Психология внедрения нового. Правила общения с...
TRANSCRIPT
Психология внедрения нового. Правила общения с руководителями бизнеса
при внедрении новых проектов по
обеспечению ИБ
Круглый стол «Эффективное управление
информационной безопасностью»22 августа 2013
Практические рекомендации для CISO
Павел Мельников, Pointlane
2www.pointlane.ru
• Этапы принятия нового
• Методики обоснования затрат
• Основные правила обоснования затрат
• Типы руководителей и особенности работы с ними
• Разбор бизнес-кейсов
О чем будем говорить
3www.pointlane.ru
• 16 лет в информационной безопасности
• Более 7 лет в банках (Альфа-банк, Societe Generale,
HSBC, JP Morgan)
• Создал службу ИБ «с нуля»
• Директор по развитию Pointlane
• CISSP, CISA
Обо мне
4www.pointlane.ru
• Неприятие
• Отрицание и агрессия (не слушают и отмахиваются)
• Торг
• Отстаивание собственных интересов (ну тогда вы
нам…)
• Апатия
• Безразличие или вялый интерес (делайте что угодно)
• Принятие
• Где же ты раньше был (у всех уже есть DLP, а мы только
пилотный проект сделали???)
Этапы внедрения нового
5www.pointlane.ru
• Неприятие
• Дать максимум информации и выждать
• Торг
• Есть пожелания? Отлично! Удовлетворяем!
• Апатия
• Самый главный момент для максимально активных
действий
• Принятие
• Иметь все необходимое для обоснования своей позиции
Этапы внедрения нового: что делать?
6www.pointlane.ru
• Необходимость продиктована требованиями
регуляторов в конкретной отрасли
• Замечания внутреннего аудита/контроля
• Требования головной организации
• Требования законодательства
• Сокращение расходов
• Усиление контроля
• Хочется самому CISO
Проекты/инициативы/активности
7www.pointlane.ru
• TCO (Total Cost of Ownership)
• Прямые затраты:
• Стоимость лицензий на программное обеспечение
• Стоимость аппаратного обеспечения
• Стоимость пилотного проекта
• Стоимость внедрения
• Стоимость инфраструктуры (электроэнергия, кондиционирование, каналы, резервирование, мониторинг)
• Стоимость поддержки
• Поддержка вендора
• Поддержка внутренними ресурсами
• Обучение (+командировочные расходы)
• Управление
• Вывод из эксплуатации
Финансовые модели оценки
8www.pointlane.ru
• TCO (Total Cost of Ownership) (продолжение)
• Косвенные затраты:
• Время пользователей на обучение
• Простои в работе пользователей в результате
нежелания обучаться/читать инструкции службы ИБ
• Вывод: общая стоимость владения средством
защиты в 3-5 раз превышает стоимость, которую
транслирует вендор
Финансовые модели оценки
9www.pointlane.ru
• ALE (Annual Loss Expectancy)
Ежегодно ожидаемые потери
ALE = SLE x ARO
SLE=AV x EF
• SLE (Single Loss Expectancy)
• ARO (Annualized Rate of Occurance)
• AV (Asset Value)
• EF (Exposure Factor)
Финансовые модели оценки
10www.pointlane.ru
• Gartner TVO (Total Value of Opportunity)
• ROI\ROSI
• Система сбалансированных показателей
• И т.д.
Финансовые модели оценки
11www.pointlane.ru
• Легко считаются:
• Антиспам
• Identity Management
• Удаленный доступ
• Web-filtering
• Шифрование переносных носителей
• Сложно
• SIEM
• SDLC
• DLP
• ПДн
• Повышение осведомленности (IS Awareness)
Проекты, которые легко обосновать
12www.pointlane.ru
• Потеря ноутбука с персональными данными о 120 000 клиентов (Международный банк):
• Штраф от FSA (Financial Services Authority): 4 200 000 £
• Уведомить каждого клиента
• Письмо каждому клиенту: 4,5 x 120000 = 540 000 £
• Перевыпуск карт (80%): 7 x 96000 = 672 000 £
ИТОГО: 5,4 млн £
Плюс: отток клиентов в течении года, выраженный в снижении темпов роста количества клиентов
Бизнес-кейс:
Международный банк (утеря ноутбука)
13www.pointlane.ru
• Решение по шифрованию жестких дисков
• Лицензии: 40 x 6 000 = 240 000 £
• Пилотный проект: 50 000 £
• Внедрение: 150 000 £
• Поддержка: 180 000 £
ИТОГО: 0,62 млн £
0,62 млн £ и 5,4 млн £
Разница очевидна
Бизнес-кейс:
Международный банк (утеря ноутбука)
14www.pointlane.ru
• Заглянем правде в глаза
• Без поддержки руководства данные методики не
работают
• Основное что надо сделать – сделать так, чтобы
руководство доверяло CISO.
• Для CISO со стажем это не сложно
• А что делать тому, кто только начал работу на
новом месте?
Посмотрим на реальную ситуацию
15www.pointlane.ru
• Стратегия бизнеса
• Стратегия ИТ
• Стратегия ИБ
• У кого уже есть?
• У кого учитывает стратегию бизнеса и ИТ?
Стратегия ИБ
16www.pointlane.ru
• Подкомитет комитета по операционным рискам
• Основная цель: создать инструмент периодического
коллегиального обсуждения ИБ организации
• Как создавать?
• Заручиться поддержкой
• Описать регламент его работы
• Согласовать и внедрить
• Дальше будет уже проще
• Ежемесячное обсуждение и приоритезация задач
• Выработка решений
Комитет по рискам ИБ
17www.pointlane.ru
• Кого включить в комитет
• Представители ключевых бизнес-подразделений
• Юристы
• Внутренний контроль (аудит) / СБ
• IT
• Отдел кадров
• Финансисты
• Что обсуждать
• Отчеты по метрикам
• Текущие задачи
• Вносить инициативы/проекты, рассказывать о новых угрозах
Комитет по рискам ИБ
18www.pointlane.ru
• Регуляторные требования
• Негативный или позитивный опыт других игроков
рынка
• Исследования рынка
• IDC, Gartner, PWC, E&Y
• Громкие утечки и годовые отчеты по ним
• RSA, Verizon
• GroupIB
• Делаем ИБ для клиентов бизнеса
Как сделать переворот в сознании
19www.pointlane.ru
• На примере банка
• Руководство очень внимательно относится к
конфиденциальности информации о размере своей
компенсации
• Сотрудники начинают по другому смотреть на
многие вещи, если они преподносятся через
концепцию «моя информация» и «мои деньги», а не
компании.
Как сделать переворот в сознании
20www.pointlane.ru
• Нацеленность на задачи бизнеса
• Поднятие престижа подразделения в глазах бизнеса
• Максимальная прозрачность
• Метрики, KPI
• Выход за рамки организации
• Повышение осведомленности клиентов
• Проверка обработки ваших данных у контрагентов
(3rd Party Security Reviews)
Стратегия получения доверия
21www.pointlane.ru
• Пилотная DLP & Content filtering
• Достаточно для увольняющихся
• Mobile office
• Пилотный pentest
• Либо для демонстрации текущего уровня защищенности
• Либо в цикле:
• Внедрение быстрых контролей и процедур
• Повторный pentest
• Программа повышения осведомленности
Быстрые победы
22www.pointlane.ru
• Общие проблемы есть у всех
• Кто-то что-то уже сделал!
• Общение и обмен информацией
• Можно начать прямо сейчас
• Главное - начать
В заключении
Спасибо за внимание!
23www.pointlane.ru
Павел Мельников
Москва, ул. Ильинка, д 4
Тел +7 (495) 233-65-08