Презентация по ИБ для руководства компании

© 2020 Cisco and/or its affiliates. All rights reserved.
Презентация
ИБ для
руководства
Алексей Лукацкий
Бизнес-консультант по ИБ

Как мы презентуем руководству результаты своей
работы?
• Визуальное представление наиболее важной информации,
сгруппированной по смыслу на одном интерактивном экране
так, чтобы ее было легко понять
Дашборд
• Документ, визуально представляющий
наиболее важную информацию, сгруппированную по смыслу
так, чтобы ее было легко понять (нет интерактива)
Отчет
• Документ из серии слайдов, в котором лаконично представлен
большой объем данных. Не для выступлений. Этот формат
используется для передачи смысла будущего выступления без
присутствия докладчика
Слайдумент
Единые принципы визуализации

ЛПР не нужны дашборды по ИБ L
• Вы уверены, что руководство
будет постоянно смотреть на
дашборд по ИБ (хорошо, если
раз в месяц)?
• Исключая CISO, для большинства
руководителей ИБ не входит в
Топ3 интересов
• Можно рассчитывать только на
свой виджет в чужом/общем
дашборде (если повезет)

Виджет по ИБ для руководства

Основные типы отчетов
Стратегические
Аналитические
Оперативные
Для топ-менеджмента
Для руководителей
среднего звена
Для исполнителей
Логи IDS, списки уязвимостей,
перечни непропатченных узлов –
это не дашборды и даже не отчеты,
но именно их нередко выдают в
качестве результата
Объем
информации
Масштаб
принимаемых
решений

Пример запросов от руководства
• Много ли просроченных,
невыполненных от подразделений
запросов?
• На защиту/поддержку каких бизнес-
систем уходят силы, время, ресурсы?
• Какие подразделения больше всего
нагружают (хуже защищены) ИБ?
• Каковы трудозатраты на ИБ? Кто из
сотрудников больше всех загружен?

Вы подготовили отчет…
• Что основное?
• Какие тенденции?
• Куда смотреть?
• Что анализировать?
• Какие решения надо
принять?

Удачный пример?
• Рейтинг видимости компании в
Darknet / Deep Web
• Число утекших учетных записей в
публичных утечках и в Darknet /
Deep Web
• Динамика утекания учетных записей
в Darknet / Deep Web
• Число упоминаний компании в
Darknet / Deep Web

Удачный пример?
• Обнаруженные /
заблокированные
угрозы
• Топ сигнатур атак
• Внутренние
источники атак
• Ключевые
наблюдения

Презентация или
отчет нужны для
принятия решений
и ни для чего
больше!

А какая у вас цель (что должен сделать ЛПР)?
• Получить денег на ИБ
• Получить людей для ИБ
• Выбить денег на обучение персонала
• Получить полномочия
• Получить одобрение начальства
• Получить одобрение на действия
• Выдрать айтишников за «саботаж» ИБ
Просто показать
число инцидентов
– это не цель!

Подробный чеклист: анализ целевой аудитории
Какой уровень знаний?
• Она понимает о чем
речь?
• Это первый контакт?
• Необходимы пояснения?
• Какая конкретика
нужна?
Какие интересы?
• Какие KPI у нее сейчас?
• Какими временными
промежутками меряет?
• Насколько ей нужна
техника?
Какая лояльность?
• Отношение к вам?
• Вас будут слушать?
• Нужны доказательства?
• Готовиться к каверзным
вопросам?
Какой формат?
• Удаленка или очно?
• Лично или без вас?
• Интерактив нужен или
печатный отчет?
• Рассылка по почте?
Сколько времени?
• Сколько времени на
подготовку?
• Сколько времени на
представление?
• Когда/как часто будут
использоваться?
Что вам надо от нее?
• Деньги
• Время
• Полномочия
• Внимание
• Обожание

© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Поиск взаимосвязи
между целями
целевой аудитории и
деятельностью по
ИБ – это не магия!
Просто надо
понимать бизнес
своего предприятия

Разница в восприятии топ-менеджмента и аналитика
Специалист по ИБ
• Погружение в детали
• Нежелание
расстаться с
собранными данными
• Данные ради данных
• Что? Где? Когда?
Топ-менеджмент
• Нужна общая
картина
• Данные для принятия
решения
• Что будет? Что
делать?

Структура правильного отчета
3–6 ключевых метрик (KPI)• Обычно мы начинаем
с исходных данных,
разбираем/анализируем
их и делаем выводы
• В отчетах все наоборот
– сначала выводы и KPI,
потом аналитика и,
может быть, исходные
данные (если
понадобятся)
Диаграммы: визуализация рейтингов,
динамики, взаимосвязей, структуры
Исходные данные (табличные),
если действительно нужны

Пример правильной структуры отчета

Пример КПЭ
• Показатели бизнес-ориентированные, но напрямую связанные с ИБ
• Показатели приводят к дополнительным вопросам
• Значения показателей берутся из сводной Pivot-таблицы
• На отдельной вкладке (возможно скрытой) находятся исходные данные по
типам инцидентов, потерям, подразделениям и т.п.

3-6 высоко-
уровневых
ключевых
показателя.
Надо вызвать интерес и
заставить задавать
вопросы
Следуйте
принципам
дизайна!
Одни только цифры и
показатели не
захватывают внимание
руководства
3-6 KPI
отвечают на
вопрос
«ЧТО»!
Готовьтесь отвечать на
вопрос «ПОЧЕМУ?»

Колесо KPI
Кто
спрашивает?
Где данные?
Почему это
важно?
В чем
вопрос?
Мера
Размерность
Детализация
Цель
Будет ли дополнительный анализ?
Сможет ли он предпринять действия?
Сможет ли они принять решения?

Big Ass Numbers, они же КПЭ, они же KPI, они же
«цифры для больших шишек»
• Количество инцидентов
• Суммы хищений
• Время простоя
• Ущерб по контрактам
• Удовлетворенность пользователей/клиентов
• Суммы штрафов
• Число уголовных/административных дел
• Число проверок / предписаний

Риски ИБ – это то,
что может и не
произойти, а если
происходит, то с
вероятностью 50%.
А еще от этого пока
никто не умер.
Страшилки не
работают!

Два подхода к визуализации
От данных
• Выбираем данные – система
подсказывает визуализацию
• Для проверки гипотез
• Система сама подсказывает
лучшую визуализацию
• Требует определенной
квалификации ИБшников и
хорошего знания данных
• Пример: Tableau
От диаграммы
• Отталкиваемся от
визуализации, под которые
подбираем данные
• Прост и легок в
использовании
• Проблематично при большом
объеме и типах данных
• Пример: Google Datastudio
Гибридный вариант – PowerBI или Excel

Пояснение
Мы хотим что-то
объяснить.
Подход «от диаграммы»
Исследование
Мы хотим сформулировать
гипотезы и ответить на
вопросы
Подход «от данных»
Подтверждение
Мы хотим проверить
гипотезу
Подход «от данных»

Инструмент не так важен
• Мой офис
• Excel
• PowerPoint
• Google.Sheets
• PowerBI
• Qlik Sense
• Tableau
• QlikView
• KIbana
• Grafana
• Splunk
• …

Почему стоит начинать с Excel?
• Есть у всех
• Привычен для ЛПР (именно для
них, а не для ИБшников)
• Позволяет делать отчеты и
готовить данные
для слайдументов, а также
дашборды (через срезы/slice)
• Дешев

А почему не «Мой офис»?
Практически
полное
отсутствие
возможностей
по созданию и
настройке
визуализации

Наполнение отчета SOC
Число
инцидентов
Число
просроченных
инцидентов, %
Среднее время
разбора
инцидента, в
часах
Число
аналитиков
SOC
Динамика
Распределение
инцидентов по
типам
инцидентов по
источникам
Трудозатраты
по аналитикам
Ключевые
показатели
Хороший пример структуры отчета для SOC, но что он дает для
ЛПР?

А что сейчас измеряет ваш ЛПР?
Менеджмент компании
1. Затраты на привлечение клиентов
2. Жизненная ценность клиента
3. Целевой показатель продаж
4. Коэффициент операционных расходов
5. Процент чистой прибыли
6. Рентабельность активов
7. Рентабельность капитала
8. И т.д.

Департамент продаж
1. Сравнительный рост продаж
2. План продаж
3. Стоимость привлечения клиента
4. ARPU
5. CLVT
6. Скорость оттока клиентов
7. И т.д.

Финансовый департамент
1. Процент маржи валовой прибыли
2. Процент маржи операционной прибыли
3. Процент маржи чистой прибыли
4. Коэффициент операционных расходов
5. Коэффициент текущей ликвидности
6. Оборотный капитал
7. И т.д.

Какая разница,
сколько у вас
инцидентов ИБ, если
вы можете сократить
OpEx и ФОТ,
перейдя на
аутсорсинг
некоторых функций
ИБ?

Производство
1. Общее объем|число выпущенной продукции
2. Объем|число дефектной|хорошей продукции
3. Объем|число заказов, выпущенных|доставленных в срок
4. Число запланированных|незапланированных остановов
5. Замедление цикла производства
6. Число инцидентов|аварий на производстве
7. Производительность оборудования
8. Доступность оборудования

Электроэнергетика
1. SAIDI (длительность прерываний)
2. SAIFI (число прерываний)
3. Число клиентов, передающих показания со счетчиков
4. Потери электроэнергии при генерации|поставке
5. ASAI|ASUI (доступность|недоступность)
6. CAIFI (число отключенных потребителей)
7. Точность выставления счетов
8. Число сотрудников, прошедших тренинги

Наполнение отчета «Инциденты в АСУ ТП»
Число
инцидентов с
АСУ ТП
Время простоя
от инцидентов
Ущерб по
контрактным
обязательствам
Ключевые
Динамика инцидентов (по
площадкам, по времени…)
Количество инцидентов по
источникам
В качестве ключевых показателей также могут быть указаны число
пострадавших (люди/организации), уровень деградации процесса и т.п.

Водоснабжение (помимо предыдущих KPI)
1. Сумма штрафов за нарушение законодательства
2. Число инцидентов, связанных с утечками ПДн и данных клиентов
3. % организаций, интегрирующих ERM в процессы управления
4. % проектов, завершенных в рамках бюджета
5. % отклонений от расписания проектов
6. Среднее время простоя вакансии
7. Длительность обучения сотрудника в год
Ссылка: https://sfwater.org/modules/showdocument.aspx?documentid=861

Наполнение отчета «Регуляторика»
% выполнения НПА по
КИИ (АСУ ТП)
Число известных
административных и
уголовных дел по КИИ
Ключевые
Динамика штрафов за
несоблюдение (число и
суммы) по КИИ
Динамика
выданных
предписаний
Динамика
административных и
уголовных дел по КИИ
Число проверок
/ запросов
регуляторов
Рекомендации или первоочередные/планируемые шаги по приведению в
соответствие
Отчеты могут содержать живые примеры, мнения и комментарии

Наполнение отчета «КИИ»
Число объектов
КИИ
Число значимых
объектов КИИ
Инвестиции на
защиту одного
ЗОКИИ в
среднем
Ключевые
объектов КИИ по
площадкам
Площадки-лидеры по
категорированию
Препятствия для категорирования
«Отказники» от категорирования
Предложения по экономии
Нехватка
персонала
Уровень реализации
защитных мероприятий

Управление учетными записями администраторов
Среднее число
учеток на
администратора
на
предоставление
доступа
на утверждение
изменений
Ключевые
Число учетных
записей без
пользователя
Число новых
учетных записей
Недополученная
прибыль???
Время «простоя»
пользователя
Затраты на
управление
учетками

Повышение осведомленности пользователей
Число сотрудников,
прошедших тренинг
Средняя стоимость
инцидента
Число инцидентов
Ключевые
Динамика числа
сотрудников,
прошедших
тренинги
Число
сотрудников,
непрошедших
тренинги
Динамика
Динамика потерь
от инцидентов
Обучение персонала с целью снижения числа инцидентов – одна из
задач безопасности, в том числе и информационной
Разумеется, если у ЛПР есть такой KPI

Вам нужны люди? Говорите с HR о людях!
• Помните о чек-листе оценки целевой аудитории для вашего отчета /
презентации
• HR мало интересует инциденты, проверки регуляторов (если это не РКН),
количество CVE или количество проектов, выполненных в срок

Пример отчета для ЛПР

Другой пример отчета для ЛПР
Ключевой
вопрос после
прочтения:
«И что?»

Ключевые показатели эффективности
Частота
измерения Цель 1Q2020 2Q2020 3Q2020 4Q2020 Тренд
Критические инциденты ИБ (Уровень 1) Квартально 0 0 0 Устойчивый
Незакрытых результатов аудита ИБ > старше 30
дней
Квартально 0 0 0 Устойчивый
Утечки данных Квартально 0 0 0 Устойчивый
Незакрытых результатов пентестов > старше 90
дней %
Квартально < 5% 3% 0% Улучшается
Доступность критичных бизнес-приложений Квартально 99.75% 99.985% 100% Улучшается
Пройденных сотрудниками тренингов по ИБ
Раз в
полгода
100% 89.5% Устойчивый
Инвестиции в ИБ (% от IT бюджета) Квартально 5% 3% 3.5% Улучшается
Таблицы тоже можно, но KPI воспринимаются лучше

Перспектива быть
повешенным с утра
чудесным образом
заставляет разум
предельно
сосредоточиться.
Терри Пратчетт

Не бойтесь рисовать
• Отрисовка макета
позволяет «увидеть» то,
как будет выглядеть ваш
отчет/дашборд
• Занимает минут 10-15
• Не надо быть Пикассо или
Верещагиным
• Вы знаете, что такое MVP?

Начните с MVP-версии отчета/презентации
Упрощайте Тестовые данные Время
Если каких-то данных нет, вбейте
тестовые или усредненные
Начните с прототипа. Упрощайте! Ограничьтесь по времени –
начните с простой структуры
данных и 100 строк – потом
расширяйтесь

Приоритет должен быть отдан тому, ЧТО показывать,
а не КАК!
Рейтинг
•Это самый
распространенный
вариант анализа,
который позволяет
сравнивать данные по
принципу
больше/меньше. Число
незакрытых или
просроченных
инцидентов, число
непропатченных ПК,
размер ущерба, число
IoC, обработанные
заявки на доступ и т.п.
•Демонстрировать
данный анализ
позволяют линейчатые
диаграммы и
гистограммы.
Динамика
•Это вид анализа,
который обычно
демонстрируется
графиком или
гистограммой,
показывает тренд,
сезонность, изменение
во времени суток и т.п.
Структура
•Этот вид анализа
показывает часть, долю
целого. Например,
распределение затрат
на ИБ, распределение
инцидентов по типам
или источникам,
соотношение закрытых
и просроченных
инцидентов и т.п.
•Единственным способом
отобразить данный вид
анализа позволяет
круговая диаграмма.
Взаимосвязи
•Это гораздо более
редкий, но все-таки
важный вид анализа,
который помогает
показать наличие или
отсутствие (а иногда и
характер) взаимосвязей
между несколькими
показателями.

Не увлекайтесь украшательством

Правило Паретто при выборе диаграмм
Линия Столбец Круг
Рейтинг
Больше/меньше
Динамика
Время
Структура
Доли
80% всех диаграмм – это всего три типа

Задача: показать динамику
• Хронология инцидента
• Динамика уязвимостей
• Изменение уровня соответствия
стандарту ГОСТ 57580.1 / приказу
21
• Расходы на ИБ

Задача: сравнить категории
• Число сотрудников ИБ по
подразделениям /
площадкам
• Инциденты по
последствиям
• Распределение
инцидентов разного типа
по времени реагирования

Задача: ранжировать / посчитать рейтинги
• Производительность
аналитиков SOC
• Рейтинг эффективности
средств защиты
• Уровень культуры ИБ в
филиалах

Задача: показать доли
• Доли инцидентов разного типа
• Распределение времени
аналитика SOC в течение дня
• Бюджет на ИБ
• Структура службы ИБ
• Структура use case / playbook
• Наиболее уязвимые /
атакуемые филиалы

Задача: показать корреляцию
• Зависимость времени
реагирования на инциденты от
времени суток
• Удаленный доступ на к системе из
разных местоположений

Задача: показать распределение
• Зарплаты в разных отделах службы
ИБ (если они есть)
• Зарплатные запросы/вилки в
разных регионах
• Нарушители по возрастам /
подразделениям / площадкам
• Моделирование угроз
• Распределение инцидентов по
времени реагирования

Задача: показать потоки
• Взаимодействие людей,
приложений, узлов,
подразделений
• Информационные потоки между
узлами
• Выплаты вымогателям на
криптовалютные кошельки

Задача: показать связи
• Взаимодействие людей,
приложений, узлов,
подразделений и площадок
• Выявление центров силы внутри
организации

Гистограмма - рекомендации
• Раскрашивайте правильно
• Не вращайте метки осей
• Не используйте отрицательные значения
на горизонтальной гистограмме
• Не создавайте двусторонние
горизонтальные гистограммы
• Не усекайте – это искажает
1
2
3
4
5

Лайфхак: Excel’ем тоже надо уметь пользоваться

Убедитесь, что ваше
руководство не
имеет
такой
болезни
Каждый 12-й
мужчина страдает
дальтонизмом,
наиболее
распространенной
формой которого
является дальтонизм
красно-зеленого
цвета (дейтеранопия)

Круговая диаграмма - рекомендации
• Контрастные цвета, а не оттенки одного
• Не вырезайте ломтики
• Спецэффекты не нужны
• Легенда не нужна
• 5 ломтиков – не больше
1
2
3
4
5

Лайфхак: Excel’ем тоже надо уметь пользоваться
• Легенда под диаграммой – лишняя
• Шрифты, подписи, точка отсчета – все должно быть использовано для
правильного фокуса внимания

Есть разница?
• Красный цвет сразу бросается в глаза – почему проблема не решена?
• HR не захочет портить себе статистику или привлекать внимание
руководства компании

Финальные штрихи
• Поделите страницу / слайд на 4 или 6 равных блоков
• Сформулируйте заголовки для отчета и блоков
• Выровняйте подзаголовки блоков и диаграмм
• Разместите легенду сверху диаграммы
• Добавьте подписи и уберите шкалу разметки
• Подберите нужный порядок чисел
• Уберите границы диаграмм, заливку, сетку разметки

Еще пример макета: SOC для бизнеса
• Ключевые показатели для
SOC в контексте бизнеса
• Оценка в контексте работы
SOC для организации и для
ее клиентов разных типов
• Оценка удовлетворенности

Вам нужны люди? Думайте о людях
• Ваша цель? Получить людей
• На что обратить внимание
целевой аудитории?
Перегрузка персонала
• Ваша цель? Поднять зарплату
• На что обратить внимание?
Текучка, ФОТ, средняя
зарплата по рынку
• Ваша цель?

Вам нужны люди? Думайте о людях
КПЭ по кадрам
Аналитические данные по кадрам

Вам нужны люди? Думайте о людях, в контексте
целевой аудитории для отчета
• eNPS или Employee Net
Promoter Score
• Абсентеизм - общее
количество потерянных
рабочих дней или часов, то
есть частота отсутствия
сотрудника на рабочем
месте (по уважительной или
неуважительной причине)
Насколько сотрудник захочет порекомендовать работодателя своим друзьям и коллегам.
Вовлеченность не оценивается, но общее положение дел помогает увидеть. За этими
показателями, на самом деле, скрывается многое. Лояльные сотрудники работают лучше. Они
реже увольняются, что приводит к экономии (удержать сотрудника обычно дешевле в 4 раза,
чем найти нового). Они выходят с инициативами по улучшению компании и т.д.

И не забудьте
добавить в
презентацию / отчет
то, что вы просите –
в явной или неявной
форме (как
рекомендацию)

В качестве заключения
• С первого раза проекты по сквозной
аналитике и их визуализации получаются не
всегда
• Аналитика и ее визуализация – это процесс.
Начинается с MVP и улучшайте
• Первый отчет/презентация обычно редко
устраивает ЛПР, но он показывает слабые
места в ваших процессах
• Отчеты перестают приносить пользу, когда
становятся самоцелью

alukatsk@cisco.comСпасибо!

Презентация по ИБ для руководства компании

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Презентация по ИБ для руководства компании

Similar to Презентация по ИБ для руководства компании (20)

More from Aleksey Lukatskiy

More from Aleksey Lukatskiy (9)

Презентация по ИБ для руководства компании