Быть на одной волне с бизнесом
Виртуализация, облако Виртуализация, облако

Чего ждет бизнес от информационной безопасности? Кто мой заказчик, и каких результатов он ожидает от моей деятельности?

Главная>Виртуализация, облако>Быть на одной волне с бизнесом
Виртуализация, облако Тема номера

Быть на одной волне с бизнесом

Дата публикации:
10.02.2016
Посетителей:
104
Просмотров:
90
Время просмотра:
2.3

Авторы

Спикер
Константин Сигачев Cтарший специалист отдела информационной безопасности Sberbank CIB
Чего ждет бизнес от информационной безопасности? Кто мой заказчик, и каких результатов он ожидает от моей деятельности? В ежедневной рутине стандартных и годами отточенных операций у ИБ-специалиста просто не остается времени, сил и здорового любопытства, чтобы задаваться подобными вопросами. А действительно, сколько раз мы пытались сесть и придумать что-то, как нам казалось, революционное с нуля, преднамеренно нарушая известные еще с университетской скамьи каноны безопасности. Сколько «революционных» методик оценки рисков, проведения аудита ИБ, реагирования на инциденты ИБ приходило в голову каждому уважающему себя эксперту в области информационной безопасности за годы упорного труда? К сожалению, абсолютное большинство даже весьма неплохих идей так и остаются прототипами, которые никогда не будут применены, и у такого положения дел, безусловно, есть негативные последствия.

 

 

Нехватка времени, нежелание выходить из собственной зоны комфорта и негативный опыт с «революционными» идеями порождают пренебрежение к деятельности, связанной со стратегическими вопросами безопасности. Кажется, будто бы безопасность вот здесь, близко, в красивых hardening guides от производителей железа и софта, в защите периметра от проникновения вредоносного ПО, в обеспечении корректного выполнения процедур контроля доступа к ценной информации, в оперативном реагировании на сообщения из CERT. Список можно продолжать, думаю, каждый узнал в нем элементы своей повседневной рутины. И было бы некорректным утверждать, что данные процедуры/процессы/практики (правильное подчеркнуть) не нужны. Так проходят годы, в технологическом развитии ИБ-компонентов наступает стагнация, и, как результат, такая система обеспечения ИБ не способна противостоять современным угрозам.

Таким образом, в проигравших оказывается прежде всего бизнес, ведь для него деятельность любого поддерживающего подразделения – это расход, и, выделяя бюджеты на статьи расходов, связанные с безопасностью, менеджмент справедливо ожидает получить гарантию отсутствия проблем по данному направлению. На деле же проблем меньше не становится: аудиторы по какой-то причине выдают большое количество предписаний, инциденты возникают все чаще, их последствия становятся все серьезнее, пользователи чувствуют неудобство и архаизм манипуляций, которые они должны выполнять для простого получения доступа к файловому ресурсу. То есть каждый понимает, что что-то не так с выстроенной системой в целом, но никто не готов проявить инициативу и попробовать поднять вопрос о целях и задачах подразделения ИБ.

 

Теперь поговорим о таком явлении, как погоня за «революционными» технологиями. Фокус функции ИБ буквально размывается под натиском рекламы и предложений чего-то нового, ранее не известного рынку. Безусловно, ИБ будет всегда находиться в роли догоняющего в свете объема ежедневно возникающих угроз, и такое положение дел заставляет внимательно изучать новинки среди средств защиты. Однако при внимательном взгляде становится ясно, что очередная «новомодная» услуга или средство защиты – это не что иное, как облачение давно изобретенной технологии в красивый интерфейс и привлекательную маркетинговую обертку. Конечно, есть действительно прорывные продукты и услуги, но таких – единицы. Помимо банальной траты денежных средств на первичную закупку и последующую поддержку таких решений, есть еще один серьезный негативный эффект. ИБ-специалисты перестают уделять должное внимание фундаментальным вопросам ИБ, таким как повышение осведомленности персонала, корректная классификация и использование информационных активов, развитие модели разграничения доступа, разделение полномочий и пр. Мы полагаемся на то, что дорогостоящий продукт разом решит все проблемы, но на деле эффект может быть даже обратным.

 

В то же время при общении с коллегами по цеху порой встречается излишняя самоуверенность. В особенности это касается крупных проектов, таких как внедрение систем с большим количеством точек интеграции или создание верхнеуровневой документации по ИБ. Через нежелание объяснять бизнесу необходимость трат на «неудобные» статьи расходов, например, на консалтинговые услуги в рамках внедрения технологий или процессов обеспечения ИБ, руководители ИБ-служб подвергают риску результат проекта или как минимум получают недостаточный эффект от его реализации. Наиболее часто внедрение системы без оптимизации процессов, которые она должна автоматизировать, заканчивается внедрением коробки, с которой работает один-единственный специалист, которому это наиболее интересно. Согласитесь, что бизнес, выделяя деньги, ожидал получить совсем другой результат.

 

Гораздо более эффективным было бы все же отстоять позицию о выделении средств на консалтинг и в рамках проекта разработать набор интерактивных процедур с вовлечением бизнес-пользователей. Таким образом, вы получаете необходимый результат, а бизнес, в свою очередь, его действительно видит, что оправдывает затраченные на проект ресурсы. Бизнес мыслит не «железом» и не программными алгоритмами. Вовлекайте менеджмент в интерактивные процессы – это ему нравится.

 

Мы придерживаемся трех простых негласных принципов в работе нашего подразделения, и любая организационная и техническая мера обеспечения ИБ должна в той или иной степени им соответствовать:

 

  1. Увеличивай состояние защищенности активов компании. Самый простой и понятный принцип. Подразделение ИБ должно обеспечивать ИБ. Этот, на первый взгляд, простой принцип на практике оказывается тяжело выполнимым. Наверное, многие сталкивались с ситуацией, когда подразделению ИБ исторически делегированы абсолютно несвойственные для него функции. Другой пример: пользователи вынуждены выполнять определенный набор шаблонных операций, которые отнимают у них массу времени, но объяснить их практическую пользу с точки зрения ИБ не могут даже старожилы. Из комментария к этому принципу рождаются следующие два.

  2. Снижай нагрузку на бизнес-пользователей. Безопасники должны решать проблемы не только вселенского масштаба, но и каждого отдельного сотрудника. Старайтесь в своих нововведениях обеспечивать принцип win-win, чтобы, помимо понятного только вам и отдельным стейкхолдерам профита от снижения рисков ИБ, повседневное пользование ИТ-услугами становилось для сотрудников немного удобнее. Например, переход на двухфакторную аутентификацию позволяет снизить сложность запоминаемого пароля, переход на новую версию MDM предоставляет возможность аутентификации через Touch ID, а внедрение IdM позволяет значительно сократить время предоставления доступа к информационным активам для нового сотрудника, чтобы компания максимально быстро начала получать возврат инвестиций в его трудоустройство. Облегчайте жизнь пользователей своими проектами, и вы поразитесь количеству поддержки, которые эти проекты будут получать.

  3. Снижай нагрузку на подразделение ИБ. Помимо банального вопроса эффективности расходования средств на содержание ИБ-специалистов, пагубным фактором, влияющим на продуктивность их работы, является высокий процент нагрузки по операционной деятельности относительно проектной. Поэтому многие руководители ИБ стараются максимально автоматизировать операционную деятельность.

 

Но самое важное и эффективное в деятельности подразделения ИБ – это проактивность. Не стоит ждать грома, чтобы перекреститься. Возьмите за основу общеизвестную мировую методику (например, CIS 20 aka SANS 20 или ISO 27000), составьте список изменений в соответствии с тремя вышеописанными принципами и продавайте их бизнесу. Подхватывайте инициативы, приходящие от разных подразделений, раскладывайте по структуре перечня запланированных изменений и внедряйте их под эгидой различных, в том числе не связанных с ИБ, проектов. Бизнес ждет от информационной безопасности эффективных действий и результатов – действуйте в рамках тех активностей, до которых можете «дотянуться». Современный менеджмент видит в нас уже не специалистов с техническими компетенциями, способных эффективно коммуницировать только посредством CLI, а полноценных бизнес-партнеров, способных не только озвучить проблему на языке бизнеса, но и провести GAP-анализ и предложить на выбор несколько вариантов решения с просчетом показателя cost/benefit. Помимо всего прочего, вместе с ужесточением регуляторных требований наши внутренние заказчики как никогда нуждаются в профессиональной экспертизе, так как цена ошибки ИБ-специалиста становится весьма высока для бизнеса.

 

В завершение я хотел бы отметить, что внедрение средств защиты не является развитием ИБ, если осуществляется в отрыве от реальных рисков. Наличие современной технологии при отсутствующих базовых процессах обеспечения ИБ дает положительный эффект только в краткосрочной перспективе. Решение о внедрении нового ИБ-средства должно приниматься только тогда, когда вы можете ясно ответить на вопрос, какой процесс оно будет автоматизировать, потому что процессы первичны, а задача технологий – оптимизация и снижение ресурсоемкости их поддержки.

Читайте также

Самый безопасный SOC

Уведомления об обновлении тем – в вашей почте

Прогулка по граблям, или Почему ИБ не обеспечивает ожидаемого эффекта?

«Внедрили SIEM. Обеспокоенность выросла, безопасность – пока нет». Кулуарный разговор на ИБ-конференции

Мы как саперы — не имеем права на ошибку

Как Сбербанк проверяет на производительность платежную систему для физических лиц

«Если у вас есть Щелкунчик, нужно начинать колоть орехи»

Точно так же и с DLP-системой: если она стоит в компании, нужно грамотно, по назначению ее использовать.

«В обеспечении непрерывности бизнеса главное слово – "бизнес"!»

Виталий Задорожный, Сбербанк, поделился своим 10-летним опытом в области обеспечения непрерывности бизнеса

Процессы разные нужны, процессы разные важны

Тема управления инцидентами и менеджмента ИБ в целом обсуждается на протяжении многих лет

SIEM против закона Мёрфи

Беседуем с Михаилом Ивановым, начальником отдела информационной безопасности Sberbank CIB

«Нам нужно переходить на самообучающиеся интеллектуальные системы на всех уровнях обработки событий безопасности»

22 ноября 2017 г. прошел ежегодный SOC-Forum, на котором впервые была проведена собственная секция Сбербанка «Диалог заказчиков и вендоров».

О построении ИБ-процессов, или Как комфортно выйти из зоны комфорта

Почему выстраивание процессов обеспечения информационной безопасности первично по сравнению с внедрением технических средств – ответ дают наши эксперты

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня