Ранее мы рассказали, как провести первую встречу с топ-менеджментом для обсуждения недопустимых событийкак провести первую встречу с топ-менеджментом для обсуждения недопустимых событийкак провести первую встречу с топ-менеджментом для обсуждения недопустимых событий. В этой статье рассмотрим возможные форматы таких встреч — и разберем их преимущества и недостатки.
Анализ ретроспективных данных
В рамках этого сценария рекомендуется провести предварительный сбор и оценку возможных рисков и недопустимых событий, исходя из текущего положения дел в конкретной индустрии. Изучив опыт конкурентов и отраслевых лидеров, вы сможете ознакомить топ-менеджеров с полученной информацией и узнать, какие из ранее реализованных рисков и недопустимых событий, по их мнению, представляют угрозу для организации.
Достоинство этого сценария — ориентация на опыт компании и ее «окружения». Например, если компания или ее конкуренты ранее сталкивались с длительными простоями в производственных или бизнес-процессах в результате DDoS-атаки, эту угрозу необходимо будет обсудить с топ-менеджерами и учесть при разработке плана действий.
К недостаткам этого сценария относится невозможность применить его в ситуации, ранее не встречавшейся в деятельности организации или ее конкурентов. Кроме того, топ-менеджмент, склонный соглашаться с предложенными вариантами защиты, может и не задуматься о других событиях, недопустимых в текущих условиях: не всегда можно разработать план развития компании, основываясь только на ретроспективных данных. Например, многие организации, столкнувшиеся с отказом иностранных IT-компаний продолжать сотрудничество, поставлять обновления и оказывать техническую поддержку, не были готовы к такому развитию событий — ведь у них и их коллег не было подобного опыта. Это привело к снижению объемов производства и ухудшению качества оказываемых услуг.
Опрос топ-менеджеров
Если вы не хотите определять недопустимые события, основываясь только на ретроспективных данных, можно провести опрос топ-менеджеров. Предложите им заполнить анкету, в которой они смогут указать, какие недопустимые события, риски или другие негативные последствия наиболее опасны для компании и требуют особого внимания.
К достоинствам данного сценария относится отсутствие подсказок для топ-менеджмента, что позволит им придумать и рассмотреть различные гипотезы о том, что плохого может произойти в компании. Хотя опрос и может показаться руководителями компании несерьезным мероприятием, не стоит считать его неважным или откладывать на потом. Этот инструмент позволяет проанализировать угрозы, которые могли не привлечь внимания ранее в ходе ретроспективного анализа.
Интервью с топ-менеджерами
Интервью, в отличие от опроса, подразумевает беседу с руководителями. Этот сценарий предоставляет дополнительную точку зрения на недопустимые события, показывая мнения разных департаментов. Однако, чтобы провести интервью с каждым из топ-менеджеров, может понадобиться много времени.
Стратегическая сессия с топ-менеджерами
Наиболее перспективный сценарий для получения обратной связи от топ-менеджмента — проведение стратегической сессии. Она подразумевает следующие шаги:
1. Определить цели и ожидания. Цель стратегической сессии должна быть четко определена и понятна всем участникам — в данном случае это будет формирование списка недопустимых событий. Ожидаемые результаты сессии также следует определить заранее. Например, по итогам встречи должен быть составлен список недопустимых событий, с которым будут согласны топ-менеджеры компании и который будет использован службами ИТ и ИБ для определения сценариев и критериев реализации недопустимых событий и формирования стратегии их недопущения.
2. Подготовиться к обсуждению. Важно подготовить материалы, которые будут использоваться на сессии. Например, это могут быть данные о прошлых значимых инцидентах, ранее реализованных рисках и недопустимых событиях в компании или в компаниях-конкурентах, уровень риск-аппетита и толерантности к рискам.
3. Согласовать участие руководства. Сессия будет продуктивной при участии всех руководителей компании. Если кто-то не сможет присутствовать на встрече, следует убедиться, что он получит детальную информацию и материалы по обсуждаемым вопросам.
4. Провести обсуждение. Сессию можно провести в формате круглого стола, дискуссии или презентации. Важно создать атмосферу доверия, чтобы каждый мог высказаться и поделиться своим мнением. Кроме того, при обсуждении важно не запутаться в деталях — и не подменить недопустимые события киберугрозами низкого уровня. Это может привести к неоправданному разрастанию числа негативных событий и потере фокуса.
5. Сформулировать перечень недопустимых событий. Цель стратегической сессии — составить список событий, реализация которых делает невозможным достижение операционных и стратегических целей или приводит к длительному нарушению основной деятельности предприятия. Обычно выделяют пять-семь таких событий.
6. Сформулировать план действий. После обсуждения необходимо сформулировать план действий, который будет включать конкретные шаги для недопущения событий из составленного перечня. Этот план должен включать определение сценариев и критериев реализации недопустимых событий, а также стратегию их недопущения. Кроме того, план должен содержать критерии для пересмотра перечня недопустимых событий. Например, такие как появление новых бизнес-проектов в компании, поглощение других предприятий, выход на новые рынки.
7. Обсудить бюджет. На стратегической сессии необходимо обсудить вопросы, связанные с бюджетированием и финансированием проектов по предотвращению недопустимых событий, в том числе определить необходимый уровень инвестиций в соответствующие решения и инструменты.
8. Определить ответственных и сроки. Каждый шаг плана должен иметь ответственного за выполнение и конкретный срок реализации: это поможет контролировать процесс. Помните, что выделение недопустимых событий и реализация стратегии их недопущения — комплексная задача, которую нельзя поручить одному человеку или одному подразделению. Как минимум, за реализацию плана должны отвечать руководители служб ИТ и ИБ.
9. Разработать план мониторинга и оценки эффективности действий. Определите методы и инструменты: это могут быть, например, регулярные тестирования на проникновение, участие в программах bug bounty или участие в киберучениях. Также определите, как будет проводиться анализ полученных данных и как будут корректироваться меры, если они окажутся неэффективными.
10. Подвести итоги. После окончания стратегической сессии подведите итоги и определите возможные ограничения, мешавшие проведению встречи. Это поможет учесть ошибки и лучше подготовиться к следующей сессии.
Проведение стратегической сессии с топ-менеджментом для определения недопустимых событий является главным шагом в обеспечении кибербезопасности компании: сессия поможет определить приоритеты, разработать долгосрочную стратегию и принять решение по инвестированию в эту область.
Если вы не уверены, что сможете провести стратегическую сессию, рекомендуется привлечь внешнего эксперта или компанию, которые помогут в организации. Важно подходить к этому процессу серьезно и профессионально — чтобы достичь наилучших результатов.