Кто такой методолог ИБ?

О методологах ИБ не часто говорят в перечнях специализаций в ИБ. Вакансий методолога ИБ не так много, как технических специалистов. Но с каждым годом их становится всё больше.
Я сама работаю методологом ИБ – уже во второй компании.

Не путайте с методистом: методист – это человек, который занимается построением образовательных программ.

Чем занимается методолог?

Если коротко, то методолог занимается организацией процессов ИБ. По сути методолог занимается тем, что могло бы ожидаться от CISO в части управления ИБ, но CISO в компании один, а задач у него столько, что нормированный рабочий день ему (ей) только снится. В зарубежных вакансиях такой специалист называется GRC – Governance, Risk and Compliance.
Если вам интересна методология ИБ, я рекомендую почитать учебник по подготовке к ISACA CISM.

Подробный перечень зон ответственности методолога зависит от компании, её размера, особенностей управления, и в него может входить:
🍪 составление организационных ЛНА по ИБ: политика ИБ, положение о конфиденциальности, перечень конфиденциальной информации, положение о коммерческой тайне, документация СУИБ, положение о подразделении ИБ, должностные инструкции сотрудников ИБ
🍪 оформление и поддержание базы знаний ИБ: наведение порядка в хаосе, формирование структуры базы знаний, правил её ведения, редактирование страниц и разделов так, чтобы они были понятны тем, кто их будет читать, включая нетехнических специалистов
🍪 помощь в написании (а часто написание за них) документов техническим специалистам по ИБ, у которых чаще всего требования лежат в голове, а перенести на бумагу очень тяжело
🍪 решение юридических вопросов ИБ (хорошо, если вместе с юристами): как не нарушить закон, обеспечивая ИБ, как кого-то правильно уволить за нарушение ИБ, лицензирование деятельности по ИБ, взаимодействие с регуляторами по ИБ
🍪 соответствие внешним требованиям и стандартам в области ИБ (и смежных вроде непрерывности, требований к хранению данных и т.п.): законодательства, регуляторов, вышестоящих организаций, контрагентов, добровольная сертификация
🍪 аналитика: оценка состояния ИБ по внешнему или внутреннему фреймворку, BIA, внутренние аудиты
🍪 управление рисками ИБ, непрерывности: организация, формирование методик и процессов, интеграция в процессы компании, проведение анализа и оценки, формирование планов обработки рисков, организация обработки рисков, внедрение и поддержание GRC-системы
🍪 соответствие требованиям законодательства о персональных данных: выполнение функций DPO
🍪 сопровождение внешних аудитов: аудиты регуляторов, головной компании, аудиты не по теме ИБ (например, финансовые аудиты, в которых есть вопросы ИБ), сбор и организация хранения артефактов для аудиторов и результатов аудитов, организация работ по исправлению найденных несоответствий
🍪 анализ и улучшение процессов ИБ: поиск пробелов и несвязностей в процессах, изменение и контроль процессов
🍪 организация комплексного подхода к ИБ, где решаются не точечные проблемы, а повышается зрелость по домену ИБ целиком

Кто может работать методологом по ИБ?

Проще всего работать методологом бывшему консультанту по ИБ с широким профилем (например, как я 😊). Это точно не работа, которой можно заниматься сразу после выхода из вуза: нужен широкий кругозор в ИБ, гибкость, умение находить компромиссы, делать MVP. Нужно уметь смотреть на ИБ сверху вниз, с позиции менеджмента и общей картинки, а не конкретных контролей. И нужна большая насмотренность, чтобы понимать, что будет работать в долгосрочной перспективе, а что – мертворожденное и быстро отвалится.

Нужен ли вашей компании методолог?

Всё зависит от факторов:
- количество и сложность внешних требований
- желание компании вырасти из штанов стартапа и жить по процессам
- наличие ФОТ на еще одного ИБшника)

Без роли методолога, если у вас есть функция ИБ, вы точно не обойдетесь, но в небольшой компании скорее всего сотрудник будет совмещать эту роль с какой-то другой ролью в ИБ. Поэтому присмотритесь, возможно в вашей компании уже есть методолог, просто вы его не замечали)

Самое главное в проектировании процессов

При проектировании нового или изменении существующего процесса самое главное - понять, почему люди вообще должны идти по вашему процессу. Задайте себе вопросы:

📐 Этот процесс блокирует какую-то их дальнейшую деятельность?
Например, они не могут получить доступ без вашего одобрения.

📐 Нет ли другого варианта продолжить деятельность?
Например, пролезть в дырку в заборе вместо КПП.

📐 Они заинтересованы в прохождении процесса?
Например, он снимает с них ответственность за что-то.

📐 Есть ли возможность подделать параметры, по которым процесс запускается?
Например, сказать, что ребенку еще нет семи лет, и за него не надо платить в транспорте.

📐 Есть ли наказание за обход процесса? Достаточно ли оно чувствительно для этих людей?
Увольнение, лишение премии? Или просто письмо руководителю, который так же не заинтересован следовать процессу?

Изменения чаще всего мешают людям работать так, как они привыкли, так, как им удобно. Просто написать и утвердить регламент не равно запустить работающий процесс. Именно поэтому появляются бесполезные неработающие регламенты-бумажки, которые подписываются и уходят в стол. Они просто нежизнеспособны.

Не пишите бумажки, пишите работающие документы.

Две рисковых культуры

В реальных компаниях я вижу два типа культуры обращения с рисками. Эти две культуры вырастают из бытового понимания, что такое риск, общекорпоративной культуры и особенностей конкретной компании. Такие вещи вырастают не от хорошей жизни, а скорее от дисбаланса полномочий и ответственности в компании, а также от отсутствия связи KPI работников с рисками и инцидентами.

1️⃣ Принятие риска как главный способ обработки рисков в компании

Обычно происходит в компаниях с дисбалансом ответственности в сторону поддерживающих защищающих бизнес подразделений (юристы, ИБ, СБ,...), где у них мало возможности влиять на принимаемые решения. Бизнес прёт как танк в погоне за своими KPI (с точки зрения защитников), при этом при инцидентах виноватыми оказываются именно защитники, потому что их наняли для того, чтобы инцидентов не было. Поэтому "заставить принять риск" для защитников оказывается единственным способом снять с себя ответственность за происходящее в дальнейшем.


2️⃣ "Закрытие риска" как единственное, что с рисками можно сделать

Следующая стадия того, что описано выше, происходит после того, как защитники набирают вес в компании и наконец могут делать то, что давно хотели. Они проталкивают инициативу, направленную на снижение количества инцидентов, и тем самым частоты событий, когда они виноваты в том, что случился инцидент. Такие инициативы обычно достаточно жесткие, вроде блокирования релизов до устранения малейших технических уязвимостей. Принятие рисков в таких условиях становится редким и требует вовлечения менеджеров более высоких уровней. Диалог с бизнесом у защитников всё ещё не налажен, бизнес не заинтересован в безопасности, так как конкретные исполнители не чувствуют на себе влияние инцидентов, и ни бизнес, ни защитники всё ещё не имеют полноценной оценки рисков.

Такая же ситуация бывает при оторванности команд ИБ от бизнеса из-за корпоративной структуры - например, если ИБ находится в головной или специально выделенной организации, а бизнес - в одной из дочерних.


⏯️ Как исправить ситуацию?

Здесь нет четкого рецепта успеха, так как на него влияют факторы конкретной компании:
- личности топ-менеджеров и их взгляды на управление, желание менять ситуацию
- корпоративная культура в целом
- софт-скиллы менеджеров защитников
- особенности бизнес-модели

Но есть несколько направлений, куда можно двигаться:

⚛️ Обучить защитников основам риск-менеджмента
Здесь главное не попасть на простые и быстрые методики оценки рисков. Суть не в том, чтобы понять, как оценивать риски, а в том, чтобы понять, зачем нужно управлять рисками, какова цель. Цель, как я уже говорила - повысить информированность, обоснованность управленческих решений.

⚛️ Не концентрироваться на конфиденциальности
Нарушение целостности и доступности ближе и понятнее бизнесу, поскольку приводит к большим потерям. Для целостности можно составить карту финансовых потоков в компании и найти места, где что-то может пойти не так. Это - хороший старт для диалога, потому что позволяет встать на одну сторону с бизнесом вместо противоборства.

⚛️ Поговорить с топ-менеджментом о том, какие задачи перед компанией стоят в целом, и какие главные проблемы у бизнеса. Возможно, вопросы безопасности действительно меньшее из зол, что может произойти. В таком случае от защитников может ожидаться только поддержание базовой гигиены, и это нормально.

⚛️ Найти заинтересованных людей от бизнеса и разработки
На них можно обкатывать улучшенные процессы и презентовать результаты взаимодействия. Они помогут создавать новый бренд защитников как помощников бизнеса.

⚛️ Определить зоны ответственности, отталкиваясь от возможностей и влияния. Ответственность должна быть на том, кто выделяет ресурсы. Если он хочет передать часть ответственности, он должен передать и часть возможностей по распределению ресурсов.

⚛️ Выступать
Занимать эфир на собраниях компании, проводить встречи и вебинары для отдельных подразделений, публиковаться на внешних ресурсах от имени компании. Рекламировать свою деятельность, показывая её важность и результативность для бизнеса.