15.09.2025
Як завжди на моєму сайті нова стаття «ISO 27001. 10 найпоширеніших помилок».
Це продовження знайомства з ISO 27001 зверху вниз, та це те, що потрібно розуміти Вашому керівництву, коли отримання сертифікату ISO 27001 стане вимогою.
Посилання на статтю;
https://abcgroup.com.ua/siertifikatsiia_iso_27001_10_naiposhirienishikh_pomilok
Примітка.. У цій статті розповідається про деякі моменти, та стосується Ваших взаємодій та непорозумінь з бізнес-підрозділами, у тому числі й ІТ. Скажімо так, з мого досвіду я дуже часто зустрічав подібні ситуації. Як з цього вийти, Ви можете спробувати самостійно, але іноді конфлікт заходить так далеко, що це практично неможливо і тут є два виходи: взяти консультанта, щоб він провів зустріч з керівництвом і розповів, в чому справжня проблема, або прийняти рішення, ми не можемо впровадити СУІБ. В іншому випадку, проблеми будуть тільки збільшуватися, найчастіше наслідки, які я бачу, Ви або самі звільнитеся, або Вас звільнять за некомпетентність.
P.S. У п'ятницю проводив вебінар «Внутрішній аудит», де одним з моментів я розповідав про помилки, як їх краще вирішувати і чому відбувається непорозуміння між внутрішнім аудитором і керівниками інформаційної безпеки, що призводить, на мій погляд, до реальних проблем для побудови правильного захисту. Основна помилка, як Ви розумієте, – це те, що керівництво довіряє Вам менше, ніж аудитору, і це нормально, так як непорозуміння питань ІБ, викликає більш сумнівів, або що аудитор має «більше влади» і користується цим. Цікаво, що аудитори теж так міркують про керівників ІБ, а саме що керівники ІБ їх ігнорують. Тому було б непогано відвідувати такі вебінари, як цій, та намагатися вислухати обидві сторони. До речі ми всі помиляємося та ми не можемо знати все!
Від невдалого узгодження стратегії безпеки з бізнес-пріоритетами до виявлення порушення, керівники інформаційних систем та майбутні лідери у сфері безпеки можуть перешкодити своїм професійним амбіціям через низку помилок, яких можна уникнути.
Є деякі погані моделі поведінки, які можуть призвести до неприємностей для керівників.
Незаконні та неетичні дії є найбільш очевидними, і вони зазвичай роблять керівника непрацездатним. Більшість фахівців знають, що такої поведінки потрібно уникати, якщо вони хочуть продовжити свою кар'єру.
Але є багато інших помилок, які можуть зупинити кар'єрний ріст, деякі з яких менш очевидні і тому їх важче уникнути, на думку керівників, кар'єрних коучів та консультантів для керівників. Крім того, існують проблеми або дії, характерні для керівництва у сфері безпеки, які можуть обмежити кар'єру.Нижче наведено 10 недоліків у роботі, які можуть зашкодити кар'єрі керівника служби безпеки.
1. Нездатність узгодити безпеку з бізнес-пріоритетами
Це одна з головних вимог до керівників служби безпеки зараз, і якщо її не виконати, вони опинляться на узбіччі.Безпека перетворилася з кінцевої мети на функцію, що сприяє розвитку бізнесу. Це означає, що стратегії безпеки, комунікації, планування та виконання мають бути узгоджені з бізнес-результатами. Якщо зусилля з безпеки не приносять значної рентабельності інвестицій, директори з інформаційної безпеки, ймовірно, роблять щось неправильно. Безпека не повинна функціонувати як центр витрат, і якщо ми діємо або звітуємо як такий, ми не виконуємо своїх обов’язків.Керівникам відділів інформаційної безпеки, які ще не узгоджують безпеку з бізнес-стратегією, потрібно «суттєво змінити свій менталітет».
Почніть з прийняття того, що роль змінилася. Ми більше не є вартовими. Ми є тими, хто сприяє прогресу.
2. Бути просто технарем, а не бізнес-менеджером
Щоб узгодити безпеку зі стратегією підприємства, фахівці з безпеки також повинні бути бізнес-лідерами.
Це залишається проблемою для багатьох керівників інформаційних систем, які все ще схильні просуватися по службі в організації безпеки, а не за напрямками бізнесу — кар’єрний ріст, який залишає багатьох без навичок пов’язувати ризики з доходами або вимірювати ефективність безпеки за допомогою бізнес-метрик .
Тож їхня роль стає маргіналізованою, і їх сприймають як накладні витрати.
CISO радять розвивати свої бізнес-навички, залучаючи професійних наставників поза межами кібербезпеки та отримуючи професійний досвід також поза межами безпеки.
3. Зупиняючись на порозі «так»
Керівники CISO загалом знають, що функція безпеки не може бути «відділом, якого ніхто не хоче».
Але деякі також не доходять до повного «так», а це означає, що вони все ще завдають невдачі своїм організаціям таким чином, що це може зашкодити їхній кар’єрі.
Для досягнення позитивної відповіді керівники CISO повинні розуміти толерантність організації до ризику, щоб вони могли належним чином збалансувати засоби контролю безпеки з потребою бізнесу в швидкості та простоті транзакцій.
Керівники інформаційних систем, які хочуть просуватися по кар’єрних сходах, — це ті, хто може сказати: «Так, і дозвольте мені допомогти вам зробити це безпечно та надійно, а також з більшою стійкістю.
4. Малювання червоних ліній
Один із керівником відділу інформаційної безпеки, якось, дізнавшись від своїх колег по бізнесу про високоризикову ідею, сказав їм: «Це для мене червона лінія».
Однак ми радимо так казати, оскільки це показує, що CISO насправді не зосереджений на потребах бізнесу.
Керівники відділу інформаційної безпеки не можуть провести червону лінію та сказати: «Абсолютно ні», бо якщо це важливо для бізнесу, вони повинні знайти спосіб доставити це безпечно та надійно. В іншому випадку бізнес працюватиме в обхід вас.
5. Занадто жорстке дотримання правил
Так само, керівники інформаційних служб, які надто суворо дотримуються правил, завдають шкоди своїм організаціям та їхнім професійним перспективам.
Нещодавно в одній організації виникла така ситуація, коли один із членів її команди спочатку відмовився дозволити працівникам використовувати сторонній застосунок, посилаючись на політику безпеки, яка забороняє такі застосунки.СISO разом зі своїм співробітником глибше занурилася в ситуацію, дізнавшись, що застосунок працюватиме лише на двох машинах протягом двох місяців і має вирішальне значення для бізнес-ініціативи.
Вони вирішили зробити виняток із правила безпеки та впровадили засоби контролю, такі як створення сервісного запиту, щоб гарантувати видалення програми на очікувану дату завершення проекту, щоб піти на прорахований ризик від імені бізнесу.
Це демонструє готовність служби безпеки бути рушійною силою бізнесу та гарантує, що CISO та команда безпеки розглядаються як партнери, а не як перешкоди, які потрібно обійти.
6. Неправильне розуміння ШІ
Оскільки штучний інтелект стає повсюдним, CISO необхідно краще розуміти цю технологію, щоб належним чином захистити її. В іншому випадку їх вважатимуть пережитками епохи до появи штучного інтелекту.
Однак багато фахівців з безпеки досі ставляться до ШІ «як до типового технологічного інструменту, а не як до територій, де можна працювати».Штучний інтелект – це модифікатор місцевості. Він змінює ландшафт суперництва, цикли прийняття рішень і навіть природу «правди» всередині організацій. Фахівці, які продовжують ставитися до ШІ як до функції, неправильно тлумачитимуть своє середовище та пропонуватимуть рішення для класів загроз, яких більше не існує. Їхня логіка зникає в режимі реального часу.Кар’єри, які зазнають невдачі завтра, будуть знищені не лінню чи некомпетентністю, а оперуванням застарілими онтологіями.
7. Недостатнє розуміння активів та взаємозалежностей
Директори з інформаційної безпеки, які не мають чіткого уявлення про все, що вони повинні забезпечити, не досягнуть успіху на своїх посадах. Якщо у них немає прозорості, якщо вони не можуть говорити про ефективність контролю, то вони не матимуть довіри, а довіра до них серед керівництва зникне.
Cьогодні видимість ширша, ніж будь-коли раніше, і ті керівники CISO, які не моделюють невидимі взаємозалежності, що існують майже в усіх організаціях сьогодні, приречені на провал.
Якщо ви не бачите, як ваша логіка управління – технічна чи управлінська – взаємодіє з невидимими системами, регуляторними, культурними, економічними, ви не можете нею керувати. Ваша кар’єра стає крихкою не через брак навичок, а через брак синтетичного сприйняття.
8. Залишатися собою
Фахівці в кожній дисципліні частково досягають успіху, допомагаючи іншим виконувати їхню роботу, стаючи надійними партнерами для своїх колег та будуючи стосунки в усіх своїх організаціях. Деяким людям легко налагоджувати зв’язки, тоді як деякі посади вимагають такої співпраці, яка допомагає зміцнювати ці робочі зв’язки.
Однак, хоча функція безпеки в багатьох організаціях не часто підпадає під жодну з цих категорій, побудова відносин не менш важлива як для успішних програм безпеки, так і для індивідуального кар'єрного зростання.
Як наслідок, працівники служби безпеки повинні створювати більше власних можливостей. Ми пропонуємо повідомити колегам, що ви зацікавлені у спілкуванні: звертайтеся та ставте запитання; визнавайте успіхи інших; організовуйте зустрічі, щоб повчитися в інших.
«Ви обов’язково повинні робити це, якщо хочете мати вплив поза межами свого відділу».
9. Бути скупим на свій час та увагу
Безсумнівно, директори з інформаційної безпеки відчувають обмаль часу , але їм потрібно бути обережними, щоб не бути настільки зайнятими, щоб не приділити увагу тим, хто звертається до них із занепокоєннями.
Ви не хочете відштовхувати когось різкою відповіддю, бо коли ви це робите, то втрачаєте цю людину назавжди; ви змушуєте її думати: «Я не хочу працювати з директором з інформаційної безпеки.
У таких випадках люди працюватимуть в обхід функції безпеки та триматимуть занепокоєння та інформацію про прогалини в безпеці при собі.
«Я знаю, що перший раз, коли я когось відмовляю, це останній раз, коли вони мені щось приносять; тому, якщо люди мені щось приносять, я приймаю це з вдячністю», - це гарна ідея спілкування!!!
Звертаючи увагу навіть на незначні скарги чи занепокоєння, можна виявити значні проблеми безпеки, які, якщо їх не вирішувати, можуть погано позначитися на команді безпеки та її керівництві. Ось чому, якщо хтось звертається до вас із чимось, вам має бути цікаво, що вони вам пропонують. Це може розкрити деякі справді цікаві речі.
10. Неправильне поводження з порушенням
Директори з інформаційної безпеки не єдині, хто усвідомлює, що інцидент безпеки – це не питання «чи станеться», а «коли»; їхні колеги-керівники також тепер це знають.
Отже, інцидент більше не є руйнівником кар'єри.
Раніше вважалося, що порушення безпеки було чорною плямою для CISO, але сьогодні, це майже навпаки. Ми б воліли не наймати CISO, у якого ніколи не було порушення безпеки, бо ми б воліли, щоб він пережив порушення деінде, навчився на цьому, а потім прийшов у мою організацію з цим досвідом і кращим розумінням того, що потрібно для стійкості.
Однак інцидент безпеки все одно може зруйнувати кар'єру CISO, якщо цей CISO не зможе відреагувати.
Неправильне поводження з цим вб'є кар'єру.
Керівники відділу інформаційної безпеки повинні мати добре відпрацьований план реагування на інциденти , щоб вони могли рішуче діяти, зупинити збитки та швидко перейти до відновлення. Їм потрібно спілкуватися спокійно та чітко. Їм потрібно контролювати ситуацію.
Можливо, ваш термін роботи з цим роботодавцем все ще закінчується. Ми все ще бачимо, що CISO, у яких стався серйозний витік інформації, мають ще близько 18 місяців роботи у цій організації. Але це не обов’язково має зруйнувати вашу кар’єру.
Як завжди,
боріться у доброму бою!
Станіслав Бичков
Містер ISO 27001