Смена CISO без потери контроля: 7 шагов для CEO, чтобы не умножать киберриски

Можно возразить: у действительно квалифицированного CISO архитектура безопасности может работать годами, и сам факт ухода ИБ-руководителя не сказывается на киберустойчивости предприятия в моменте. Но не будем забывать: бизнес, как и живой организм, постоянно изменяется, чтобы лучше соответствовать окружающей среде. Появляются новые бизнес-процессы, регуляторы выкатывают новые требования, меняется ИТ-ландшафт. Злоумышленники не берут паузу из уважения к кадровым процессам. Малейшее ослабление контроля за меняющимися условиями со стороны организации превращает переходный период в окно возможностей для хакеров. А значит, увеличивает риск простоя, утечек и финансовых потерь. Задача CEO в этот момент - не допустить даже кратковременной потери управляемости.

Ниже — семь шагов, которые позволяют пройти смену CISO без потери контроля.

Смена руководителя — не повод оставлять ИБ на самотёк. На переходный период функции нужен конкретный владелец. Им может быть менеджер или внешний партнер. Как выбрать временного владельца? Лучше принимать во внимание как минимум два критерия.

Во-первых, он должен уметь управлять процессом, а не только давать советы. Под этим мы подразумеваем право требовать действий от ИТ и подрядчиков и эскалировать вопросы до CEO. Во-вторых, он должен быть способен действовать быстро: понимать вашу IT-инфраструктуру и людей настолько, чтобы не тратить на «вкатывание» долгие недели.

Кто из действующих менеджеров сможет наилучшим образом подхватить ИБ-функцию? Если направление кибербеза находилось в ведении ИТ-директора, то логично передать полномочия именно CIO. Если ИБ структурирована как отдельный департамент, тогда лучше назначить ВРИО заместителя CISO. Но здесь есть неочевидный кадровый риск. Зам может принять назначение как должное, не согласиться с дальнейшим понижением после прихода нового директора по информационной безопасности и уволиться, как только поймет, что оставлять его на посту главного по кибербезу никто не собирается. Чтобы не допустить новой кадровой проблемы, мы рекомендуем внешнего vCISO, то есть ИБ-директора на аутсорсе.

Возможная ошибка: назначить ВРИО CISO без полномочий. В переходный период роль советника почти бесполезна. Если человек не может требовать действий от ИТ и подрядчиков, толку от самой роли ВРИО никакого.

Вам как генеральному директору не нужно понимать технологический статус ИБ-функции в компании. Нужна управленческая картина: что может остановить бизнес и сколько это стоит.

Даже если вы полностью доверяете покидающему компанию CISO, лучше попросить его эту картину нарисовать. Цель — не уличить в плохой работе, а скорее понять некий уровень: а) ниже которого ИБ-функции ни при каких условиях не следует опускаться; б) откуда начать дальнейшее развитие ИБ, когда будет найден руководитель направления.

Попросите уходящего CISO (или его команду) собрать на одном листе:

• 5–10 главных рисков: сценарий > ущерб > статус > что делаем для исправления прямо сейчас.
• список критичных систем (то, что нельзя останавливать).
• актуальные зоны риска и открытые обязательства с точки зрения ИБ - например, перед контрагентами.

Возможная ошибка: пытаться собрать идеальную картину и утонуть в деталях. CEO нужен список 5–10 сценариев, которые могут остановить бизнес и требуют решений уже сейчас.

Если есть конкретный участок ИБ, где в ходе смены CISO актуализируются риски, так это доступы. «Вечные» учётки, доступы подрядчиков, исключения «для проверенных внешних экспертов» и другие артефакты могут оставаться безопасными до момента, пока за эту безопасность отвечает конкретный руководитель. Но если CISO уходит на не совсем позитивной ноте, доступы могут стать средством для сведения счетов — подобный кейс мы разбирали в нашем блоге.

Минимум, который CEO может потребовать у ИБ-руководителя:

• предоставить список всех привилегированных доступов и владельцев,
• сформировать перечень внешних доступов, предоставленных подрядчикам,
• правило: критичные доступы не должны быть «ничьими».
• отсюда – очистка от лишних прав: ненужные, непонятные, или доступы без владельца просто удаляются.

Возможная ошибка: начать с внедрения новых инструментов (например, по управлению доступами), вместо того чтобы забрать лишние ключи. В переходный период самый быстрый рост безопасности почти всегда дает изъятие «лишних» прав доступа.

Еще один пункт, в котором CEO должен быть уверен в рамках переходного периода, - восстановление критически важной информации (в том числе персональных данных) и систем из резервных копий. Здесь, как и с доступами, имеет смысл самому заглянуть «под капот». Иначе не понять, как обстоят дела на самом деле. Хорошая новость в том, что такая беглая инспекция не потребует от генерального директора квалификации CISO.

Поручите ИТ/ИБ-ведомству контрольное восстановление 1-3 систем в отдельной безопасной среде. И попросите предоставить вам отчет, где будут зафиксированы три параметра:

• сколько времени заняло восстановление;
• насколько качественно прошло восстановление: всё ли работает? Тут поможет сравнение с версией на проде;
• что помешало: доступы, пароли, ошибки, «битый» бэкап.

Это чисто техническое упражнение, как ни странно, часто дает большой управленческий эффект. Вы получаете примерные сроки и стоимость восстановления. В дальнейшем вам будет проще принимать решения об инвестициях в ИБ, так как теперь в буквальном смысле знаете цену каждого часа простоя критичных бизнес-функций организации.

Возможная ошибка: считать сообщение о завершении создания бэкапа доказательством готовности к инциденту. Для бизнеса важно, сможете ли вы реально восстановиться в нужные сроки. Это проверяется только опытным путем.

Одна из причин провалов — размытая ответственность ИБ и ИТ. CISO отвечает за риск, но изменения реализует ИТ. Если границы не определены, заботы о безопасности превращаются в спор.

На уровне CEO имеет смысл директивно зафиксировать:

• кто решает, принимает ли организация на себя конкретный риск,
• кто обязан устранять критичные проблемы и в какие сроки,
• как происходит эскалация, если ИТ не успевает реагировать или не считает нужным.

Возможная ошибка: оставить риск бесхозным и для ИБ, и для ИТ. Когда непонятно, кто принимает риск и кто обязан устранять критичные проблемы, безопасность превращается в бесконечный спор, где до дела так и не доходит.

В переходный период бизнесу нужен конкретный план. И лучше, когда он выглядит как короткий совместный документ, а не дорожная карта светлого будущего корпоративной ИБ. Инициатором мандата должен быть CEO. Он задает ожидания и границы, а новый CISO превращает их в план работ и перечень требуемых ресурсов.

Как может выглядеть мандат (1–2 страницы):

• цель переходного периода (1 абзац);
• список того, что ни при каком раскладе не должно провисать. Например, контроли доступов, протоколы восстановления после инцидентов и т.д.;
• результаты 30/60/90 дней (по 3 результата на каждый горизонт планирования);
• полномочия и границы ответственности между CISO, CIO и CEO;
• ресурсы и точки контроля.

Возможная ошибка: ждать от нового CISO стратегию минимум на год в первые недели. Правильный старт - короткий мандат на 30/60/90 с измеримыми результатами; стратегия появится позже на базе первых результатов по повышению практической безопасности.

Смена CISO с точки зрения генерального директора - момент тестирования объективной ИБ-реальности. Это перспективная возможность оценить, насколько правильно сформирован ИБ-инвентарь, и правильно ли им управляют.

И опять-таки хорошая новость. Гендиру не нужно быть CISO. На его уровне достаточно решить:

• что лучше делать руками своего ИБ-отдела (управление рисками, ключевые решения, ответственность);
• что разумно отдать вовне (мониторинг/реагирование/часть экспертизы);
• какие 2–3 инвестиции дадут максимум снижения риска в ближайшие 6 месяцев.

Результатом этого упражнения появится план по людям, подрядчикам и бюджету, привязанный к риску. Преимущество такого плана в том, что вы как CEO принимали в его создании непосредственное участие, и вам не нужно будет долго объяснять, зачем нужна та или иная инвестиция.

Возможная ошибка: слишком надеяться на внешнюю экспертизу и «закупать безопасность» вместо того, чтобы обеспечить ее внедрение руками грамотной команды на стороне организации. Инструменты без людей и бизнес-процессов быстро превращаются в дорогой фон. Сам по себе он не придаст предприятию киберустойчивости.

В эпоху киберугроз и постоянных атак информационная безопасность — это непрерывный процесс, как финансовое администрирование или управление качеством. Он работает только тогда, когда не прерывается. Смена CISO — момент, когда процесс легко проседает, а бизнес получает лишние риски буквально на ровном месте.

По нашему опыту консультирования, эти шаги помогают пройти переходный период без потери контроля: сохранить управляемость, быстро увидеть дорогие пробелы и в рамках стратегического планирования перейти к их последовательному устранению силами квалифицированных специалистов ИБ-команды.