SlideShare a Scribd company logo

Психология внедрения нового. Правила общения с руководителями бизнеса при внедрении новых проектов по обеспечению ИБ

Download as PPTX, PDF
DLP-Эксперт
DLP-Эксперт

Практические рекомендации для CISO Павел Мельников, Pointlane

1 of 23
Психология внедрения нового. Правила общения с руководителями бизнеса при внедрении новых проектов по обеспечению ИБ Круглый стол «Эффективное управление информационной безопасностью» 22 августа 2013 Практические рекомендации для CISO Павел Мельников, Pointlane
2www.pointlane.ru • Этапы принятия нового • Методики обоснования затрат • Основные правила обоснования затрат • Типы руководителей и особенности работы с ними • Разбор бизнес-кейсов О чем будем говорить
3www.pointlane.ru • 16 лет в информационной безопасности • Более 7 лет в банках (Альфа-банк, Societe Generale, HSBC, JP Morgan) • Создал службу ИБ «с нуля» • Директор по развитию Pointlane • CISSP, CISA Обо мне
4www.pointlane.ru • Неприятие • Отрицание и агрессия (не слушают и отмахиваются) • Торг • Отстаивание собственных интересов (ну тогда вы нам…) • Апатия • Безразличие или вялый интерес (делайте что угодно) • Принятие • Где же ты раньше был (у всех уже есть DLP, а мы только пилотный проект сделали???) Этапы внедрения нового
5www.pointlane.ru • Неприятие • Дать максимум информации и выждать • Торг • Есть пожелания? Отлично! Удовлетворяем! • Апатия • Самый главный момент для максимально активных действий • Принятие • Иметь все необходимое для обоснования своей позиции Этапы внедрения нового: что делать?
6www.pointlane.ru • Необходимость продиктована требованиями регуляторов в конкретной отрасли • Замечания внутреннего аудита/контроля • Требования головной организации • Требования законодательства • Сокращение расходов • Усиление контроля • Хочется самому CISO Проекты/инициативы/активности
7www.pointlane.ru • TCO (Total Cost of Ownership) • Прямые затраты: • Стоимость лицензий на программное обеспечение • Стоимость аппаратного обеспечения • Стоимость пилотного проекта • Стоимость внедрения • Стоимость инфраструктуры (электроэнергия, кондиционирование, каналы, резервирование, мониторинг) • Стоимость поддержки • Поддержка вендора • Поддержка внутренними ресурсами • Обучение (+командировочные расходы) • Управление • Вывод из эксплуатации Финансовые модели оценки
8www.pointlane.ru • TCO (Total Cost of Ownership) (продолжение) • Косвенные затраты: • Время пользователей на обучение • Простои в работе пользователей в результате нежелания обучаться/читать инструкции службы ИБ • Вывод: общая стоимость владения средством защиты в 3-5 раз превышает стоимость, которую транслирует вендор Финансовые модели оценки
9www.pointlane.ru • ALE (Annual Loss Expectancy) Ежегодно ожидаемые потери ALE = SLE x ARO SLE=AV x EF • SLE (Single Loss Expectancy) • ARO (Annualized Rate of Occurance) • AV (Asset Value) • EF (Exposure Factor) Финансовые модели оценки
10www.pointlane.ru • Gartner TVO (Total Value of Opportunity) • ROIROSI • Система сбалансированных показателей • И т.д. Финансовые модели оценки
11www.pointlane.ru • Легко считаются: • Антиспам • Identity Management • Удаленный доступ • Web-filtering • Шифрование переносных носителей • Сложно • SIEM • SDLC • DLP • ПДн • Повышение осведомленности (IS Awareness) Проекты, которые легко обосновать
12www.pointlane.ru • Потеря ноутбука с персональными данными о 120 000 клиентов (Международный банк): • Штраф от FSA (Financial Services Authority): 4 200 000 £ • Уведомить каждого клиента • Письмо каждому клиенту: 4,5 x 120000 = 540 000 £ • Перевыпуск карт (80%): 7 x 96000 = 672 000 £ ИТОГО: 5,4 млн £ Плюс: отток клиентов в течении года, выраженный в снижении темпов роста количества клиентов Бизнес-кейс: Международный банк (утеря ноутбука)
13www.pointlane.ru • Решение по шифрованию жестких дисков • Лицензии: 40 x 6 000 = 240 000 £ • Пилотный проект: 50 000 £ • Внедрение: 150 000 £ • Поддержка: 180 000 £ ИТОГО: 0,62 млн £ 0,62 млн £ и 5,4 млн £ Разница очевидна Бизнес-кейс: Международный банк (утеря ноутбука)
14www.pointlane.ru • Заглянем правде в глаза • Без поддержки руководства данные методики не работают • Основное что надо сделать – сделать так, чтобы руководство доверяло CISO. • Для CISO со стажем это не сложно • А что делать тому, кто только начал работу на новом месте? Посмотрим на реальную ситуацию
15www.pointlane.ru • Стратегия бизнеса • Стратегия ИТ • Стратегия ИБ • У кого уже есть? • У кого учитывает стратегию бизнеса и ИТ? Стратегия ИБ
16www.pointlane.ru • Подкомитет комитета по операционным рискам • Основная цель: создать инструмент периодического коллегиального обсуждения ИБ организации • Как создавать? • Заручиться поддержкой • Описать регламент его работы • Согласовать и внедрить • Дальше будет уже проще • Ежемесячное обсуждение и приоритезация задач • Выработка решений Комитет по рискам ИБ
17www.pointlane.ru • Кого включить в комитет • Представители ключевых бизнес-подразделений • Юристы • Внутренний контроль (аудит) / СБ • IT • Отдел кадров • Финансисты • Что обсуждать • Отчеты по метрикам • Текущие задачи • Вносить инициативы/проекты, рассказывать о новых угрозах Комитет по рискам ИБ
18www.pointlane.ru • Регуляторные требования • Негативный или позитивный опыт других игроков рынка • Исследования рынка • IDC, Gartner, PWC, E&Y • Громкие утечки и годовые отчеты по ним • RSA, Verizon • GroupIB • Делаем ИБ для клиентов бизнеса Как сделать переворот в сознании
19www.pointlane.ru • На примере банка • Руководство очень внимательно относится к конфиденциальности информации о размере своей компенсации • Сотрудники начинают по другому смотреть на многие вещи, если они преподносятся через концепцию «моя информация» и «мои деньги», а не компании. Как сделать переворот в сознании
20www.pointlane.ru • Нацеленность на задачи бизнеса • Поднятие престижа подразделения в глазах бизнеса • Максимальная прозрачность • Метрики, KPI • Выход за рамки организации • Повышение осведомленности клиентов • Проверка обработки ваших данных у контрагентов (3rd Party Security Reviews) Стратегия получения доверия
21www.pointlane.ru • Пилотная DLP & Content filtering • Достаточно для увольняющихся • Mobile office • Пилотный pentest • Либо для демонстрации текущего уровня защищенности • Либо в цикле: • Внедрение быстрых контролей и процедур • Повторный pentest • Программа повышения осведомленности Быстрые победы
22www.pointlane.ru • Общие проблемы есть у всех • Кто-то что-то уже сделал! • Общение и обмен информацией • Можно начать прямо сейчас • Главное - начать В заключении
Спасибо за внимание! 23www.pointlane.ru Павел Мельников Москва, ул. Ильинка, д 4 Тел +7 (495) 233-65-08 p.melnikov@pointlane.ru

Recommended

Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаКак довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаInfoWatch
 
Роль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нуженРоль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нуженSQALab
 
Управление ИБ в условиях кризиса
Управление ИБ в условиях кризисаУправление ИБ в условиях кризиса
Управление ИБ в условиях кризисаAleksey Lukatskiy
 
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБКак построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБInfoWatch
 
Наступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновениеНаступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновениеVlad Styran
 
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаAleksey Lukatskiy
 
Точки роста: время возможностей для ИТ
Точки роста: время возможностей для ИТТочки роста: время возможностей для ИТ
Точки роста: время возможностей для ИТMike Sverdlov
 
Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Vlad Styran
 

Recommended

Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаКак довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаInfoWatch
 
Роль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нуженРоль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нуженSQALab
 
Управление ИБ в условиях кризиса
Управление ИБ в условиях кризисаУправление ИБ в условиях кризиса
Управление ИБ в условиях кризисаAleksey Lukatskiy
 
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБКак построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБInfoWatch
 
Наступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновениеНаступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновениеVlad Styran
 
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаAleksey Lukatskiy
 
Точки роста: время возможностей для ИТ
Точки роста: время возможностей для ИТТочки роста: время возможностей для ИТ
Точки роста: время возможностей для ИТMike Sverdlov
 
Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Vlad Styran
 
Мобильный доступ и проблемы безопасности
Мобильный доступ и проблемы безопасностиМобильный доступ и проблемы безопасности
Мобильный доступ и проблемы безопасностиАлексей Волков
 
Не все метрики одинаково полезны
Не все метрики одинаково полезныНе все метрики одинаково полезны
Не все метрики одинаково полезныDLP-Эксперт
 
Volkov CNews forum Personal Data 2013
Volkov CNews forum Personal Data 2013Volkov CNews forum Personal Data 2013
Volkov CNews forum Personal Data 2013Алексей Волков
 
Способы хищения информации в банках и методы борьбы с этим явлением
Способы хищения информации в банках и методы борьбы с этим явлениемСпособы хищения информации в банках и методы борьбы с этим явлением
Способы хищения информации в банках и методы борьбы с этим явлениемIlya Kovbasenko, CISA
 
защита информации 9
защита информации 9защита информации 9
защита информации 9aepetelin
 
ИБ Стратегия обороны. Серия №4 ч.1
ИБ Стратегия обороны. Серия №4 ч.1ИБ Стратегия обороны. Серия №4 ч.1
ИБ Стратегия обороны. Серия №4 ч.1Компания УЦСБ
 
ИБ Стратегия обороны. Серия №4 ч.2
ИБ Стратегия обороны. Серия №4 ч.2ИБ Стратегия обороны. Серия №4 ч.2
ИБ Стратегия обороны. Серия №4 ч.2Компания УЦСБ
 
Политика информационной безопасности: как сделать правильно и полезно
Политика информационной безопасности: как сделать правильно и полезноПолитика информационной безопасности: как сделать правильно и полезно
Политика информационной безопасности: как сделать правильно и полезноАлексей Волков
 
Финансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсовФинансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсовAleksey Lukatskiy
 
2. мобильные сотрудники 2014 10-16
2. мобильные сотрудники 2014 10-162. мобильные сотрудники 2014 10-16
2. мобильные сотрудники 2014 10-16Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Управление привилегированными учетными записями
Управление привилегированными учетными записямиУправление привилегированными учетными записями
Управление привилегированными учетными записямиPavel Melnikov
 
Открытая лекция для студентов МГТУ ГА (декабрь 2013)
Открытая лекция для студентов МГТУ ГА (декабрь 2013)Открытая лекция для студентов МГТУ ГА (декабрь 2013)
Открытая лекция для студентов МГТУ ГА (декабрь 2013)Pavel Melnikov
 
Простая ИБ для обычных организаций
Простая ИБ для обычных организацийПростая ИБ для обычных организаций
Простая ИБ для обычных организацийAlexey Evmenkov
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEMAleksey Lukatskiy
 
Финансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаФинансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаAleksey Lukatskiy
 
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьAleksey Lukatskiy
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Expolink
 
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...Expolink
 
Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?Aleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутAleksey Lukatskiy
 
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...RISClubSPb
 
TCO, ROI & бизнес-кейс для CISO
TCO, ROI & бизнес-кейс для CISOTCO, ROI & бизнес-кейс для CISO
TCO, ROI & бизнес-кейс для CISOMichael Kozloff
 

More Related Content

Viewers also liked

Мобильный доступ и проблемы безопасности
Мобильный доступ и проблемы безопасностиМобильный доступ и проблемы безопасности
Мобильный доступ и проблемы безопасностиАлексей Волков
 
Не все метрики одинаково полезны
Не все метрики одинаково полезныНе все метрики одинаково полезны
Не все метрики одинаково полезныDLP-Эксперт
 
Способы хищения информации в банках и методы борьбы с этим явлением
Способы хищения информации в банках и методы борьбы с этим явлениемСпособы хищения информации в банках и методы борьбы с этим явлением
Способы хищения информации в банках и методы борьбы с этим явлениемIlya Kovbasenko, CISA
 
защита информации 9
защита информации 9защита информации 9
защита информации 9aepetelin
 
ИБ Стратегия обороны. Серия №4 ч.1
ИБ Стратегия обороны. Серия №4 ч.1ИБ Стратегия обороны. Серия №4 ч.1
ИБ Стратегия обороны. Серия №4 ч.1Компания УЦСБ
 
ИБ Стратегия обороны. Серия №4 ч.2
ИБ Стратегия обороны. Серия №4 ч.2ИБ Стратегия обороны. Серия №4 ч.2
ИБ Стратегия обороны. Серия №4 ч.2Компания УЦСБ
 
Политика информационной безопасности: как сделать правильно и полезно
Политика информационной безопасности: как сделать правильно и полезноПолитика информационной безопасности: как сделать правильно и полезно
Политика информационной безопасности: как сделать правильно и полезноАлексей Волков
 
Финансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсовФинансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсовAleksey Lukatskiy
 

Viewers also liked (10)

Мобильный доступ и проблемы безопасности
Мобильный доступ и проблемы безопасностиМобильный доступ и проблемы безопасности
Мобильный доступ и проблемы безопасности
 
Не все метрики одинаково полезны
Не все метрики одинаково полезныНе все метрики одинаково полезны
Не все метрики одинаково полезны
 
Volkov CNews forum Personal Data 2013
Volkov CNews forum Personal Data 2013Volkov CNews forum Personal Data 2013
Volkov CNews forum Personal Data 2013
 
Способы хищения информации в банках и методы борьбы с этим явлением
Способы хищения информации в банках и методы борьбы с этим явлениемСпособы хищения информации в банках и методы борьбы с этим явлением
Способы хищения информации в банках и методы борьбы с этим явлением
 
защита информации 9
защита информации 9защита информации 9
защита информации 9
 
ИБ Стратегия обороны. Серия №4 ч.1
ИБ Стратегия обороны. Серия №4 ч.1ИБ Стратегия обороны. Серия №4 ч.1
ИБ Стратегия обороны. Серия №4 ч.1
 
ИБ Стратегия обороны. Серия №4 ч.2
ИБ Стратегия обороны. Серия №4 ч.2ИБ Стратегия обороны. Серия №4 ч.2
ИБ Стратегия обороны. Серия №4 ч.2
 
Политика информационной безопасности: как сделать правильно и полезно
Политика информационной безопасности: как сделать правильно и полезноПолитика информационной безопасности: как сделать правильно и полезно
Политика информационной безопасности: как сделать правильно и полезно
 
Финансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсовФинансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсов
 
2. мобильные сотрудники 2014 10-16
2. мобильные сотрудники 2014 10-162. мобильные сотрудники 2014 10-16
2. мобильные сотрудники 2014 10-16
 

Similar to Психология внедрения нового. Правила общения с руководителями бизнеса при внедрении новых проектов по обеспечению ИБ

Управление привилегированными учетными записями
Управление привилегированными учетными записямиУправление привилегированными учетными записями
Управление привилегированными учетными записямиPavel Melnikov
 
Открытая лекция для студентов МГТУ ГА (декабрь 2013)
Открытая лекция для студентов МГТУ ГА (декабрь 2013)Открытая лекция для студентов МГТУ ГА (декабрь 2013)
Открытая лекция для студентов МГТУ ГА (декабрь 2013)Pavel Melnikov
 
Простая ИБ для обычных организаций
Простая ИБ для обычных организацийПростая ИБ для обычных организаций
Простая ИБ для обычных организацийAlexey Evmenkov
 
Финансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаФинансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаAleksey Lukatskiy
 
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьAleksey Lukatskiy
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Expolink
 
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...Expolink
 
Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?Aleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутAleksey Lukatskiy
 
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...RISClubSPb
 
TCO, ROI & бизнес-кейс для CISO
TCO, ROI & бизнес-кейс для CISOTCO, ROI & бизнес-кейс для CISO
TCO, ROI & бизнес-кейс для CISOMichael Kozloff
 
Управление ИБ в условиях текущей неопределенности/очный семинар RISC
Управление ИБ в условиях текущей неопределенности/очный семинар RISCУправление ИБ в условиях текущей неопределенности/очный семинар RISC
Управление ИБ в условиях текущей неопределенности/очный семинар RISCRISClubSPb
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Expolink
 
Business Continuity Management Strategy - How to Build an Effective Foundatio...
Business Continuity Management Strategy - How to Build an Effective Foundatio...Business Continuity Management Strategy - How to Build an Effective Foundatio...
Business Continuity Management Strategy - How to Build an Effective Foundatio...Alexey Chekanov
 
SearchInform. Николай Сорокин. "Нестандартные методы применения DLP-систем в ...
SearchInform. Николай Сорокин. "Нестандартные методы применения DLP-систем в ...SearchInform. Николай Сорокин. "Нестандартные методы применения DLP-систем в ...
SearchInform. Николай Сорокин. "Нестандартные методы применения DLP-систем в ...Expolink
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииAleksey Lukatskiy
 
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и БизнесаUISGCON
 

Similar to Психология внедрения нового. Правила общения с руководителями бизнеса при внедрении новых проектов по обеспечению ИБ (20)

Управление привилегированными учетными записями
Управление привилегированными учетными записямиУправление привилегированными учетными записями
Управление привилегированными учетными записями
 
Открытая лекция для студентов МГТУ ГА (декабрь 2013)
Открытая лекция для студентов МГТУ ГА (декабрь 2013)Открытая лекция для студентов МГТУ ГА (декабрь 2013)
Открытая лекция для студентов МГТУ ГА (декабрь 2013)
 
Простая ИБ для обычных организаций
Простая ИБ для обычных организацийПростая ИБ для обычных организаций
Простая ИБ для обычных организаций
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
Финансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаФинансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банка
 
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасность
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
 
Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
 
TCO, ROI & бизнес-кейс для CISO
TCO, ROI & бизнес-кейс для CISOTCO, ROI & бизнес-кейс для CISO
TCO, ROI & бизнес-кейс для CISO
 
3. павел никонов
3. павел никонов3. павел никонов
3. павел никонов
 
Управление ИБ в условиях текущей неопределенности/очный семинар RISC
Управление ИБ в условиях текущей неопределенности/очный семинар RISCУправление ИБ в условиях текущей неопределенности/очный семинар RISC
Управление ИБ в условиях текущей неопределенности/очный семинар RISC
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
Business Continuity Management Strategy - How to Build an Effective Foundatio...
Business Continuity Management Strategy - How to Build an Effective Foundatio...Business Continuity Management Strategy - How to Build an Effective Foundatio...
Business Continuity Management Strategy - How to Build an Effective Foundatio...
 
SearchInform. Николай Сорокин. "Нестандартные методы применения DLP-систем в ...
SearchInform. Николай Сорокин. "Нестандартные методы применения DLP-систем в ...SearchInform. Николай Сорокин. "Нестандартные методы применения DLP-систем в ...
SearchInform. Николай Сорокин. "Нестандартные методы применения DLP-систем в ...
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
 

Психология внедрения нового. Правила общения с руководителями бизнеса при внедрении новых проектов по обеспечению ИБ

  • 1. Психология внедрения нового. Правила общения с руководителями бизнеса при внедрении новых проектов по обеспечению ИБ Круглый стол «Эффективное управление информационной безопасностью» 22 августа 2013 Практические рекомендации для CISO Павел Мельников, Pointlane
  • 2. 2www.pointlane.ru • Этапы принятия нового • Методики обоснования затрат • Основные правила обоснования затрат • Типы руководителей и особенности работы с ними • Разбор бизнес-кейсов О чем будем говорить
  • 3. 3www.pointlane.ru • 16 лет в информационной безопасности • Более 7 лет в банках (Альфа-банк, Societe Generale, HSBC, JP Morgan) • Создал службу ИБ «с нуля» • Директор по развитию Pointlane • CISSP, CISA Обо мне
  • 4. 4www.pointlane.ru • Неприятие • Отрицание и агрессия (не слушают и отмахиваются) • Торг • Отстаивание собственных интересов (ну тогда вы нам…) • Апатия • Безразличие или вялый интерес (делайте что угодно) • Принятие • Где же ты раньше был (у всех уже есть DLP, а мы только пилотный проект сделали???) Этапы внедрения нового
  • 5. 5www.pointlane.ru • Неприятие • Дать максимум информации и выждать • Торг • Есть пожелания? Отлично! Удовлетворяем! • Апатия • Самый главный момент для максимально активных действий • Принятие • Иметь все необходимое для обоснования своей позиции Этапы внедрения нового: что делать?
  • 6. 6www.pointlane.ru • Необходимость продиктована требованиями регуляторов в конкретной отрасли • Замечания внутреннего аудита/контроля • Требования головной организации • Требования законодательства • Сокращение расходов • Усиление контроля • Хочется самому CISO Проекты/инициативы/активности
  • 7. 7www.pointlane.ru • TCO (Total Cost of Ownership) • Прямые затраты: • Стоимость лицензий на программное обеспечение • Стоимость аппаратного обеспечения • Стоимость пилотного проекта • Стоимость внедрения • Стоимость инфраструктуры (электроэнергия, кондиционирование, каналы, резервирование, мониторинг) • Стоимость поддержки • Поддержка вендора • Поддержка внутренними ресурсами • Обучение (+командировочные расходы) • Управление • Вывод из эксплуатации Финансовые модели оценки
  • 8. 8www.pointlane.ru • TCO (Total Cost of Ownership) (продолжение) • Косвенные затраты: • Время пользователей на обучение • Простои в работе пользователей в результате нежелания обучаться/читать инструкции службы ИБ • Вывод: общая стоимость владения средством защиты в 3-5 раз превышает стоимость, которую транслирует вендор Финансовые модели оценки
  • 9. 9www.pointlane.ru • ALE (Annual Loss Expectancy) Ежегодно ожидаемые потери ALE = SLE x ARO SLE=AV x EF • SLE (Single Loss Expectancy) • ARO (Annualized Rate of Occurance) • AV (Asset Value) • EF (Exposure Factor) Финансовые модели оценки
  • 10. 10www.pointlane.ru • Gartner TVO (Total Value of Opportunity) • ROIROSI • Система сбалансированных показателей • И т.д. Финансовые модели оценки
  • 11. 11www.pointlane.ru • Легко считаются: • Антиспам • Identity Management • Удаленный доступ • Web-filtering • Шифрование переносных носителей • Сложно • SIEM • SDLC • DLP • ПДн • Повышение осведомленности (IS Awareness) Проекты, которые легко обосновать
  • 12. 12www.pointlane.ru • Потеря ноутбука с персональными данными о 120 000 клиентов (Международный банк): • Штраф от FSA (Financial Services Authority): 4 200 000 £ • Уведомить каждого клиента • Письмо каждому клиенту: 4,5 x 120000 = 540 000 £ • Перевыпуск карт (80%): 7 x 96000 = 672 000 £ ИТОГО: 5,4 млн £ Плюс: отток клиентов в течении года, выраженный в снижении темпов роста количества клиентов Бизнес-кейс: Международный банк (утеря ноутбука)
  • 13. 13www.pointlane.ru • Решение по шифрованию жестких дисков • Лицензии: 40 x 6 000 = 240 000 £ • Пилотный проект: 50 000 £ • Внедрение: 150 000 £ • Поддержка: 180 000 £ ИТОГО: 0,62 млн £ 0,62 млн £ и 5,4 млн £ Разница очевидна Бизнес-кейс: Международный банк (утеря ноутбука)
  • 14. 14www.pointlane.ru • Заглянем правде в глаза • Без поддержки руководства данные методики не работают • Основное что надо сделать – сделать так, чтобы руководство доверяло CISO. • Для CISO со стажем это не сложно • А что делать тому, кто только начал работу на новом месте? Посмотрим на реальную ситуацию
  • 15. 15www.pointlane.ru • Стратегия бизнеса • Стратегия ИТ • Стратегия ИБ • У кого уже есть? • У кого учитывает стратегию бизнеса и ИТ? Стратегия ИБ
  • 16. 16www.pointlane.ru • Подкомитет комитета по операционным рискам • Основная цель: создать инструмент периодического коллегиального обсуждения ИБ организации • Как создавать? • Заручиться поддержкой • Описать регламент его работы • Согласовать и внедрить • Дальше будет уже проще • Ежемесячное обсуждение и приоритезация задач • Выработка решений Комитет по рискам ИБ
  • 17. 17www.pointlane.ru • Кого включить в комитет • Представители ключевых бизнес-подразделений • Юристы • Внутренний контроль (аудит) / СБ • IT • Отдел кадров • Финансисты • Что обсуждать • Отчеты по метрикам • Текущие задачи • Вносить инициативы/проекты, рассказывать о новых угрозах Комитет по рискам ИБ
  • 18. 18www.pointlane.ru • Регуляторные требования • Негативный или позитивный опыт других игроков рынка • Исследования рынка • IDC, Gartner, PWC, E&Y • Громкие утечки и годовые отчеты по ним • RSA, Verizon • GroupIB • Делаем ИБ для клиентов бизнеса Как сделать переворот в сознании
  • 19. 19www.pointlane.ru • На примере банка • Руководство очень внимательно относится к конфиденциальности информации о размере своей компенсации • Сотрудники начинают по другому смотреть на многие вещи, если они преподносятся через концепцию «моя информация» и «мои деньги», а не компании. Как сделать переворот в сознании
  • 20. 20www.pointlane.ru • Нацеленность на задачи бизнеса • Поднятие престижа подразделения в глазах бизнеса • Максимальная прозрачность • Метрики, KPI • Выход за рамки организации • Повышение осведомленности клиентов • Проверка обработки ваших данных у контрагентов (3rd Party Security Reviews) Стратегия получения доверия
  • 21. 21www.pointlane.ru • Пилотная DLP & Content filtering • Достаточно для увольняющихся • Mobile office • Пилотный pentest • Либо для демонстрации текущего уровня защищенности • Либо в цикле: • Внедрение быстрых контролей и процедур • Повторный pentest • Программа повышения осведомленности Быстрые победы
  • 22. 22www.pointlane.ru • Общие проблемы есть у всех • Кто-то что-то уже сделал! • Общение и обмен информацией • Можно начать прямо сейчас • Главное - начать В заключении
  • 23. Спасибо за внимание! 23www.pointlane.ru Павел Мельников Москва, ул. Ильинка, д 4 Тел +7 (495) 233-65-08 p.melnikov@pointlane.ru