ИТ-портал компании «Инфосистемы Джет»

BIS Summit 2017: от защиты ИТ к защите бизнеса

BIS Summit 2017: от защиты ИТ к защите бизнеса

22 сентября в Москве состоялась Х конференция BIS Summit 2017, собравшая ведущих экспертов российского и международного ИБ-сообщества, ключевых представителей рынка ИТ и руководителей бизнеса. Одной из ключевых тем обсуждения стало изменение роли информационной безопасности в эпоху цифровизации бизнеса.

Безопасность бизнес-процессов

В рамках конференции была организована отдельная секция под таким названием, однако данная тема поднималась и за ее пределами. Участники ставили вопросы и делились своими концептуальными идеями, а также практическим опытом.

Примета эпохи – быстрое появление новых технологий, в том числе технологий безопасности. Но насколько успешно они защищают бизнес? Как заметил Рустем Хайретдинов, президент ассоциации BISA, бизнес внедряет новые технологии, возлагая на них большие надежды, и тут же мы наблюдаем факты взломов. Одна из проблем заключается в том, что эти технологии создаются людьми, которые иногда, фигурально выражаясь, «не моют руки». Тут был брошен камешек и в огород agile-подхода, который ориентирован на быстрое создание нужного бизнесу функционала, но не уделяет внимания документированию процесса разработки. В итоге создаются приложения, документацию на которые невозможно исследовать, чтобы понять, «где баг, а где фича». Другая проблема – размытость ответственности за безопасность. Зачастую в процессе внедрения нового ПО каждый из участников процесса – бизнес-заказчик, ИТ-служба, ИБ-служба – преследует свои цели, которые между собой не сходятся: бизнес требует новых функций, ИТ исходит из наличия аппаратных ресурсов, а ИБ грозит все блокировать…

Очевидно, что всем участникам процесса нужно находить общий язык и действовать сообща. Бизнес меняется слишком быстро, чтобы можно было позволить себе подход, при котором сперва сроится некий объект (система, бизнес-процесс), а потом обеспечивается его защита с помощью «навесных» систем. Даже средства безопасности, которые адаптируются под меняющийся объект, перестают работать. Сегодня на повестке дня защита, которая изначально встраивается в защищаемый объект и является его неотъемлемой частью. Такого рода защиту можно сравнить с иммунной системой живого организма, которая постоянно находится в активном режиме, т.е. работает на предотвращение возможных потерь. Нынешние же, «навесные» системы безопасности являются пассивными, они могут лишь мониторить состояние объекта и предупреждать об опасности. И пойти дальше, т.е. вмешаться в действующий технологический или бизнес-процесс им никто не позволит, в первую очередь потому, что существуют ложные срабатывания. А возникают они оттого, что системы безопасности создаются без глубокого понимания бизнес-процесса. Единственный выход – создавать защиту одновременно с бизнес-процессом.

Той же теме был посвящен доклад эксперта BISA Дмитрия Мананникова. Эпоха цифровизации – это время, когда все большее количество продуктов и услуг становятся цифровыми, и даже в случаях, когда продукт остается традиционным, как правило цифровизированы процессы его создания. Сами цифровые технологии развиваются очень быстрыми темпами, причем часть из них служит исключительно для того, чтобы создавать другие новые технологии. Это приводит к тому, что уже не существует технологий, проверенных временем, погоня за прогрессом оборачивается тем, что любая информационная технология оказывается уязвимой по определению. Этим пользуются злоумышленники, которые смещают векторы атак от взлома систем безопасности на эксплуатацию имеющихся в ней логических уязвимостей.

Положительный момент в том, что бизнес начинает понимать (или, по крайней мере, ему можно это доказать), что безопасность, являющаяся составной частью продукта, влияет на его стоимость, конкурентные преимущества и перспективы продаж, т.е. на показатели основной деятельности.

Между тем, пока еще преобладают традиционные подходы к обеспечению ИБ со всеми присущими им проблемами – фокусом на защите готовой системы/сервиса без учета его внутренней структуры, отставанием технологий защиты от технологий нападения. Безопасность должна трансформироваться в сторону: 1) комплексности подхода к защите цифрового продукта или бизнес-процесса, в рамках которого продукт формируется; 2) предиктивности, т.е. обнаружения инцидентов (под которыми понимаются не только попытки преодоления системы защиты, но и нарушения бизнес-логики) на этапе их подготовки.

Чтобы этого достичь, спикер предложил использовать следующий подход.

Каждый бизнес-процесс рассматривается как совокупность информационных артефактов – логических действий в информационных системах. Их можно отслеживать и складывать из них целостную картину протекания бизнес-процесса. Наблюдая многократно ход одного и того же бизнес-процесса, можно сформировать его идеальную модель, определить критические (контрольные) точки, влияющие на качество результата, и задать пределы допустимого отклонения. Реальный процесс сличается с идеальной моделью, и инцидентом считается любое отклонение независимо от того, что послужило его причиной – намеренное действие злоумышленника или техническая ошибка (ведь для бизнеса это не принципиально). По сути, речь идет о некоем варианте внутреннего аудита бизнес-процессов в режиме реального времени.

Естественно, реализация такой идеи потребует применения технологий Big Data и машинного обучения, поскольку традиционный поиск признаков инцидента с опорой на человеческий опыт позволит обнаружить только те инциденты, какие уже имели место в прошлом. Кроме того, опыт одной компании может оказаться нерелевантным для другой даже в рамках одной индустрии, поскольку бизнес-процессы устроены по-разному.

Как заметили слушатели, данный подход направлен на защиту уже существующих процессов. Это действительно так, и идея именно в этом. Темп развития технологий не всегда дает возможность присутствовать при начале создания бизнес-процесса и заранее определить его слабые места. Но постоянное наблюдение за действующими процессами позволит заметить повторяющиеся огрехи и понять, в каких точках процесс нужно скорректировать. Речь уже идет о построении не столько системы безопасности, сколько системы управления эффективностью бизнеса.

Широкий взгляд на ИБ

Большой отклик у аудитории встретило выступление представителей компании «Северсталь» – Андрея Костенко и Александра Кириллова. Они рассказали о том, как ИБ интегрируется с бизнесом в крупном холдинге.

Обычно бывает сложно объяснить бизнесу ценность информационной безопасности. Службы ИБ (впрочем, как и подразделения, отвечающие за другие направления безопасности) создают для этого систему метрик: количество отраженных атак, предотвращенных инцидентов, утечек и пр. Но проблема в том, что бизнесу они непонятны. Информационная безопасность должна трансформироваться, и для этого должны быть решены две принципиальные задачи.

Первая связана с тем, что сегодня размывается не только периметр ИБ (с распространением интернета вещей и мобильных технологий), но и само понятие ИБ – определить границы между информационной, экономической, физической, кадровой и другими видами безопасности становится все сложнее. Объединяет их то, что все они развиваются в направлении автоматизации при повышении связности различных информационных систем. ИБ может (и должна) стать экспертным центром по всем прочим направлениям безопасности.

Вторая задача – превращение службы безопасности в бизнес-партнера. Для этого нужен сдвиг сознания – ИБ должна перестать восприниматься как нечто внешнее по отношению к бизнес-системам и накладывающее ограничения на бизнес. ИБ нужно рассматривать как бизнес-сервис, такой же как, например, HR или логистика. Она должна способствовать общей цели гармонизации всех бизнес-процессов предприятия, и все сотрудники должны быть в это вовлечены.

На основе этих принципов в «Северстали» разрабатывается (уже 6-й год) общекорпоративная система безопасности, которая направлена на гармонизацию бизнес-процессов и превращение безопасности в их составную часть.

Система состоит из нескольких уровней.

Уровень интеграционных шин обеспечивает сбор и обработку данных со множества систем, действующих на разных уровнях: управления технологическими процессами; управления производством; автоматизации бизнес-процессов.

Далее идет уровень контрольных процедур – правил, по которым формируются тревожные сигналы. Обширная библиотека регламентов (формализованных лучших практик, сформированных на протяжении истории компании путем проб и ошибок) позволила определить набор контрольных точек.

На уровне постановки и исполнения задач (workflow) прописаны сценарии реагирования на тревожные сигналы. Они включают перечень людей, которые должны предпринять те или иные действия в случае возникновения тревоги, и маршрутизацию этих действий.

Уровень учета и отчетности служит для отслеживания источников проблем и основанием для изменения бизнес-процессов.

Проект был начат с 40 бизнес-процессов одной бизнес-единицы холдинга и на протяжении нескольких лет постоянно расширяется.

Главная идея строящейся системы – не ИБ, а повышение конкурентных преимуществ за счет снижения потерь и оптимизации бизнес-процессов. В этом состоит принципиальное изменение взгляда на безопасность. Классическая система ИБ не позволяет менеджерам рисковать. В отличие от нее, система общекорпоративной безопасности, реализуемая в «Северстали», позволяет воспринимать риск как возможность для бизнеса. Замечая, что кто-то рискует, система информирует об этом сотрудника и, самое главное, отслеживает результаты рискованных действий. Если действия сотрудника противоречат имеющимся регламентам, но в результате компания получает положительный результат, это становится поводом поменять регламент. Таким образом появляется возможность приводить бизнес-систему в целом в соответствие с быстро меняющимися условиями рынка.

Вернуться к архиву
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: