risk appetite). Ако ръководството никога не е дефинирало какви нива на киберриск са приемливи за организацията, всяка дискусия, свързана със сигурността, се превръща в емоционална или реактивна реакция. В такъв случай екипите или ескалират всеки проблем, или, което е още по-опасно, започват да приемат всички рискове като нещо нормално.
Следващият ключов елемент са правомощията за вземане на решения. Кой одобрява изключенията от правилата? Кой приема остатъчния риск? Кой има правото да изисква коригиращи действия в различни отдели? Кой носи отговорност за оценката на сигурността на външните доставчици и партньори? Това не са административни подробности. Те определят дали програмата по сигурност може реално да функционира и да постига резултати.
Управлението на политиките е друга основна предпоставка, но само ако политиките са актуални и приложими на практика. Политика от 40 страници, която никой не чете, не е управление на сигурността. Политиките трябва да поставят ясни очаквания, да отразяват реалните бизнес процеси и да бъдат пряко свързани с отговорностите за прилагане на контроли. Ако дадена политика не може да бъде приложена на практика, тя трябва да бъде преработена.
Показателите и метриките също са от съществено значение, но ръководителите трябва да избягват така нареченото „отчитане за показност“. Целта не е да се броят сигналите за тревога или да се демонстрират резултатите от инструментите. Метриките за управление трябва да показват дали рискът действително намалява, къде се увеличава експозицията и дали механизмите за отчетност функционират ефективно. Това може да включва показатели като обхват на контролите, срокове за отстраняване на уязвимости, брой и вид на одобрените изключения, състояние на риска при трети страни, тенденции при инцидентите, резултати от одити и степен на готовност за критични бизнес сценарии.
Накрая, управлението на сигурността изисква формално установен ритъм на дейностите. Тримесечни отчети пред управителния съвет, месечни прегледи на риска, ежегодно одобряване на политиките и периодични оценки на контролите създават отчетност и устойчивост във времето. Без подобен ритъм сигурността се превръща в дейност, управлявана единствено от възникващи събития, което води до непоследователност и липса на дългосрочен контрол.
Ръководство за управление на сигурността за развиващи се компании
Растежът много бързо разкрива слабостите в управлението на сигурността. Една компания може да функционира с неформална структура, когато има един офис, малък екип и ограничени изисквания от страна на клиентите. Но когато започне да се разширява в нови региони, да въвежда дистанционна работа, да обработва регулирани данни или да участва в по-сложни и мащабни търговски процеси, неформалният подход към сигурността вече не е достатъчен.
Именно тук много ръководители допускат грешка. Те инвестират в повече инструменти, преди да са изградили стабилно управление на сигурността. В повечето случаи това води единствено до по-скъпа версия на съществуващия проблем. Новите платформи генерират повече предупреждения, повече табла за управление и повече обещания от доставчиците, но не дават отговор на най-важните въпроси за ръководството: Кои са най-съществените ни рискове? Кой носи отговорност за тях? Какво ниво на експозиция е приемливо за организацията? В кои области не отговаряме на нормативните или договорните изисквания? Какви ще бъдат последиците, ако критичен доставчик прекъсне дейността си или ако атака с рансъмуер засегне основните бизнес операции?
За развиващите се компании управлението на сигурността трябва да се изгражда поетапно. Първата стъпка е осигуряването на изпълнителен спонсор, поддържането на актуален регистър на рисковете, въвеждането на базово управление на политиките, ясно дефинирани процедури за вземане на решения при инциденти и система за отчитане, която ръководството действително може да използва.
След това моделът може да бъде разширен с управление на риска от доставчици и трети страни, интегриране на сигурността с плановете за непрекъсваемост на бизнеса, картографиране на регулаторните изисквания, провеждане на симулационни упражнения (tabletop exercises) и по-формализирана комуникация с управителния съвет.
Това е и моментът, в който външната управленска експертиза може да има сериозен бизнес смисъл. Не всяка организация се нуждае от директор по информационна сигурност (CISO) на пълен работен ден, но много компании се нуждаят от управление на сигурността на ниво CISO. Именно в пространството между тези две реалности се проявява стойността на моделите с външен, почасов или консултативен лидер по сигурността. Те осигуряват необходимата структура, стратегическо ръководство и отчетност, без организацията да е принудена преждевременно да назначава постоянен ръководител на изпълнително ниво.
Често срещани грешки в управлението на сигурността, които ръководителите трябва да избягват
Първата грешка е да се приема съответствието (compliance) за управление на сигурността.
Съответствието може да подпомага управлението, но не е негов заместител. Успешното преминаване на одит не означава, че моделът за вземане на решения в организацията е ефективен. Това означава единствено, че към определен момент са изпълнени конкретно дефинирани изисквания или стандарти.
Втората грешка е възлагането на отговорност без предоставяне на необходимите правомощия.
Ако ръководителят по сигурността носи отговорност за резултатите, но няма възможност да влияе върху бюджетите, да налага стандарти или да ескалира нерешени рискове, тогава моделът за управление е дефектен още по своята същност.
Третата грешка е претоварването на управителния съвет с прекомерно техническа информация.
Управителните съвети се нуждаят от ясна представа за нивото на риска, тенденциите в неговото развитие, потенциалното въздействие върху бизнеса и ключовите решения, които изискват надзор и одобрение. Те не се нуждаят от подробен оперативен отчет по сигурността, представен като управленска информация.
Четвъртата грешка е тихото натрупване на изключения от правилата и контролните мерки.
Понякога изключенията са неизбежни и оправдани. Но изключенията, които не се управляват активно, представляват неуправляван риск. Всяко изключение трябва да има ясно определен собственик, бизнес обосновка, срок на валидност и формален процес за одобрение.
Петата грешка е убеждението, че управлението на сигурността може да бъде делегирано веднъж завинаги.
Управлението на сигурността не е еднократен проект. Бизнесът се променя. Заплахите се променят. Регулаторните изисквания се променят. Придобиванията на нови компании, разработването на нови продукти, дистанционната работа, внедряването на изкуствен интелект и разширяването на мрежата от доставчици изискват моделът за управление на сигурността постоянно да се адаптира и развива.
Ефективното управление на сигурността не се измерва с броя на политиките или внедрените технологии. То се измерва със способността на организацията последователно да взема информирани решения за риска, да разпределя ясна отговорност и да поддържа сигурността в съответствие с бизнес целите. Когато тези елементи липсват, дори най-добрите технологии не могат да компенсират слабостите в управлението.
Как изглежда доброто управление на сигурността на практика
Ефективното управление на сигурността се разпознава по качеството на вземаните решения. Ръководителите познават най-съществените рискове пред организацията и могат ясно да обяснят защо даден риск е приемлив, смекчен чрез контроли, прехвърлен към трета страна или определен като недопустим. Докладите по сигурността подпомагат вземането на решения, вместо просто да запълват времето по време на срещи. Критичните политики са актуални. Ролите и отговорностите при инциденти са ясно разбрани още преди да възникне криза. Оценките на риска при доставчици влияят върху решенията за възлагане и обществени поръчки. Значимите инвестиции в сигурността са обвързани с измерими бизнес резултати.
Също толкова важно е, че доброто управление намалява ненужния шум. То помага на екипите да спрат да спорят за приоритети, защото приоритетите вече са ясно определени. Осигурява на ИТ и екипите по сигурност необходимите правомощия за действие. Дава на отделите по съответствие ясна структура за работа. Осигурява на ръководството увереност, че сигурността не просто се изпълнява като поредица от дейности, а се управлява стратегически и целенасочено.
Именно това е същността на въпроса: киберсигурността изисква лидерство, а не само технологии и инструменти. Управлението на сигурността е механизмът, който превръща разпокъсаните дейности по сигурността в систематична защита на бизнеса. За организациите, които не разполагат със собствен директор по информационна сигурност на пълен работен ден, тази дисциплина може да бъде изградена чрез структуриран консултативен модел, ясна система за отчитане и добре дефинирани отговорности в рамките на цялата организация.
Ако оценявате собствената си програма по сигурност, започнете с един директен въпрос:
Когато възникне значим киберриск, знаете ли кой взема решението, как се взема това решение и как ще бъде проследено неговото изпълнение впоследствие?
Ако отговорът е неясен или колеблив, тогава проблемът с управлението на сигурността вероятно вече струва на организацията повече, отколкото предполагате – под формата на неефективност, повишен риск, пропуснати възможности и ненужни разходи.
FAQ
1. КАКВО Е СИГУРНОСТНО УПРАВЛЕНИЕ И ЗАЩО Е ВАЖНО?
Сигурностното управление е рамката от лидерство, отчетност и вземане на решения, която гарантира, че киберсигурността подкрепя бизнес целите. То е важно, защото съгласува сигурността с нивото на приемлив риск, предотвратява фрагментирани усилия и гарантира, че инвестициите, контролите и политиките ефективно намаляват бизнес риска, а не само техническите проблеми.
2. КАКВА Е РАЗЛИКАТА МЕЖДУ СИГУРНОСТНО УПРАВЛЕНИЕ И СИГУРНОСТНИ ОПЕРАЦИИ?
Сигурностното управление определя посоката, политиките и толерантността към риск, докато сигурностните операции се занимават с изпълнението – като наблюдение, реакция при инциденти и прилагане на актуализации. Управлението решава какво трябва да се направи; операциите изпълняват как да се направи.
3. КОЙ ТРЯБВА ДА НОСИ ОТГОВОРНОСТ ЗА КИБЕРСИГУРНОСТНИЯ РИСК В ОРГАНИЗАЦИЯТА?
Отговорността за киберсигурностния риск трябва да бъде на изпълнително ниво, не само в IT. Това може да бъде CISO, изпълнителен спонсор или комитет по риска. Бордът осигурява надзор, изпълнителните ръководители вземат решения за риска, а техническите екипи прилагат контролите.
АДВАНСД ВИЖЪН ИТ - МАЛТА
Адрес: Suite 8, Ta’ Mallia Buildings, Triq In‑Negozju, Zone 3, Central Business District, Birkirkara, CBD 3010, Malta
Регистрационен номер: C111282, ДДС Номер: MT31713827
Телефон:+356 79224404
Имейл: office@advisionit.com
ADVANCED VISION IT - БЪЛГАРИЯ
Адрес: БЪЛГАРИЯ, гр. София, р-н Лозенец, ул. Димитър Хаджикоцев, 35 вх. А
ЕИК: 205789039, ДДС No: BG205789039
Телефон: +359 888 258 530
Имейл: office@advisionit.com