Трансформация службы кибербезопасности в парадигме Next Generation Cybersecurity, Давиденко О.В.

Давиденко Олег Витальевич,
группа CSO-35
Школа IT-Менеджмента
РАНХиГС при Президенте РФ

Тезисы аттестационной работы «Трансформация службы кибербезопасности в парадигме Next Generation Cybersecurity»

Информационные технологии, сформированные на последних достижениях в области вычислительной техники и связи, в наши дни являются неотъемлемой частью повседневных процессов большинства предприятий. Современный мир трансформируется в цифровую среду и бизнес-отрасли во всем мире, извлекают выгоду из дополнительных преимуществ цифровизации.
С возможностями, которые предоставляет эра цифровизации, она же, влечет за собой серьезные риски для организации. В эпоху всеобщей цифровой трансформации, с ростом цифровизации и интеграцией новых цифровых сервисов и технологий предприятия оказываются в совершенно новых сценариях, которые подвергают их риску кибератаки. По мере того, как использование передовых технологий увеличивается, компании и потребители становятся все более уязвимыми для того, чтобы стать жертвами киберпреступлений.
Мы вступили в новую эру киберугроз. Кибератаки становятся все более изощренными, при этом зачастую не требуя фундаментальных и специализированных знаний в предметной области. Если рассматривать экономику киберпреступлений в контексте мировых экономик, киберпреступность была бы третьей по величине экономикой в мире после США и Китая [1].
Постпандемийный мир внес свои корректировки и тренды в организацию бизнес-процессов. Границы и информационные контуры компаний размыты, фактически, так называемого -«информационного периметра» компании более не существует, сотрудники компаний используют слабо защищенные или вовсе не защищенные личные устройства, не доверенные каналы доступа к сети, публичные ресурсы и прочее. Безусловно это увеличивает производительность и повышает гибкость работы удаленных сотрудников, но помимо прочего, вышеупомянутые преимущества влекут за собой дополнительные риски кибербезопасности.
Компании по всему миру теряют сотни миллионов долларов из-за атак программ-вымогателей. Согласно прогнозам, глобальные затраты на ущерб от таких вредоносных программ превысят 265 миллиардов долларов к 2031 году. При этом самый быстрорастущий тип киберпреступности будет атаковать бизнес, потребителя или устройство каждые 2 секунды [2].
Уязвимости нулевого дня по своим последствиям отныне можно сравнивать с цифровой Фукусимой и идеальным штормом для кратного развития киберпреступности [3]. Также как Фукусима выявила значительные проблемы с давними процессами, действующими на заводе, уязвимости нулевого дня подчеркивают то, как организации могут противостоять такого рода уязвимостям, как оперативно они могут их исправлять и отвечать вызовам цифрового мира.
Атаки на цепочки поставок были проблемой безопасности в течение многих лет, но с начала 2020 года сообщество сталкивается с большим количеством более организованных и хорошо подготовленных атак. Возможно, из-за более надежной защиты, которую внедрили организации, злоумышленники успешно сместились в сторону поставщиков. Им удалось оказать значительное влияние с точки зрения простоя систем, денежных потерь и репутационного ущерба. [4]
Все вышеперечисленное – это лишь малая часть того, как киберугрозы в наше время оказывают влияние на бизнес, на его устойчивость и непрерывность, на его репутацию, а также финансовые показатели. Согласно проведенному опросу компании Gartner в части основных источников риска для организаций в 2021 году, риск кибербезопасности считается одним из наиболее приоритетных [5]. Данный факт иллюстрирует заинтересованность к кибербезопасности со стороны совета директоров западных компаний частного сектора, государственных корпораций и правительства [6].
Действительно, у западных коллег отчетливо наблюдается тренд в части изменения отношения к культуре кибербезопасности. Новая реальность подтолкнула руководителей бизнеса к признанию влияния риска кибербезопасности на организации [7]. Цифровая трансформация бизнеса и новые кибернетические системы создают беспрецедентную угрозу безопасности. В ответ многие организации применяют новые подходы к кибербезопасности [8]. Консалтинговые компании отражают в своих исследованиях тренд на развитие в организациях структур кибербезопасности и подталкивают бизнес на принятие новых стратегий для защиты цифрового окружения своих организаций [9]
К сожалению, в отечественном секторе бизнеса, в большинстве своем, развитие такого рода тренда не наблюдается. Российские компании испытывают проблемы с кибербезопасностью. Корень проблемы, из которой произрастают другие, лежит в отсутствии диалога между лицами, принимающими решениями, и руководителями служб кибербезопасности [10], в частности это приводит к недостаточной осведомленности руководителей бизнеса о современных киберрисках. По данным исследования Ernst & Young в российских компаниях зачастую не выстроены коммуникации между советом директоров и отделом информационной безопасности. Около 65% представителей российского бизнеса отмечают, что их совет директоров полностью вовлечен в процессы стратегического планирования и бюджетирования программ ИБ, но лишь 45% опрошенных заявили, что обсуждение ИБ регулярно входит в повестку собраний совета директоров. Не все руководители компаний уделяют должное внимание вопросам рисков, связанных с кибербезопасностью, и не всегда требуют отчетности от команды ИБ. Более того, только в 18% компаний, принявших участие в опросе, глава подразделения ИБ входит в состав совета директоров – в мире этот показатель вдвое выше. Как результат – 64% опрошенных отмечают, что одним из наиболее сложных аспектов процесса управления ИБ является необходимость доказывать правлению потребности в расходах ИБ и эффективность принимаемых мер в управлении ИБ.
Но проблема в отсутствие диалога между стейкхолдерами и лицами ответственными за кибербезопасность является не чем иным как следствием, другими словами это производная от более глубинных проблем, основы которых кроются во внутреннем взаимодействии и отношении к службе кибербезопасности в организации в целом. По обсуждениям на тематических форумах, по кулуарным разговорам профильных экспертов, по исследованиям, проводимыми различными аналитическими компаниями можно попытаться отразить основополагающие проблемы, приводящие в конечном итоге, к недостаточным и неэффективным коммуникациям, или вообще к отсутствиям таковых, между стейкхолдерами и лицами ответственными за кибербезопасность.
Итак, если попытаться составить некий топ-лист причин, приводящих к провалу в выстраивании коммуникаций между службой кибербезопасности и стейкхолдерами компаний (стоит отметить, что под понятием стейхолдер рассматривается, в целом, заинтересованное лицо, т.е. это может быть, как совет директоров или собственники компаний, так и подразделение или даже целая вертикаль, заинтересованные в ИБ-услугах) можно получить следующий список проблем:
· зачастую, совет директоров, руководители компаний, смежные подразделения воспринимают службу кибербезопасности как некий черный ящик;
· зачастую, в контексте организации, кибербезопасность – это центр затрат, покрытый шалью неизвестности, состоящий из сложных технических терминов, а также "нерелевантных" и постоянных ограничений;
· очень часто, руководство и сотрудники компании воспринимают службу кибербезопасности как обособленную структурную единицу, которой чужды такие понятия как: стратегия и цели компании, миссия, культура компании и ее ценности. Кибербезопасность в таких условиях не помогает в достижении общих целей и становится источником распрей среди смежных структур;
· служба кибербезопасности, зачастую, пренебрегает информированием менеджеров компании, а также простых сотрудников в части своей деятельности, в результате страдает открытость для остальных подразделений;
· из вышеуказанного пункта вытекает следующий – отсутствие внутреннего и внешнего пиара. Коллеги просто не понимают, что вы, как организационная единица, даете бизнесу и для чего вы нужны организации;
· консервативность в отношении имплементации новых технологий. Цифровая трансформация интегрирует все больше новых цифровых технологий во все большее количество процессов в организации, однако, со стороны службы кибербезопасности, зачастую звучат лозунги о недопустимости применения тех или иных современных технологий, к примеру, применение облачных технологий;
· неумение со стороны руководителей служб кибербезопасности преподнести информацию на языке бизнеса. Менеджеры по кибербезопасности, в основном, ИТ-специалисты и в силу профессиональной деформации, разговаривают с бизнесом на сложном техническом языке.
Проблемы, описанные выше, в большинстве своем являются основополагающими в причине провала в выстраивании коммуникаций со стейкхолдерами, что, в конечном итоге, приводит к негативному отношению к службе кибербезопасности со стороны бизнеса.
Таким образом, чтобы успешно отвечать вызовам современности, службе кибербезопасности необходимо:
· Быть вовлеченной во множество бизнес-процессов и, в главную очередь, быть бизнес-ориентированной;
· Изменить свое целеполагание и пересмотреть стратегию кибербезопасности, для того, чтобы перестать быть сопротивляющимся звеном к достижению поставленных, компанией, общих целей;
· Постоянно осваивать новые технологии, с точки зрения моделей и ландшафта угроз и их нейтрализации и успевать предвосхищать проблемы, другими словами – быть проактивной и, в первую очередь, понимать бизнес потребности, а не потребности в безопасности. Руководителям по кибербезопасности необходимо быть менеджерами, заточенными на успехи компании, а не ИТ-специалистами.
Описанные в предыдущем параграфе проблемы, не появились в одночасье, они естественным образом эволюционировали и развивались на протяжении долгих лет. Они стали актуальными в результате изменений со стороны самого бизнеса, смены векторов его развития, смены приоритетов и переоценки системы ценностей, изменения бизнес культуры. Другими словами, проблемы службы кибербезопасности возникли, вследствие изменений со стороны бизнеса и его потребностей. Следовательно, службе кибербезопасности, в текущем ее виде и исполнении, необходимы собственные, внутренние изменения, соответствующие ожиданиям современного бизнеса, в противном случае кибербезопасность, как функцию бизнеса, ожидает кончина на обочине истории. А в силу того, что мы уже вступили в новую эру киберугроз, службе кибербезопасности необходимы изменения в парадигме нового поколения. Именно поэтому в качестве темы данной выпускной квалификационной работы, была выбрана тема – «Трансформация службы кибербезопасности в парадигме Next Generation Cybersecurity».
Новые времена требуют перенастройки стратегии обеспечения кибербезопасности. Новые технологии и бизнес-модели, а также высокие темпы их внедрения, несут и новые риски. Но кибербезопасность позволяет сделать высокоскоростные, цифровые изменения безопаснее [11].
Трансформация службы кибербезопасности и акселерация смены векторов ее развития, ориентированные, в первую очередь, на бизнес, позволит интегрировать культуру кибербезопасности соотносящуюся с концепцией и бизнес-целями компании в целом, а не только с концепцией ИТ-подразделения.
В общем итоге, для того чтобы поменять отношение собственников, топ-менеджмента, сотрудников компании к направлению кибербезопасности -– необходимы изменения. Чтобы следовать трендам и отвечать вызовам современного мира – необходимы изменения. Чтобы двигаться в одном направлении и преодолевать совместно с бизнесом препятствия по достижению общих целей и задач – необходимы изменения. Чтобы управлять изменениями и кардинально модифицировать исходную ситуацию в качественно новую, перегруппировать внутренние процессы и функции, изменить и внедрить культуру – нужна трансформация, именно поэтому трансформация службы кибербезопасности является востребованной и актуальной темой.
Объектом исследования в данной выпускной квалификационной работы представляется ООО «ТМХ Инжиниринг» – дочернее R&D предприятие холдинга АО «Трансмашхолдинг». Предметом выпускной квалификационной работы является трансформация структурного подразделения кибербезопасности ООО «ТМХ Инжиниринг».
В качестве инструмента и технологии для проведения трансформации была выбрана методология доктора И.К. Адизеса [12]. Ицхак Кальдерон Адизес – один из ведущих мировых экспертов в области повышения эффективности ведения бизнеса и правительственной деятельности путем внесения кардинальных изменений, которые не порождают неразберихи и деструктивных конфликтов, препятствующих изменениям.
Методология И. Адизеса предлагает цикл из одиннадцати шагов, которые могут привести систему к расцвету. Первый из них – синергетическая организационная диагностика, а последний – разработка и внедрение новой системы вознаграждений.
Руководствуясь методологией И. Адизеса мы, как внутреннее подразделение, как система внутри организации, смогли изменить конечное целеполагание и стратегическое мышление внутри подразделения и ретранслировать это сотрудникам, смежным организационным единицам и топ-менеджменту, что позволило нам интегрировать культуру кибербезопасности и, в конце концов, достичь намеченных целей.
В ходе выполнения выпускной квалификационной работы – «Трансформация службы кибербезопасности в парадигме Next Generation Cybersecurity» было проделано следующее:
1. Определена основополагающая проблема, которая позволила накопить энергию для организации процесса осуществления масштабных и устойчивых изменений. Накопленная энергия неудовлетворения текущей конъюнктурой превысила, энергию сопротивления, что в свою очередь, позволило инициировать процесс трансформации службы кибербезопасности;
2. Описаны подходы к анализу и инструменты управления изменениями. Проведен сводный анализ наиболее популярных методологий по управлению изменениями, выделены преимущества и недостатки каждой методологии. Выбран инструмент для проведения планируемой трансформации службы кибербезопасности;
3. Внедрена программа изменений на основе методологии И. Адизеса, состоящая из одиннадцати последовательных фаз, проходя через которые, мы последовательно охватывали все четыре основополагающих базиса методологии – процессы, видение и ценности, структуру, людей;
4. В первой части программы И. Адизеса – подготовкой к изменению организационной структуры было сделано следующие:
• сформирована диагностическая команда;
• совместно определены все возможные точки потенциальных улучшений; проведен атрибутивный анализ;
• определены причинно-следственные связи;
• разработан первоначальный план действий;
• организована кросс-функциональная команда для выработки хороших решений с высоким уровнем согласия по ним и сокращения времени реализации этих решений;
• сформирована организационная культура взаимного уважения и доверия;
• сформирован орган по управлению изменениями. Налажен и определен процесс по выработке решений и реализации решений;
• определили долгосрочные и краткосрочные цели, клиентов, ценности, миссию и включили их в видение стратегического развития, для дальнейшего распространения среди сотрудников организации.
5. Во второй части программы мы реализовали следующее:
• провели реинжиниринг организационной структуры. Разработали новый организационный дизайн, распределили функционал, роли PAEI и зоны ответственности, внедрили матрицу процессов и полномочий;
• декомпозировали краткосрочные и долгосрочные цели и разработали системы управленческой отчетности – дашборды предназначенные как для стейкхолдеров, так и для смежных подразделений.
• ретранслировали технологии организации команд для совместной выработки решений на нижележащие структуры подразделения по кибербезопасности;
• определили максимальные показатели эффективности за счет организационной «растяжки»;
• смогли внедрить внутреннюю систему вознаграждений обеспечивающую долгосрочную мотивацию сотрудников.
В результате проведенной трансформации подразделения по кибербезопасности, была достигнута цель, которая и послужила первостепенной причиной проведения масштабных и устойчивых изменений – мы стали бизнес-ориентированным подразделением, в условиях новой эры киберугроз. Для нас это означает следующее:
1. Мы изменили свое целеполагание и пересмотрели стратегию кибербезопасности, для того, чтобы перестать быть сопротивляющимся звеном к достижению поставленных, компанией, общих целей. Мы определи наших внутренних и внешних клиентов, которым мы можем закрывать определённые потребности и предлагать различные сервисы. Мы спроецировали миссии и цели компании на наши собственные ценности, миссии и видение развития. Мы информируем менеджеров компании, а также простых сотрудников в части своей деятельности, избавившись от клейма закрытой и обособленной структуры.
2. Мы осваиваем новые технологии с точки зрения моделей угроз и их нейтрализации и успеваем предвосхищать проблемы, другими словами – мы стали проактивными и, в первую очередь, понимаем бизнес потребности, а не потребности в безопасности.
3. Мы смогли объяснить и донести руководству такое понятие как киберриск. В результате в комитете по управлению рисками принимают участие представители подразделения по кибербезопасности.
4. Наши инструменты управленческой отчетности и метрики стали полезны не только нам, смежные подразделения, а также топ-менеджмент, использует наши дашборды для анализа текущих показателей эффективности и результативности процессов управления кибербезопасностью, анализа киберрисков и других показателей.
5. Мы интегрировали культуру кибербезопасности, поверх культуры взаимного уважения и доверия, меняя при этом свою ограничительную и рестриктивную роль, на роль компетентного бизнес-партнера.
Проведенная трансформация позволила нам определить внутренних клиентов внутри компании, выявить их настоящие потребности, идентифицировать, что мы, как подразделение, делаем для реализации этих потребностей, и, наконец, каким образом мы удовлетворяем данные потребности, и для чего мы существуем как организационная единица в контексте предприятия.
Пройдя весь этот путь, мы по праву можем называть себя настоящим бизнес-подразделением, проповедуя и всеми силами преследуя, при этом, нашу Миссию – «Быть проводниками доверия к цифровым технологиям, способными безопасными путями провести свою организацию в новую эру на основе стратегий защиты и создания ценности для бизнеса, выступая при этом, лидерами и драйверами цифровых трансформаций».
Практическая значимость проведенной трансформации, в общем ее виде, позволила сформировать взаимное уважение и доверие как внутри подразделения, так и за его пределами, и интегрировать культуру кибербезопасности в компанию, что в свою очередь перезапустило и возвело на новый уровень отношение к подразделению кибербезопасности, укрепило положение внутри компании, улучшило коммуникации с бизнес-подразделениями в рамках всей организации, переосмыслило и переопределило глобальную роль лиц ответственных за кибербезопасность.
Такие установки благоприятно сказались на роли службы кибербезопасности в организации, на формирование бюджетов в отношении обеспечения кибербезопасности, на совершенствование организационной структуры подразделения, обеспечивающего киберустойчивость и цифровую безопасность организации.