Кому целесообразнее всего подчинить службу ИБ в коммерческом банке? Аргументы "за" и "против"

Gleb PaharenkoНе уверен, что есть "правильное" размещение которое подойдет всем банкам :) Но давайте соберем варианты, потом будем голосовать по ним. Итак начальник ИБ подчиняется:
1) Руководителю правления банка
2) Руководителю ИТ банка
3) Руководителю Общей безопасности
4) Руководителю операционных рисков

Какие еще есть предложения?

Ihor KolyanovskiyТо, что имелось на практике:
1)ИБ подчиняется, в разрезе общей безопасности, Управлению безопасности, а оно уже - Главе Правления (туда же входят физическая, техническая, защита данных (милицейская :)) безопасности), а так же, вполне возможно, и операционные риски.
2) ИБ в составе Управления безопасности ИТ подчиняется сразу члену Правления.

А вообще все зависит от людей. Если нормальный коллектив, серьезный, то ИБ может быть прямо в составе ИТ, чтоб недалеко было ходить, и не распыляться на большое колличество подразделений и людей, и нормально будет работать, ответственно.

Vladimir Matviychuk, CISA, CISMНи в одном банке, а видел я их более сорока, не видел эффективной информационной безопасности, если она подчинена ИТ.
"Правильное" подчинение, рекомендуемое практикой - главному безопаснику или первому лицу.
В одном банке видел схему, когда директор по безопасности - специалист по ИБ, а остальные (физики и экономическая) ему подчинены.

Volodymyr StyranМы говорим об управлении ИБ или безопасности ИТ? ИТ-безопасность может быть "впаяна" в ИТ-операции, соответственно подчиняться CIO. Управление ИБ должно размещаться как можно выше в организационной структуре, по возможности подчиняться CEO или профильному директору/комитету.

Наряду с тем, что уже названо, я встречал подчинение УИБ директору по экономической безопасности.

Vyacheslav NehoroshihЯ так понимаю, что если мы говорим о подчинении ИБ профильному топу/главному безопаснику, это накладывает определенные требования к уровню организации СБ. Что видел в некоторых банках - директор СБ бывший силовик, организующий деятельность СБ методами оперативного контроля и реагирования на поступающие сигналы (впрочем, как это и принято делать в правоохранительных органах). Ни о каком глубоком анализе ключевых индикаторов проблемности положения вещей говорить не приходится. Сложно представить большой эффект от работы ИБ в таком подразделении.

Я согласен с мнением, что подчинение должно идти СБ, так как у CEO и так много головняка - ему пытаются подчиниться практически все в банке, мотивируя это тем, что их деятельность самая важная. Но это все равно, что спорить, какой орган в теле человека нужнее ))) При этом остается вопрос квалификационных требований к руководителю СБ - "равняйсь - отставить" как-то не подходит )))

Другой вопрос - почему все же наблюдается неудовлетворительная эффективность работы ИБ в структуре ИТ? Есть ли этому какое-либо более-менее логичное объяснение?

Volodymyr StyranОбъяснение очень простое: конфликт интересов. Айтишники борются за аптайм и производительность, а у безопасников приоритеты несколько иные. Хотя возможно, в банках, действующих под давлением "требований на соответствие", ситуация может отличаться.

P.S. Простите за самопиар в неположенном месте, но вот только что почти об этом написал в блоге -
http://j.mp/21NOEo

Vyacheslav NehoroshihО! Прочитал запись в блоге - ситуация немного прояснилась :) Спасибо за пост, Владимир )))

Gleb PaharenkoИТ работает согласно ИТИЛЬ и обеспечивают то в чем нуждается бизнес. Если Бизнес требует высокий аптайм и не требует конфиденциальности, то конфиденциальность обеспечивается только уровня best effort. ИБ в первую очередь работает с Бизнесом, помогает ему правильно сформулировать требования по ИБ к ИТ.

Volodymyr Styran> Если Бизнес ... не требует конфиденциальности
Глеб, вернись в тему, мы говорим о финансовом секторе.

Viacheslav Zhuk) ИМХО - разделять безопастность путь тупиковый.
Безопастность Должна быть комплексной, и быть полностью отделена от службы ИТ ( в силу разности интересов, и разности подходов в работе)
Подчинение, из того что я встречал, на практике, так как сектор всё таки финансовый, должно быть на цровне финансового доректора, или нач. тдела по управлению рисками (прямая зависимость финансовых рисков, и систем ИТ в любой финансовой стрктуре.

Volodymyr StyranНа эту тему мне всегда нравилась цитата: "Failure to consider security as part
of the support and operations of IT systems is, for many organizations, a significant weakness."

ИТ-безопасность это задача ИТ. Сегрегация администрирования безопасности и системного администрирования внутри ИТ -- это вторая задача. Но вынос администрирования за пределы службы ИТ порождает больше проблем чем приносит плодов.

Управление ИБ это совсем другое дело. Это не техническое подразделение, а организационное, так что в ИТ ему не место.

Vladimir TkachenkoЯ уверен что и Volodymyr Styran и Глеб кстати пытаются сказать ,что должны существовать 2 подразделения. Первое - ИТ риски или в чистом виде ИБ банка (по моему мнению желательно подчиняться в этом случае либо непосредственно правлению, либо начальнику опер рисков (Cheif Risk Officer- CRO). Второе подразделение непосредственно осуществляет мероприятия по безопасности и подчиняется начальнику ИТ (Chief Information Officer - CIO). Взаимодействие между двумя подразделениями регламентируется внутренними положениями. Как правило, 1е генерирует задачи и контролирует ход выполнения, 2е - реализует и отчитывается (или всячески пытается отпереться ;-)

Andrey KuzmenkoИТ безопасность, мне кажется, должна подчиняться департаменту ИТ, а информационная безопасность - либо главному безопаснику, либо одному из руководителей компании. Служба ИБ вообще не должна заниматься ИТ, их задача - оценка рисков, соответствие стандартам, дать направление, стратегию и т.д., а задача проимплементить это все, это уже задача ИТ безопасников, которые подчиняются ИТ компании.

как-то запутано все получается...

предлагаю сделать опросник не о том, как должно быть, а о том, какая структура у наших компаний на самом деле:)

Vladimir GninyukМногие коллеги оперируют здесь двумя терминами: "ИБ" и "ИТ безопасность".

Вопрос: А можно ли узнать определение каждому термину?

Может быть после этого будет проще, а то создается впечатление, что каждый вкладывает в термин, что то свое и не всегда, то что собеседник...

Vladimir Matviychuk, CISA, CISMИБ отвечает за безопасность информации в любом ее виде.

А ИТ безопасность только за безопасность информации в электронном виде.

Vyacheslav NehoroshihМожно тогда совсем глупый, но прямой вопрос: UISG - это группа о чем и объединяющая профессионалов в чем? )))

Gleb PaharenkoСогласно описанию в свойствах группы:
"Сообщество украинских специалистов в области информационной безопасности, технарей и "белых воротничков". Здесь можно и нужно делиться опытом, знаниями, идеями."

Мною видится как социальная сеть участников рынка защиты информации и всех кого интересует безопасность информации. Географически мы направлены на Украину.

Vyacheslav NehoroshihСпасибо, Глеб. Потому что разница между ИБ и ИТ безопасностью согласно описания Владимира Матвийчука мне видится принципиальной. Нужно думать, что группа в конечном итоге объединила представителей обоих направлений.

Vyacheslav NehoroshihМожет все-таки сделаем в группе небольной пол по вопросам подчинения? Для этого вроде и технология есть соответствующая - LinkedIn Polls...

Gleb PaharenkoДавайте голосовать. Это пол о том кому должен подчиняться, а не кому подчиняется CISO в банке:
http://polls.linkedin.com/p/100996/ucvjc

Позже сделаем опрос о том кому подчиняется CISO на самом деле :)

Alexey KornilovМое мнение. ИБ -безопасность должна заниматься не только стандартами/процедурами и прочим бумагомарательством но и иметь возможность провести расследование, уметь найти крысу в банке или выявить неблагонадежного сотрудника злоупотребляющего знаниями или допусками в ИТ-системах. Это соответственно исключает подчинение ИТ в силу возможного конфликта интересов и всяким рисковикам в силу их некомпеттентности и отсутствия необходимых полномочий в части проведения расследований.

Alexey KornilovСоглашусь с мнением, что успех зависит не от формальной подчиненности и орг. структуры, а от конкретных персоналий в конкретном банке. Т.е. ИБ в реальности кому только не подчиняется.

Vyacheslav NehoroshihУ меня в поле результаты отображаются иероглифами - видно технология не заточена под кириллицу. Там ещё одного пункта важного не хватает - "Прочее" )))

Vladimir Matviychuk, CISA, CISM2 Vyacheslav Nehoroshih
Разница между ИБ и ИТ безопасностью искусственная. Второе есть подмножество первого, равно как и физическая безопасность. Просто вопросы безопасности не технологического направления давно откатаны и понятны. А ИТ до сих пор остается загадкой даже для специалистов по ИТ ;)

Gleb PaharenkoДействительно не очень удобно просматривать результаты из-за глюков к кирилицей в ЛинкедИн, но если навести на столбик мышку то видно CEO, CIO,... Так можно определить какая колонка за что отвечает. К сожалению в линкедИн полы имеют только 5 опций. "Прочее" не влезло. Потом можем провести второй тур и добавить туда еще вариантов :)

Vladimir GninyukМесто любого подразделения определяется его ролью в Бизнесе (как деятельности) организации. В любом случае необходимо выбрать некую модель и ей следовать. В вопросах ИБ можно взять международный опыт, а он уже практически более десяти лет материализовался в 27к, выросши из Британского BS7799, а такие авторитеты как немецкий BSI и американский NIST говорят только о гармонизации с 27k. Да, и что говорить, у россиян он не первый год в качестве ГОСТа.

Можно не брать международный, а придумать свой. Но в любом случае речь идет о подходах к управлению предприятием в реализации его миссии. И здесь ответ на вопрос автора должны давать управленцы.

Спасибо, Владимиру Матвийчуку, за пояснении разницы между ИБ и ИТ Безопасностью. Это действительно устоявшийся подход к толкованию, только вот для многих он и порождает парадокс в управлении, и приводит к той ситуации, когда с ИБ носятся «як дурень зі ступою». Хотя парадокс имеет простые пути разрешения. Один из них указал Владимир Ткаченко.

Но почему же мы периодически задаемся вопросом, сформулированным в заголовке дискуссии? (в апреле на сайте Компьютерного Обозрения была аналогичная
http://ko.com.ua/node/49273 дискуссия). А кто-то видел дискуссию: «кому должен подчинятся Финансовый директор»?

Неопределенность в ответе очевидна: наши топы (в массе своей) не воспринимают реальных угроз в этом направлении.

ИМХО: к первопричинам, такого не восприятия, я бы в-первую очередь отнес:

* низкую зрелость бизнеса (в терминах CMMI),

* использование устарелых: функциональных методов управления (только процессное управление и проектный подход позволяют разрешить возникающие парадоксы),

* плохую работу всех тех, кто должен методически и периодически доносить руководству современные реалии, в части, что есть «информационные активы» и как они конкретно выглядят на данном предприятии, ну и т.д.

Касательно опроса, есть большие сомнения в полезности его результатов, по крайней мере, без сегментации отвечающих (одно дело хакер/администратор средств безопасности, другое дело аналитик/консультант, а третье – управленец).

Vladimir Matviychuk, CISA, CISMВот результаты прошлогоднего глобального исследования по информационной безопасности, которое мы проводили:

Who does that person report to - if anyone - within your organization? (that person - в данном контексте это продолжение предыдущего вопроса Who is responsible for information security in your organization?) Обратите внимание, что information security а не IT security:

Украина Среднее по миру

Board of directors 20.00% 12.237%
Chief executive officer 51.429% 26.038%
Chief information officer 2.857% 22.264%
Chief risk officer 0.00% 2.965%
Chief technology officer 0.00% 7.008%
Other: 25.714% 29.488%

От Украины было 35 компаний, всего 1855

Сухая статистика без комментариев.

Vladimir Matviychuk, CISA, CISMВ догонку.
поскольку изначально вопрос шел про коммерческие банки - статистика по банкам по миру (298 банков):

Q13a. Who does that person report to - if anyone - within your organization?
Board of directors 15.436%
Chief executive officer 28.523%
Chief information officer 15.772%
Chief risk officer 9.396%
Chief technology officer 9.732%
Other: 21.141%

Vladimir TkachenkoСпасибо Владимиру за исчерпывающие цифры. Я все-таки продолжу аргументировать почему следует подчинить ИБ главному рисковику (CRO). В принципе я не против и подчинения ИБ CEO, но учитывая нагрузку на него, мне кажется, что это будет формальная ответственность (которую большинтсво зарубежных компаний и банков кстати прописывают в своих стратегиях). Во-вторых все-таки CEO - лицо принимающее решения и рисковики (в лице CRO) обязаны предупредить и настоять на снижении реальных угроз (рисков), как кредитных, рыночных, операционных, так и рисков ИТ (там НБУ выделяет еще несколько видов по Базелю типа технологических и пр.). Поэтому все-таки начальник управления (отдела) риск менеджмента банка вероятнее всего тот противовес ,который может аргументированно спорить с CEO в том числе в нашей области ИБ. В противном случае и принятие решений по ИБ, и запуск нового проекта (продукта) на 3 месяца раньше (но без тестирования средств защиты) станет нормой - ведь все в руках CEO.

Vladimir Matviychuk, CISA, CISMБезусловно CISO должен коммуницировать вопросы, связанные с _информационными_ рисками ( не ИТ! а все) CRO. Но на этом их общие интересы заканчиваются. А есть еще, условно говоря, 10 областей в который CRO не в зуб ногой. И если мы перешли на западные обозначения, давайте не забывать, что C в начале позиции - означает C-level - принадлежность к высшему руководству. Подразумевается, что CISO - это том менеджер. Его не обязательно подчинять другому менеджеру ибо он сам по себе достаточно компетентен и обладает достаточными полномочиями.
Но это красивая теория.

Хотя пару лет назад меня сватали в западный банк на позицию директора по безопасности. Всей. Новое руководство решило почистить безопасносиков "из КГБ" и по их новой модели во главе безопасности стоит информационная ( не ИТ!) безопасность, которой подчинена физическая и экономическая. Такой директор подчинен формально председателю правления а реально главе всея безопасности группы. По крайней мере интервью выглядело так - приехал тот самый главный безопасник группы, поговорили о жизни и перспективах, уехал, прислал письмо предправления: "взять на работу". У того было только три вопроса:
1. интересно ли у них работать
2. когда могу начать
3. сколько нужно заплатить денег
Но это редкий случай

Если смотреть на реалии украинских банков, то информационная безопасность - это в большинстве (есть безусловно исключения) начальники отделов со скромной зарплатой, исключительно техническими задачами, отсутствием финансового образования и совещательным голосом (читай без прав)

Ihor KolyanovskiyВсе, что в последнем абзаце - правда, соглашаюсь и подтверждаю.
Особенно про фин.образование :)

Vladimir GninyukА я считаю, что и первый абзац очень неплох ;-)

Vladimir TkachenkoВсе таки флейм дабы пресечь...
Владимир. Просто я проработал именно по такой схеме (подчиняясь формально безопаснику ИБ группы и номинально CRO). И суть в том ,что реально CRO имел право вето на решения CEO. И я как CISO имел голос на риск комитете банка на равных с топами (CFO, CIO и другими С++ ;-) НО. Да отсутствие образования в области финансов (но в моем случае не управления) не позволяло на равных говорить о рыночных и кредитных рисках. Поэтому я считаю ,что для финучреждений наилучший способ отстаивать интересы ИБ через CRO. Который представляет картину и по другим рискам банка

Gleb PaharenkoТема хоть и флеймо образующая но очень интересная. Я встречаю уже не первого ИТ директора который получает финансовое образование (например MBA в области финансов). Скоро число CISO с финансовым образованием будет тоже увеличиваться.

Vladimir GninyukА что здесь такого "флеймного"? Легкие "оффтопик" присутствует. Каюсь. Но мне кажется, обсуждается серьезниший вопрос: становление служб ИБ в наших реалиях.

И пусть в вопросах "подчиненности", я полностью согласен с Владимиром Матвийчуком, но то что "успех мероприятия" сегодня очень сильно зависит от авторитета CRO и сегодня это главный партнер ИБ, то Владимир Ткаченко совершенно прав.

Vladimir GninyukХотя, флейм это или нет, должен сказать Вячеслав, как человек открывший дискуссию...

Vyacheslav NehoroshihИ не флуд, и не флейм, ИМХО. Я почему-то на подсознательном уровне ожидал, что в определенный момент времени в дискуссии появится точка зрения "подчиняется самому вменяемому и авторитетному человеку, какую бы должность он не занимал". Так всегда бывает - я не о точке зрения, а о жизни. Бывает, что выходец из рисков переходит на должность руководителя СБ, и туда автоматически переводят подразделения антифрода и оперрисков. ИТ безопасник тащит в СБ ИТ безопасность (сорри за тавталогию :). И от этого никуда не денешься, потому что в первую очередь руководство заинтересовано в быстром и качественном менеджменте всех процессов - а это под силу только профессионалам в своей области, на какой бы позиции они не находились.
Но вот другой вопрос, что степень миграции между диаметрально противоположными топовыми позициями (риски, безопасность, бухгалтерия, ИТ) минимальна - никто не хочет терять профессиональный опыт с одной стороны, а с другой стороны нет навыков для выполнения обязанностей противоположной стороны. Поэтому и существует такое понятие, как наиболее распространенное подчинение какой-либо профессиональной линии.
Мы не говорим сейчас о том, что ИТ директора попросили занять пост начальника СБ, и он сразу же туда перетянул все ИТ. Понятно, что в этом случае СБ будет иметь 70%+ ИТ уклона (как говорится, кто во что гаразд).
Говорим о том, что профессионально начальник ИБ по логике подчиняется главному профессионалу по ИТ, ИБ, финансам и т.д., где бы такие профессионалы не находились. А в 95% случаев они находятся на своих местах. Так чо поставленный мною вопрос вполне закономерен и логичен на 95% :)

Vladimir Matviychuk, CISA, CISM2 Vladimir Tkachenko
В схеме, которую я описывал CISO сам имел право вето на решения CEO. Такую же схему я встречал и в не банках. Вопрос в компетентности человека, а не в том как он называется.

Имхо большое количество вариантов подчинения обусловлено тем, что предмет дискуссии не был точно определен. Прежде чем решать кому подчинять человека, ИМХО нужно договориться по следующим пунктам:
- зона ответственности
- какими он обладает знаниями и навыками
- какими обладает правами

Так же как было разночтение понятий ИБ и ИТ безопасность так разные участники дискуссии вкладывают абсолютно разные понятия в определение службы ИБ


ЗЫ по поводу финансового образования у ИБ специалистов уже писал на блоге
http://notesonthecuff.blogspot.com/2010/08/ciso.html

Gleb PaharenkoЕсть ли у нас банки в которых операционным руководством занимается владелец? Тогда ни о каких вето быть речи не может. Мне иногда кажется что западные модели (9001, 27001), а также понятие Chief XX, заточены под ситуацию когда владельцы напрямую не управляют бизнесом и оперативные решения принимаются консенсусно.

Vladimir Matviychuk, CISA, CISMГлеб,
CEO и владелец - это разные люди :)

В данном контексте CEO - это председатель правления украинского банка с иностранными инвестициями и вето может быть в случае фрода с его стороны. В данном случае CISO имеет выше права и подчиняется руководству global

Vyacheslav Nehoroshih2 Vladimir Matbiychuk

По поводу информации в блоге - написал коммент. Проблема имеет 2 стороны, однобоко рассматривать нельзя.

Vladimir Matviychuk, CISA, CISM2 Vyacheslav Nehoroshih
практика показывает, что ИТ-ников (назовем их так. в широком смысле слова, подразумевая технических специалистов) в легче научить финансам, чем финансистов - техническим вещам. финансы - вещь достаточно устоявшаяся и редко меняющаяся. В отличие от информационных технологий. И то, что сегодня выучит финдир по ИТ - завтра безвозвратно устареет.
Наиболее экономичный подход, когда специалист ИБ умеет говорить на языке бизнеса и "переводит" бизнесу же технические термины.
Я не утверждаю, что это единственно правильный подход. В сильно ИТ-зависимых компаниях, COO например может быть бышим ИТ-шником.
Но в большинстве случаев так легче.
Это мировой опыт :)

Vladimir Gninyuk@ Владимир Матвийчук, трудно что-то добавить, но хорошо иметь дело с фин. учереждениями.

А если взять наши предприятия из других областей, Вы много там видели спецов-финанситов, умеющих просчитать нематериальные активы? А без такого расчета информационные угрозы и не угрозы вовсе.

Vladimir Matviychuk, CISA, CISMНе много, но видел. Это вопрос времени. Понимание, что такое информационная безопасность, только появляется во многих компаниях.

Comments