В любой организации ключевым условием построения эффективной стратегии безопасности являются отлаженные взаимоотношения между директором службы безопасности и генеральным директором.
Главный редактор журнала Network World Джон Галант попросил Лори Боуэн, генерального директора компании BT Radianz, и Ллойда Хейшена, директора по безопасности в BT Radianz, ответить на вопросы и прояснить, как эти задачи решаются в организации, оказывающей услуги связи представителям финансовой отрасли.
Мне хотелось бы проанализировать ваши рабочие отношения и взаимодействие при определении рисков, с которыми приходится сталкиваться компании, а также при управлении этими рисками. Давайте сначала поговорим о том, чего вы ждете друг от друга.
Боуэн: Клиенты хотят получить от нас высокую производительность, устойчивость и безопасность. Ллойд и его команда должны разработать и воплотить в жизнь эффективную стратегию управления рисками, в противном случае наша способность оправдать ожидания клиентов окажется под вопросом.
Хейшен: Я очень рад тому, что обеспечению безопасности в BT Radianz уделяется серьезное внимание. Высокий уровень безопасности является одним из основных показателей ценности наших предложений клиентам. Все в организации понимают важность соответствующих вопросов, и это заметно облегчает мне мой труд.
В конечном итоге бизнес-решения принимаются исходя из соотношения между факторами риска и усилиями, направленными на их снижение. Команда управленцев должна найти оптимальное сочетание этих параметров. Участие моих подчиненных в этом процессе разбивается на два этапа. Первый является аналитическим: выявление факторов риска, их количественная оценка и предоставление соответствующей информации руководству. На втором этапе в бизнес-подразделениях проводятся необходимые мероприятия по снижению вероятности рисков и распределению ответственности. Если затраты на снижение рисков являются экономически необоснованными, соответствующие факторы игнорируются. При подобном прагматическом подходе критически важное значение имеет соблюдение ограничений, связанных с выделением времени и ресурсов.
Чтобы успешно выполнять обязанности директора по безопасности, не обязательно осуществлять прямой контроль; гораздо важнее обладать необходимым влиянием. Директор по безопасности должен занимать заметное положение в организации и иметь полную поддержку генерального директора. К моему удовлетворению, у меня есть и то и другое.
А как протекал процесс формирования отношений между генеральным директором и директором по безопасности в BT Radianz? Как вам удалось повысить эффективность функционирования компании и укрепить ее безопасность?
Хейшен: Я занял пост директора по безопасности в BT Radianz вскоре после основания компании в июне 2000 года. За прошедшие шесть лет наш бизнес заметно вырос. Среднегодовые темпы роста превышали 60%. Все это время мы совершенствовали свою организационную структуру и приспосабливали ее к поставленным целям. Мои отношения с генеральным директором тоже развивались по мере вступления бизнеса в стадию зрелости.
Вначале основные усилия были направлены на управление рисками, связанными с безопасностью, на повышение ответственности при соблюдении своих договорных обязательств и выполнение соглашений об уровне сервиса. Генеральный директор хотел убедиться в том, что мы в состоянии управлять рисками в условиях ужесточения требований, предъявляемых нашими клиентами. Основные контракты контролировались советом директоров — соответствующее внимание уделялось и рискам. Со временем мы разработали формальные процедуры на основе учета рисков и методологии поквартального анализа результатов своей деятельности. Бизнес рос, в компании был сформирован пакет продуктов и услуг, и основной упор в наших отношениях с генеральным директором сместился в сторону изыскания возможностей для дальнейшего развития предприятия. Темы наших бесед были связаны в основном с оптимизацией управления рисками и обеспечением безопасности в целях более полного удовлетворения потребностей клиентов, а также с поиском новых предложений, которые помогли бы клиентам эффективнее решать стоящие перед ними задачи.
По мере роста наших сетей увеличиваются и масштабы систем безопасности, растут и расходы на них. Операции ведутся более чем в 40 странах, развернуто около 40 тыс. маршрутизаторов — обслуживание таких масштабных комплексов действительно превратилось в очень серьезную задачу. В 2000 году мы интегрировали у себя систему обнаружения вторжения (сегодня она называется системой защиты от вторжения — одно из самых крупных в мире внедрений системы ISS Guard. Когда управлять сложной и дорогостоящей системой стало трудно, я обратил внимание на весьма эффективное с точки зрения затрат и относительно прозрачное решение ConSentry, предназначенное для обеспечения безопасности локальных сетей с высоким уровнем рисков.
Как вы излагаете друг другу свое понимание ситуации и как проходит обсуждение вопросов безопасности с коллегами из других организаций?
Боуэн: Сеть BT Radianz ежедневно обеспечивает проведение операций стоимостью в триллионы долларов. При обсуждении вопросов безопасности с клиентами обычно затрагивается тема надежности нашей инфраструктуры. Диалоги эти очень быстро приобрели техническую направленность. Клиенты хотят получить более полную информацию об архитектуре и особенностях построения наших сетей, которым отводится роль ключевого компонента в деле усиления конкурентоспособности компании.
Хейшен: Есть три способа заявить о себе. Во-первых, нужно прислушиваться к требованиям клиентов в отношении безопасности и постоянно укреплять ее, осуществлять поставки продуктов и услуг, отвечающих представлениям клиентов о безопасности. Для этого нужно проводить рабочие встречи и круглые столы, участвовать в форумах финансовых служб, посвященных вопросам безопасности и снижения рисков. Во-вторых, необходимо быть в курсе всех событий и рисков, таящих в себе угрозу для клиентов, предпринимать эффективные меры для защиты собственных интересов и интересов обслуживаемых нами пользователей, чтобы не превратиться в слабое звено в цепочке системы внешней безопасности клиентов. Это осуществляется благодаря поддержанию связей с правоохранительными органами, разведывательными службами и службами безопасности (в частности, с FS/ISAC и Forum of Incident Response and Security Teams), а также укреплению взаимоотношений с подразделениями безопасности наших стратегических партнеров (таких, как Cisco). И, наконец, в-третьих, мы поддерживаем взаимодействие со службами безопасности наших клиентов. В случае угрозы (например, распространения червя типа SQL Slammer) наши команды могут скоординировать свои действия, чтобы минимизировать вероятность возникновения рисков и иметь возможность управлять потенциально опасной ситуацией.
Получив по своим каналам информацию об угрозах, я должен известить об этом руководство; время от времени я сообщаю генеральному директору, какова ситуация с безопасностью наших ведущих клиентов.
Компании приходится сталкиваться с множеством угроз, начиная с катастроф и заканчивая выявлением случаев кражи и регистрацией атак на инфраструктуру и приложения, имеющие для нее критически важное значение. Как вы справляетесь со всем этим и какие приоритеты назначаются рискам?
Боуэн: Будучи поставщиком критически важной инфраструктуры для финансовых служб, мы очень внимательно следим за событиями, которые таят в себе угрозу для нас и наших клиентов. В договорах прописаны штрафные санкции за несоблюдение соглашений об уровне сервиса. Именно санкции являются четкими критериями, на основе которых строится процедура оценки рисков и определяются приоритеты мероприятий по снижению вероятности их возникновения. К тому же, если пострадает наша репутация — а мы являемся одним из ведущих поставщиков сетевых услуг, — то это приведет к ухудшению наших финансовых показателей и уменьшению прибыли. Поэтому представители высшего руководства BT Radianz регулярно собираются для обсуждения потенциальных рисков и определения приоритетов проектов, направленных на их снижение.
Как после проведения оценки рисков организуется совместная работа по выделению людских ресурсов и финансированию мероприятий, призванных защитить компанию?
Боуэн: У нас определен годовой бюджет и цикл планирования.
Однако мы можем варьировать параметры бюджета, для того чтобы приспособиться к меняющимся условиям ведения бизнеса.
Хейшен: Поскольку ответственность за безопасность несет каждый сотрудник BT Radianz, кадровые и финансовые вопросы решаются не на уровне всего предприятия, а в рамках отдельных бизнес-подразделений и технологических групп. Задача заключается в том, чтобы поддерживать контакты с руководителями бизнес-подразделений и помогать им правильно определять потребность в ресурсах, необходимых для эффективного управления рисками. Генеральному директору отводится чрезвычайно важная роль в поддержании нужного баланса между усилиями, направленными на решение приоритетных задач, в том числе и на создание средств управления рисками, и на достижение других целей, стоящих перед группой и бизнесом в целом.
Что вы делаете для формирования правильного отношения к вопросам безопасности внутри компании, для того чтобы каждый менеджер и каждый сотрудник понимали, насколько важно соблюдать меры безопасности, выполнять действия, направленные на снижение рисков, и четко придерживаться принятых в организации политик и правил.?
Боуэн: Поскольку у нас работают высококвалифицированные специалисты, мы стремимся укреплять отношения внутри компании и направляем деятельность сотрудников таким образом, чтобы она отвечала целям, поставленным перед бизнесом. Продвигая наши собственные политики, решая важные вопросы безопасности клиентов, мы подчеркиваем значимость доверия, оказываемого нам нашими клиентами. Лично я регулярно поднимаю тему безопасности и то же самое можно сказать об остальных членах нашей управляющей команды.
Хейшен: Много внимания мы уделяем профилактическим мероприятиям и разъяснению сотрудникам особенностей функционирования системы безопасности BT Radianz. Мы рассылаем внутренние бюллетени с описанием уязвимых мест, о существовании которых наши сотрудники, возможно, уже знают из каких-то других внутренних или внешних источников, поясняем, какое отношение они имеют к нашей среде, и даем рекомендации по снижению их негативного влияния. Вместе со своими коллегами мы отвечаем на типичные вопросы, касающиеся безопасности, для того чтобы сотрудники, занимающиеся обслуживанием клиентов или выполнением повседневных операций, в свою очередь могли компетентно ответить на вопросы клиентов.
Как добиться того, чтобы результаты оценки рисков соответствовали текущему положению дел на рынке и меняющемуся характеру угроз?
Хейшен: Средства массовой информации зачастую излишне раздувают риски, связанные с безопасностью. Для принятия правильного решения очень важно тщательно проанализировать, насколько реалистичными могут оказаться события, описываемые в сценариях. Ценную информацию можно почерпнуть в службах управления угрозами, например, в службе Symantec Deepsight. Часто при принятии решений обсуждаются сроки проведения модернизации, в то время как речь следует вести о том, нужна ли эта модернизация вообще. К примеру, зачем нам сегодня обновлять операционную систему IOS маршрутизатора, если через месяц запланирован переход на версию, в которой нет уязвимых мест? Может быть, с принятием решения стоит недельку подождать? Очень часто специалисты по безопасности не очень четко себе представляют с какими рисками им придется столкнуться при оперативном внесении изменений в производственную среду. Без адекватного планирования и тестирования такие риски могут оказаться выше, чем те, которые предполагается уменьшить с помощью проводимых преобразований.
Каким вы привлекаете к обсуждению этих вопросов руководителей других бизнес-подразделений?
Боуэн: Я полагаюсь на взаимодействие с руководителями департаментов высшего звена. Вопросы безопасности поднимаются в ходе наших рабочих совещаний. В BT Radianz создана среда, помогающая нам избежать ловушек, связанных с несогласованными действиями представителей различных подразделений.
Хейшен: У меня установились равноправные отношения с руководителями департаментов и бизнес-подразделений, с директором информационной службы и директором по операциям. Мы все чувствуем себя единой командой, возглавляемой генеральным директором. Определяя стратегию ведения бизнеса, мы обсуждаем связанные с этим риски. Члены управляющей команды владеют ситуацией и поддерживают взаимодействие со своими коллегами. Методология Risk Register позволяет добиться того, что люди хорошо осведомлены о факторах риска и готовы устранить их в оговоренные сроки и по заранее разработанному плану.
Существует ли у вас практика совместного обсуждения и принятия технологических решений по управлению рисками и укреплению безопасности или же выбор остается за директором по безопасности и его коллегами из ИТ-службы?
Боуэн: Требования к безопасности обсуждаются в рамках определения общей стратегии ведения бизнеса, и руководство заинтересовано в том, чтобы эти вопросы решались как можно более эффективно. Но при принятии окончательного решения мы, конечно, полагаемся на мнение специалистов.
Какие вопросы, связанные с безопасностью, беспокоят вас сильнее всего как генерального директора и директора по безопасности? Что мешает вам спокойно спать по ночам?
Боуэн: В последнее время я часто слышу, что в киберпространство пришла организованная преступность. Появление хорошо финансируемого целеустремленного противника представляет серьезную угрозу для финансовых служб, являющихся нашими клиентами, а, следовательно, и для нас самих.
Хейшен: Что мне мешает спать по ночам? Я сплю как младенец. То есть просыпаюсь через каждые два часа с криками и в холодном поту. Фундаментальную проблему, определяющую сегодняшний уровень безопасности, можно выразить в двух словах: характер обвинения. Подпадающая под разные юрисдикции, транснациональная природа компьютерных преступлений привела к тому, что приговор суда зачастую не соответствует степени причиненного ущерба. До тех пор пока мы — глобальное сообщество законопослушных граждан — не лишим киберпреступников финансового вознаграждения, эти вопросы все дальше будут уходить из-под нашего контроля. Раздутый кибертерроризм уводит нас по ложному следу, отвлекает силы и ресурсы от реальной угрозы, которая исходит от компьютерных преступлений.
Что же препятствует установлению эффективных рабочих взаимоотношений?
Боуэн: Если директор по безопасности не в состоянии установить контроль за расходами, расставить приоритеты исходя из стоимости соответствующих средств и найти необходимые компромиссы, рабочие отношения будут страдать. Как генеральному директору мне хотелось бы, чтобы мой директор по безопасности в первую очередь хорошо понимал задачи нашего бизнеса и знал, насколько важна для него безопасность.
Хейшен: На уровне директора по безопасности моя роль на 90% связана с решением вопросов бизнеса, и на 10% — непосредственно с безопасностью. Нельзя забывать, что успех ведения бизнеса зависит от правильного определения того, где именно капитал подвергается риску. Цель бизнеса заключается в том, чтобы зарабатывать деньги. Если вы тратите слишком много или устанавливаете слишком много ограничений, безопасность у вас будет на высоте, но бизнес прекратит свое существование.
John Gallant. Examining the CSO-CEO relationship. Network World, 08/14/06