1/25© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008

Управление ИБ как Governance и как Management : небо и земля

Алексей Лукацкий

Бизнес-консультант по безопасности

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 2/25

Дурная репутация

«Дармоеды», «Растратчики», «Мешают заниматься делом», «Что делают непонятно», «Усложняют мою работу»

ИБ – технологическая задача, обеспечивающая целостность, конфиденциальность и доступность

Ни слова про бизнес

Business Prevention Department

ВУЗы не готовят «правильных» специалистов

Специалисты по безопасности не всегда готовы воспринимать новую реальность

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 3/25

“Невозможно решить проблему на том же уровне, на котором она возникла.Нужно стать выше этой проблемы, поднявшись на следующий уровень.”

Альберт Эйнштейн

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 4/25

ComplianceCompliance

Compliance

Compliance

Compliance

Governance

Compliance

Risk Mgmt.

GovernanceRisk Mgmt.

Risk Mgmt.

Governance

Risk Mgmt.

Risk Mgmt.

Risk Mgmt.

Governance

Compliance

Risk Mgmt.

Governance

U.S.

Germany

Japan

U.K.

France

China

Canada

India

SecurityProj.

Mgmt.Doc.

Mgmt. Contracts Planning Customers ERP Production Billing

SOX JSOXCreditRisk

HumanCapital

Risk

RevenueRecognitionFDA

ROHS

WEEE

ProjectRisk

Board of Directors

Finance

Legal

Sales

Contracts

HR

Controller

IT

Policy Mgmt.

Audit & Compliance

Treasury

Data Center

Campus

Branch

Teleworker

GRC – это решение!

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 5/25

“Концепция "governance" не нова. Она также стара, как и человеческая цивилизация. Просто "governance" означает: процесс принятия решения и процесс, при котором решения внедряются (или не внедряются).”

Комиссия по социальным и экономическим вопросам

ООН

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 6/25

Governance (в бизнесе) – действие по разработке и последовательному управлению связанных в единое целое политиками, процессами и правильными решениями в данной области ответственности

. . . связь между бизнесом и управлением ИТ

. . . стратегические ИТ-решения, за которые отвечает корпоративный менеджмент, а не CIO или другие ИТ-менеджеры

. . . ИТ Governance – это подмножество Corporate Governance, фокусирующееся на информационных системах

…подтверждение того, что ИТ-проекты легко управляются и глубоко влияют на достижение бизнес-целей организации

Другие определения IT Governance

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 7/25

ИТ Governance подразумевает систему, в которой все ключевые роли, включая совет директоров и внутренних клиентов, а также связанные области, такие как, например, финансы, делают необходимый вклад в процесс принятия ИТ-решений

…взаимосвязь между ИТ, инициативами соответствия (compliance), управлением рисками и корпоративной бизнес-стратегией

Аббревиатура IT может быть легко заменена на Security (Security Governance)

Другие определения IT Governance

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 8/25

Governance ≠ Management

При едином переводе на русский язык как «управление», это понятия совершенно разного уровня

IT governance поддерживает следующиедисциплины:

Управление ИТ-активами

Управление ИТ-портфолио

Архитектура предприятия

Управление проектами

Управление программами

Управление ИТ-сервисами

Оптимизация бизнес-технологий

Связь с другими ИТ-дисциплинами

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 9/25

Источник: The Information Paradox

IT

Governance

of IT

Business

Governance

of IT

Enterprise

Governance

of IT

Непрерывный процесс…

Ключевые вопросы Governance

Are we

doing

the right

things?

Are we

doing

the right

things?

Are we

doing them

the right

way?

Are we

doing them

the right

way?

Are we

getting

them done

well?

Are we

getting

them done

well?

Are we

getting

the

benefits?

Are we

getting

the

benefits?

Are we

getting

the

benefits?

Are we

doing

the right

things?

Are we

doing

the right

things?

Are we

doing

the right

things?

Мы делаемправильные

вещи?

Are we

doing them

the right

way?

Are we

doing them

the right

way?

Are we

doing them

the right

way?

Мы делаемэто

правильно?

Are we

getting

them done

well?

Are we

getting

them done

well?

Are we

getting

them done

well?

Мыпреуспели

вдостижении?

Are we

getting

the

benefits?

Are we

getting

the

benefits?

Are we

getting

the

benefits?

Are we

getting

the

benefits?

Are we

getting

the

benefits?

Мыполучаемпреиму-щества?

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 10/25

Are we

doing

the rightthings?

Are we

doing

the rightthings?

Are we

doing them

the right

way?

Are we

doing them

the right

way?

Are we

getting

them done

well?

Are we

getting

them done

well?

Are we

getting

thebenefits?

Are we

getting

thebenefits?

Are we

getting

thebenefits?

Are we

doing

the rightthings?

Are we

doing

the rightthings?

Are we

doing

the rightthings?

Мы делаемправильные

вещи?

Are we

doing them

the right

way?

Are we

doing them

the right

way?

Are we

doing them

the right

way?

Мы делаемэто

правильно?

Are we

getting

them done

well?

Are we

getting

them done

well?

Are we

getting

them done

well?

Мыпреуспели

вдостижении?

Are we

getting

thebenefits?

Are we

getting

thebenefits?

Are we

getting

thebenefits?

Are we

getting

thebenefits?

Are we

getting

thebenefits?

Мыполучаемпреиму-щества?

Стратегический вопрос. Инвестиции:

В соответствие с нашим видением?

Соответствуют нашим бизнес-принципам?

Содействуют нашим стратегическим целям?

Обеспечивают оптимальное значение, затраты

и уровень рисков?

Вопрос ценности. Мы имеем:

• Очевидное понимание ожидаемых

преимуществ?

• Релевантные метрики?

• Эффективные преимущества реализации

процесса?

Архитектурный вопрос. Инвестиции:

В соответствие с нашей архитектурой?

Соответствуют нашим архитектурным

принципам?

Содействуют созданию архитектуры?

В соответствие с другими инциативами?

Вопрос реализации. Мы имеем:Эффективный процесс управления изменениями и реализации?Компетентные и доступные технические и бизнес-ресурсы для реализации:

Требуемых возможностей; иОрганизационных изменений, требуемых для

достижения возможностей.

Источник: Fujitsu Consulting

4 вопроса в деталях

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 11/25

Руководство, процесс и структура гарантирующие, что ИТ на предприятии разрешают и поддерживают стратегию и цели предприятия, а также определяющие:

1. какие ключевые решения должны быть приняты;

2. кто отвечает за их принятие;3. как они должны быть приняты; и4. процессы и поддерживающие их

структуры для принятия решений, включающие мониторинг строгого соблюдения процессов и эффективности принятия решений

Stra

tegic

Alignm

ent

Value Delivery

Ris

k M

anagem

ent

Resource Management

Perfo

rmance

Measu

rem

ent

IT IT GovernanceGovernance

DomainsDomains

Stra

tegic

Alignm

ent

Value Delivery

Ris

k M

anagem

ent

Resource Management

Perfo

rmance

Measu

rem

ent

IT IT GovernanceGovernance

Stra

tegic

Alignm

ent

Value Delivery

Ris

k M

anagem

ent

Resource Management

Perfo

rmance

Measu

rem

ent

IT IT GovernanceGovernance

DomainsDomains

Stra

tegic

Alignm

ent

Value Delivery

Ris

k M

anagem

ent

Resource Management

Perfo

rmance

Measu

rem

ent

IT IT GovernanceGovernance

Источник : ITGI

ИТ Governance согласно Val IT

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 12/25

Структура ИБ Governance

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 13/25

CIO

Демократизациятехнологий ведет

к командномупринятиюрешений

CFO/COO

ФункцииVP

Функциидиректора

VPIT

DataTDM

VoiceTDM

CEO

Функциименеджера

Источник: компании с 1,000+ сотрудников, Strategic Oxygen 7/04

Влияние

Влияние

Влияние

Аналитики

СМИ

Консультанты

Партнеры

Аналитики

СМИ

Консультанты

Партнеры

Чем выше, тем больше влияния

Нельзя забывать про «серых кардиналов»

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 14/25

Важность высокого полета

Понижение в уровне приводит к невозможности эффективного решения многих задач

Прямой контакт сотрудника на нижних уровнях иерархии с топ-менеджментом возможен, но это будет неэффективно во множестве случаев

Управление рисками, юридические вопросы и BCP

Борьбы с инсайдерами должна вестись и на самом верхнем уровне компании

Из 80% внутренних атак только малая часть наносит большой ущерб и часто это связано с руководством высокого уровня

Это требует, чтобы CISO находился на том же уровне, что и топ-менеджмент

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 15/25

Формально выделенной ИБ нет

Ответственность за ИБ ложится на специалистов в отдельных ИТ-направлениях

ИБ = IT Security

CIO

Network Systems App. Dev.

System Adm,

Sys Prog, Acct

Mgmt

Firewall,

Router, IPS

Admin

Application

Programmer,

Developer

Техническая структура – «классика»

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 16/25

CIO

Network Systems App Dev

Firewall,

Router, IPS

Admin

System

Admin, Sys

Prog

Application

Programmer,

Developer

ISO

Acct Mgmt,

IT Policy,

Awareness

Давление со стороныCIO для снижения

издержек

Давление со стороны ISO по

части Compliance

Сетевые TDM

Координатор ИБ

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 17/25

CIO

Network Systems App Dev

Governance,

Risk Mgmt,

Corp Policy

Security Council

ISO

App

Programmer,

Developer

Firewall,

Router, IPS

Admin

System

Admin, Sys

Prog

Советник руководителя

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 18/25

ИБ - стратегический бизнес-партнер

CIO

Operational

Directors

Acct Mgt, IT

Policy, Проекты

Security Council

ISO (Bus.

Unit)

Техническая

ИБ

CFO, COO, CxO

CISO

Governance,

Risk Mgmt,

Corp Policy

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 19/25

Почему не под CIO?

Широкий спектр не ИТ-задач

Безопасность информации в бумажном представлении

Взаимодействие с HR

Взаимодействие с юристами

Взаимодействие с правоохранительными органами

Такой спектр задач выходит за рамки деятельности CIO

Частое и необходимое общение с другими топ-менеджерами

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 20/25

Почему не под CIO?

Нельзя быть зависимым от CIO или CFO и оставаться эффективным

Не из-за желания стать выше, а из-за природы безопасности, как функции контроля, которая должна быть независимой от контролируемых

Службы внутреннего контроля (внутреннего аудита) контролируются непосредственно советом директоров

В крупных компаниях (с глубокой информационной зависимостью) CISO должен быть на уровне CFOили главного юриста (CLO)

Но в умах топ-менеджмента он может находится на ступеньку-две ниже

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 21/25

0% 5% 10% 15% 20% 25%

CIO/CTO or Top IS excutive

IS/IT Director

CSO/CISO or top secuirty executive

Director of Security

Other IS/IT manager

Other security manager

Other non-IT officer or asst. officer

Chairman or CEO

CFO or VP Finance/Admn

President

COO

18%

14%

8%

8%

7%

4%

15%

9%

7%

6%

5%

Q3. Кому вы подчиняетесь?

Security/IT Mgmt

59%

Executive Mgmt

41%

Как во всем мире?

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 22/25

Новый взгляд на безопасность

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 23/25

Вопросы?

Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.comили по телефону: +7 495 961-1410

Презентация выложена на сайте http://lukatsky.blogspot.com/

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 24/25