Ошибки при разработке и внедрении стратегии развития ИБ
Информационная безопасность Информационная безопасность

Стратегию развития ИБ традиционно принято считать основополагающим документом, определяющим жизнь этого направления в долгосрочной перспективе

Главная>Информационная безопасность>«Стратегические» заблуждения
Информационная безопасность Тема номера

«Стратегические» заблуждения

Дата публикации:
03.04.2015
Посетителей:
288
Просмотров:
249
Время просмотра:
2.3

Авторы

Автор
Павел Волчков Заместитель директора Центра информационной безопасности компании «Инфосистемы Джет»
Стратегию развития ИБ традиционно принято считать основополагающим документом, определяющим жизнь этого направления в долгосрочной перспективе. В этой статье мы намеренно не будем акцентировать внимание на самом процессе разработки стратегии, используемых при этом способах и лучших практиках. Обобщая полученный в ходе наших проектов опыт, мы постараемся указать на наиболее часто встречающиеся ошибки и заблуждения, с которыми сталкиваются компании при попытке разработать и внедрить стратегию развития ИБ. Также мы приведем рекомендации по поводу того, как избежать подобных проблем.

 

 

В первую очередь следует определиться, что можно считать такой стратегией. Какие функциональные характеристики отличают её от простого плана развития направления? Среди таких черт нужно отметить:

 

Целеполагание. Основная задача стратегии развития ИБ – определение целей ИБ и их сопоставление с целями бизнеса. При этом они должны формулироваться таким образом, чтобы максимально поддерживать бизнес-цели.

 

Комплексность. Стратегия должна охватывать все профильные сферы деятельности компании, учитывать основные бизнес-процессы, а также территориальную распределенность.

Интегрированность. Необходима привязка к плану развития ИТ. Традиционно уровень зрелости ИТ более высок, чем ИБ, ИТ-подразделения лучше связаны с бизнесом и имеют четкий план развития. В большинстве случаев качественное развитие ИТ происходит за счет внедрения новых технологий, именно этот момент и должен контролироваться со стороны ИБ. Для ИБ переход из состояния «as is» к «to be» невозможен без понимания «to be» с точки зрения ИТ.

 

Целостность. Стратегия должна определять подходы, унифицировать решения и усилия в рамках всего направления ИБ. И организационные, и технические меры должны подчиняться стратегии и дополнять друг друга, действуя в едином ключе.

 

Адаптируемость. Важно понимать, что функция ИБ в компании вспомогательная, поддерживающая, сама ИБ сильно зависит от общей структуры бизнеса и ИТ-инфраструктуры. В таких условиях стратегия должна быть гибкой – изменяемой – в случае изменения внешних по отношению к ИБ факторов, например, если происходит слияние бизнесов, появляются новые каналы обслуживания клиентов, внедряются новые технологические платформы и т.д.

 

Стратегия развития ИБ также должна быть экономически обоснованной (применение хотя бы в общем виде cost-benefit подхода) и учитывать опыт отрасли.

 

Именно в этом – в наличии конкретных целей и идей, которые привязаны к бизнесу компании и ИТ-инфраструктуре, проходят красной нитью через все мероприятия по ИБ, связывая их воедино, способны органично изменяться при изменении внешних факторов, и состоит отличие стратегии ИБ от простого плана развития направления.

 

Не касаясь непосредственно консалтинговых методик написания стратегий, рассмотрим типовые ошибки, которые допускают многие компании, планируя и реализуя проекты по их разработке.

 

Заблуждение 1. Нам нужна именно стратегия развития ИБ.

 

Полноценная стратегия развития ИБ нужна не всем организациям! Важно понимать, что не только стратегия готовится для компании, но и компания должна быть готова к принятию стратегии – дорасти до нее. Наш опыт свидетельствует, чем выше начальная зрелость процессов (не только ИБ- и ИТ-, но и бизнес-процессов), тем больше отдачи, тем выше положительный эффект.

 

Полноценная стратегия необходима в первую очередь крупным, территориально-распределенным компаниям (гиганты ТЭК, нефтяные компании, банки ТОП 20, крупные телеком-операторы и т.д.). В организациях с небольшой ИБ-службой, сотрудники которые в основном заняты вопросами соответствия регуляторным требованиям и разбором событий от СЗИ, такой тяжеловесный документ будет только мешать, лишая сотрудников необходимой гибкости при принятии решений.

 

Наша рекомендация

В первую очередь компания должна самостоятельно ответить на вопрос «А действительно ли нам нужна стратегия развития ИБ?». Для того чтобы разобраться с ним, необходимо получить четкое представление об имеющихся проблемах («as is»), а главное – найти весомые доводы по поводу того, что они требуют комплексного решения.

 

Далее можно сформулировать в терминах ожидания от ИБ целевой уровень информационной безопасности («to be») и понять, нужно ли на текущем этапе разрабатывать для его достижения полноценную стратегию развития ИБ, или, наоборот, это усложнит поставленные задачи.

 

И правда, нужна ли стратегия, для того чтобы внедрить SIEM, поставить антивирусы на рабочие станции или реализовать процесс повышения осведомленности пользователей? Возможно, на текущем этапе хватит краткой декларации общих принципов и целей развития направления (3–5 страниц) и плана мероприятий по устранению основных проблем? А к вопросу разработки полноценной стратегии развития ИБ можно будет вернуться через год.

 

Заблуждение 2. Стратегия развития ИБ сама решит все наши проблемы.

 

Само по себе утверждение стратегии не решит насущных проблем. Да, определение целей и систематизация планируемых усилий несут в себе положительный эффект, однако этого недостаточно. Переход от стратегического уровня к тактическому не менее важен, чем развитие самого стратегического уровня. Недаром еще Сунь-Цзы отмечал: «Стратегия без тактики – это самый медленный путь к победе».

 

Наша рекомендация

На оперативном, тактическом уровне стратегия ИБ должна быть подкреплена конкретным планом мероприятий. Его разработка должна идти параллельно с созданием стратегии. Чрезвычайно важно соизмерять планируемые мероприятия с имеющимися ресурсами, как материальными, так и человеческими. Попытка объять необъятное и отразить в стратегии равномерное развитие всех направлений ИБ (выстраивание процессов, внедрение средств защиты, организационные мероприятия и т.д.), скорее всего, приведет к тому, что ни одно из начинаний не будет реализовано так, как задумано. Также стратегия обязательно должна включать бюджетную оценку предполагаемых мероприятий и, что еще более важно, оценку обеспеченности человеческими ресурсами. Риск невыполнения стратегии из-за отсутствия ресурсов должен быть обозначен высшему руководству компании как наиболее значительный на этапе защиты и утверждения стратегии. Не менее важно правильно приоритизировать планируемые мероприятия.

 

Заблуждение 3. Стратегия развития ИБ – это вопрос, связанный только с ИБ.

 

Распространенное заблуждение заключается в том, что стратегия развития ИБ рассматривается как локальный документ службы ИБ. Подобный подход порождает риски конфликтов:

 

  • Непринятие ИТ-службами предполагаемых мер. Так как ИТ-службы в первую очередь нацелены на обеспечение доступности, может возникнуть ситуация, когда они будут против реализации определенных защитных мер.
  • Непринятие бизнес-подразделениями предполагаемых мер. Применение шаблонных решений, которые не отражают специфику устоявшихся бизнес-процессов, может привести к неудобствам в работе бизнес-пользователей. Особенно ярко это проявляется в рамках борьбы с утечками.

 

Наша рекомендация

Необходимо быть готовым к тому, что ИТ-службы и бизнес-подразделения компании могут негативно относиться к некоторым положениям стратегии. Чтобы избежать этого, стратегия перед утверждением должна быть согласована со всеми заинтересованными лицами, в первую очередь с руководством ИТ-службы. Ее обсуждение должен проводить специально созданный профильный комитет, обеспечивающий устойчивую обратную связь между ИБ-подразделением и другими заинтересованными службами.

 

Заблуждение 4. Можно единожды утвердить стратегию и забыть о ней на 3–5 лет.

 

Это невозможно ни для одной стратегии, и стратегия развития ИБ не исключение. Как уже отмечалось выше, ИБ неразрывно связана с развитием ИТ и бизнесом в целом. В условиях отсутствия долгосрочной стратегии развития бизнеса и/или стратегии развития ИТ адаптируемость становится одной из важнейших характеристик стратегии ИБ. Назовем типичные ситуации, которые могут привести к необходимости ее принципиального изменения:

 

  • переход к практике широкомасштабного использования ИТ-аутсорсинга;
  • проведение M&A сделок;
  • появление новых профильных активов или бизнес-проектов: например, создание портала самообслуживания в компании, у которой раньше не было общедоступных web-ресурсов, кроме сайта, резкий рост филиальной сети, появление продуктов собственной разработки и т.д.

 

Наша рекомендация

Отметим, что разбиение поддерживающего стратегию плана мероприятий на этапы и его декомпозиция на связанные между собой программы, а сами программы – на конечные, осязаемые проекты позволят достичь необходимой гибкости. Преимущество такого подхода заключается в том, что проекты на низшем уровне минимально связаны друг с другом и в случае необходимости могут как добавляться, так и изыматься.

 

В конце каждого этапа (условно каждый год) целесо- образно проводить оценку выполнения проектов, а также соответствия положений стратегии целям бизнеса и текущему состоянию ИТ-инфраструктуры. В качестве одного из механизмов оценки можно использовать заранее разработанные системы ключевых показателей эффективности KGI/KPI. В случае необходимости должны быть внесены коррективы в перечень проектов следующих этапов.

 

Заблуждение 5. Мы можем нанять консультанта, и он нам все сделает «под ключ».

 

Это самое распространённое и опасное заблуждение. Считать, что такая работа может быть выполнена внешним консультантом «под ключ» без деятельного участия заинтересованных сторон в самой компании, по меньшей мере, наивно. Отдавая всю работу на откуп внешнему консультанту, даже чрезвычайно квалифицированному, компания, скорее всего, получит шаблонный, «мертвый» результат, не учитывающий ее специфику.

 

Этому есть ряд объективных причин:

  • Внешний консультант изначально не знает тонкостей бюрократического аппарата компании. Зачастую некоторые рациональные идеи, проверенные в одних компаниях, в других просто не работают из-за специфики общения подразделений между собой.
  • ИТ-службы и бизнес-подразделения дистанцированы от консультанта. С учетом ограничений по срокам и границам проекта он не всегда может самостоятельно определить скрытые ожидания заинтересованных сторон.
  • Отсутствие у консультанта исчерпывающего понимания бизнес-процессов компании. Даже самый квалифицированный внешний консультант не обладает той полнотой знаний о компании, которая есть у руководителя службы ИБ.

 

Наша рекомендация

Планируя проект по разработке стратегии развития ИБ, заранее подготовьтесь к тому, что вам – руководителю службы ИБ – придется работать в данном направлении не меньше, чем внешнему консультанту. Его роль в подобных проектах – советчик и помощник. Сбор информации и её систематизация, помощь в выявлении скрытых ожиданий, методологическая поддержка, предложение на выбор нескольких концепций будущего документа, оформление и т.д. – вот задачи внешнего консультанта. Однако каждое его предложение вы должны оценить на предмет применимости в вашем конкретном случае.

 

Другой вариант – целенаправленное погружение консультанта в специфику вашей компании и бизнес-процессов. Фактически это «аренда» консультанта на длительный срок – 3–5 лет. Это имеет смысл, если необходима разработка исключительно кастомизированного документа, в то же время процесс потребует соответствующих затрат.

 

Безусловно, в реальных проектах могут встречаться и другие проблемы, мешающие их качественному выполнению (мы не ставим себе целью перечислить все возможные заблуждения – лишь наиболее значимые с точки зрения влияния на результат). Отметим, что перечисленные ошибки редко встречаются поодиночке.

 

Зачастую в ходе разработки стратегии развития ИБ приходится сталкиваться с обширным набором предубеждений и неправильных посылов у компании, через призму которых она рассматривает проект. С точки зрения внешнего консультанта наибольшие проблемы приносит комбинация первого и пятого заблуждений. Ситуация, когда компания еще сама не определилась с тем, что она хочет и зачем, приводит к тому, что для внешнего консультанта задача формулируется как «поди туда – не знаю куда, принеси то – не знаю что», а желаемый результат звучит «чтобы все было хорошо» (причем представления о том, как именно «хорошо», довольно смутные).

 

В таких условиях главной задачей внешнего консультанта становится помощь компании в осознании своих потребностей и ожиданий от ИБ, а основной задачей руководителя службы ИБ – организация диалога между всеми заинтересованными сторонами (консультант, службы ИБ и ИТ, бизнес-подразделения и т.д.). В противном случае полученный результат вряд ли удовлетворит заказчика и оставит ощущение бесполезности внешнего консалтинга и выброшенных на ветер денег. Понимание своих проблем и потребностей – это ключевой фактор успеха при разработке стратегии развития ИБ.

Уведомления об обновлении тем – в вашей почте

Системный консалтинг 4 в 1

Представьте ситуацию, когда завод приступает к созданию самолета, не имея на руках проектной документации: чертежей, описаний, моделей

Активный аудит

Все связи на этой земле распались. И имена потеряли смысл. Остался лишь мир, полный угрозы, мир, лишенный имени и потому таивший в себе безымянные опасности, которые подстерегали тебя на каждом шагу. Опасности эти не обрушивались на человека ...

Интегрировали, интегрировали, да не...

В чем заключается главный камень преткновения интеграционного проекта

Консалтинг в области информационной безопасности

Консалтинг в области информационной безопасности представляет собой комплекс услуг, оказываемых компанией-консультантом заказчику с целью определения ..

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня