Безопасность - это полноценная бизнес-функция

Автор: Алисса Миллер, хакер, исследователь и адвокат

В последнее время все больше руководителей компаний и руководителей служб безопасности считают, что безопасность должна «способствовать развитию бизнеса». Данная тенденция свидетельствует об улучшениях в сфере безопасности, осознании руководством истинной роли безопасности и ее ценности для организации. Тем не менее многие руководители не понимают, каким образом безопасность способствует развитию бизнеса. Им сложно сформулировать, что именно в безопасности способствует успеху бизнеса. Такая проблема возникает из-за того, что мы по-прежнему рассматриваем безопасность отдельно от бизнеса, а нам следует рассматривать безопасность как бизнес-функцию.

Когда заходит речь о функциях поддержки бизнеса, таких как финансовые группы, команды по подбору персонала, команды по работе с кредиторской / дебиторской задолженностью, мы можем четко понять какое прямое влияние оказывает каждое из них (или, по крайней мере, должно оказывать) на достижение успеха в бизнесе. В большинстве случаев мы можем сформулировать, как эти бизнес-функции связаны с получением дохода и увеличением чистой прибыли. Однако, в случае безопасности, нам довольно затруднительно сделать то же самое. Часто безопасность рассматривается как технологическая функция, которая находится в нескольких шагах от основного бизнеса и не имеет возможности напрямую повлиять на бизнес. Как отказаться от традиционной точки зрения на безопасность?

Выход за рамки традиционного мышления

Традиционно специалисты по безопасности, доказывая свою ценность для компании, сразу говорили про снижение рисков. Команды безопасности сосредотачиваются на теоретических (хотя, возможно, неизбежных) последствиях взломов, атак и т. д., и затем пытаются обосновать, как ИБ-инициативы и процессы снижают данный риск. Затем предпринимаются попытки сделать количественную оценку, говоря о сокращении затрат, связанных с уменьшением количества реализуемых угроз. Такой подход проблематичен, потому что для тех, кто занимается бизнесом, данные дискуссии не имеют контекста. Концепция довольно шаткая, подобную количественную оценку будет очень трудно защитить перед внимательными руководителями. В результате ИБ-команда не сможет заручиться твердой поддержкой со стороны коллег из высшего руководства (да, я назвала их коллегами, так как они должны ими быть, но это тема для другой статьи).

Относительно недолгое пребывание в должности руководителя стратегии безопасности в подразделении CRA (CRA, Credit Ratings Agency) организации научило меня необходимости связывать все ИБ-процессы с жизнеспособностью бизнеса, доходом и чистой прибылью. Я также много лет говорила о потребностях в безопасности, необходимых для развития бизнеса. Работая над стоимостной мерой рисков (Value at risk, VaR), я исходила из перспективы обоснования затрат на безопасность. Таким образом я мотивировала руководителей тратить деньги на необходимые инструменты и процессы. Во время работы в компании, занимающейся облачной безопасностью, я заметила, как безопасность может способствовать развитию популярной культуры DevSecOps. Теперь, работая в глобальной финансовой компании из списка Fortune 500, я чувствую, что наконец могу объединить свой 16-летний опыт в области кибербезопасности и выбрать верную стратегию.

Думайте как кредитор

Представьте, что вы являетесь директором по информационной безопасности и пытаетесь продемонстрировать потенциальному кредитору, каким образом программа кибербезопасности положительно влияет на кредитоспособность вашей организации. Многим в сфере безопасности данная задача кажется невозможной или даже смехотворной. Взявшись за данную задачу, мы скорее всего снова придем к сокращению затрат за счет снижения рисков. Сколько кредиторов заинтересуются подобным сюжетом? Уверяю вас, очень немногие. Так что спросите себя, как нам продвинуться дальше?

Когда кредитор смотрит на вашу организацию, он хочет знать, с какой вероятностью вы сможете выплатить свои долги. Конечно, предотвращение неожиданных и незапланированных расходов на безопасность играет определенную роль, но в общей схеме подобные случаи имеют очень незначительное влияние. Вместо этого нам необходимо показать широкую картину влияния нашей программы безопасности. Кредиторы хотят знать, куда вы движетесь с точки зрения роста, инвестиций, инноваций, размещения на рынке. То, где вы находитесь сегодня, на самом деле менее актуально, а то, где вы были раньше, вообще почти не имеет значения. Историческая производительность используется лишь для прогнозирования того, как ваша организация будет действовать в свете будущих проблем. Поэтому для убедительной демонстрации широкой картины влияния наших ИБ-программ следует обратиться к данным перспективным концепциям.

В поисках святого грааля

По сути, это «святой Грааль» поддержки бизнеса, о котором так много говорят в последнее время. Чтобы им воспользоваться, руководителям службы безопасности необходимо изменить показатели приоритизации. Следует обратить внимание на менее традиционные приоритеты, которые определяют направление движения организации:

• Гибкость продукта – каким образом программа безопасности создает возможность быстрее выводить на рынок продукты и усовершенствования. Устранение проблем конечно важно, но действительно ли вы определяете частоту развертываний, сокращение незавершенных работ и ключевые показатели эффективности продукта / услуги? Если нет, то вы совершенно не понимаете, что означает «общая ответственность» (основной клиент культуры DevSecOps).
• Инновации - рассмотрите свои стандарты и политики, созданы ли они для обеспечения безопасности и гибкости, позволяющей допускать исключения? Действительно ли они побуждают ваш бизнес искать новые способы достижения той же цели безопасности? Первое утверждение достаточно сложно для многих программ безопасности. Последнее – основная цель, к которой следует стремиться, но очень немногие ИБ-команды имеют ее в виду. Несколько лет назад Netflix представил идею «асфальтированной дороги». Превращение безопасного пути в простой путь к развертыванию поощряет безопасные методы. Но как насчет введения более высокого уровня ответственности? Поощрение бизнес-направления к достижению приемлемого уровня безопасности действительно наилучшим образом соответствует бизнес-целям?
• Жизнеспособность бизнеса- Существует множество быстро закончившихся неудачных историй. Одной из них является пример империи Heck Alphabet. Даже если мы рассчитываем на короткий срок жизни бизнеса, неудача может дорого обойтись. Задумывались ли вы, как программа безопасности может обеспечить большую жизнеспособность на рынке продуктов и услуг вашей организации? Специалисты по безопасности часто принимают во внимание репутационные риски, но также могут устранить и другие риски для жизнеспособности бизнеса. Программы безопасности должны помогать компании улучшить привлечение клиентов. Возможно ли устранить проблемы в процессе адаптации клиентов? Можно ли использовать имеющийся опыт в области безопасности для более эффективной поддержки инициатив клиентов? Наши ИБ-программы также должны учитывать, как мы можем поддержать согласованность бренда. Каждый хотел бы работать в бизнесе, где безопасность является надежным компонентом бренда. Эти ключевые приоритеты должны определять пути развития программы безопасности компании.
• Прибыльность - Конечно, вы сразу подумаете, что данный пункт очевиден. При снижении затрат на ИБ-программу, компания станет более прибыльной. Однако, действительно ли сокращение ИБ-бюджета поможет увеличить чистую прибыль компании? Вместо этого сделайте своим приоритетом повышение рентабельности в бизнес-направлении и обязательно отслеживайте и демонстрируйте данный приоритет. Установление связи между инициативами в области безопасности и сокращением жестких долларовых затрат в бизнес-направлениях обеспечит вам поддержку не только со стороны высшего руководства, но и со стороны самих бизнес-направлений. Ищите соответствие между возможностями инструмента и требованиями бизнеса. Более того, создавайте процессы и проекты безопасности, которые устраняют необходимость в обширных бизнес-процессах.

Руководители службы безопасности должны начать мыслить по-другому. Мы не можем продолжать изолировать себя от бизнеса, а затем проповедовать, как мы собираемся способствовать развитию бизнеса. Нельзя дальше требовать, чтобы безопасность являлась обязанностью каждого, при этом отказываясь от ответственности за повышение эффективности разработки, укрепление деловой практики и стратегические маркетинговые цели. ИБ-команды также должны участвовать в общем деле. Интегрировавшись в бизнес-процессы компании, ИБ-команды вместо необходимого центра затрат станут настоящей функцией бизнеса, используя свои возможности на благо организации.