Сайт находится в состоянии доработки. Извиняемся за неудобства.

x
© 1995-2020 Компания «Инфосистемы Джет»

Как часто нужно проводить оценку рисков?

 

Какой софт целесообразно использовать для таких проектов?

 

По каким причинам снижается продуктивность ИБ-специалистов?

 

 

 — Какие угрозы кибербезопасности сегодня наиболее актуальны?

— Зависит от профиля компании. Каждая организация с помощью оценки рисков должна выявить наиболее актуальные для себя угрозы. Если этого не сделать, то их актуальность будет определяться по принципу «пальцем в небо». Например, систему ДБО банка с высокой долей вероятности будут атаковать хакеры, чтобы украсть деньги.

 

То, что у вас нет инцидентов, не значит, что угрозы неактуальны. Это может означать, что вы их не выявили и не знаете о них.

 

Если брать весь рынок, то ситуация с глобальными угрозами не меняется. Может быть, только Интернет вещей выстрелил некоторое время назад: прошла волна крупных DDoS-атак с использованием гигантского количества утюгов и пылесосов. В целом же можно повторить слова многих спикеров о том, что «количество угроз ИБ растет, все плохо, надо покупать средства защиты и т.д.».

 

При управлении рисками угрозы ранжи- руют исходя из актуальной модели нарушителя, предпосылок и потенциального ущерба, который может наступить при их реализации. Проще говоря, если угроза может повлечь за собой 6 млн руб. ущерба, то она актуальнее той, что оценивается в 200 тыс. Так их и надо ранжировать.

Лица, принимающие решения (ЛПР), считают деньги и хотят видеть, где безопасность зарабатывает или экономит. Узнать это можно только одним способом — оценить риски. Поздно оценивать ущерб, когда он уже наступил, а деньги утекли.

О рисках ИБ

— Как часто нужно проводить и пе­ресматривать оценку рисков?

— С периодичностью от года до трех лет. При соблюдении регуляторных требований, серьезном изменении инфраструктуры, процессов и продуктов в компании моделирование угроз должно быть непрерывным процессом. Нужен годичный цикл, в рамках которого будет проходить актуализация состояния конкретных систем или процессов.

 

В ряде крупных компаний оценка рисков происходит ежеквартально: группа стейкхолдеров берет предыдущую модель угроз и пересматривает ее, выявляет, что изменилось. Главное, чтобы это выполнялось не раз в несколько лет: при современной динамике за это время изменится как бизнес, так и ландшафт угроз.

 

Отмечу, что оценка рисков должна быть регулярной, но заниматься только ею нельзя. Для отдела ИБ это лишь одна из задач, поэтому надо найти приемлемый баланс: сколько времени и ресурсов вы готовы на нее тратить.

— Как найти тот же баланс между противоречивыми требованиями к киберзащите: и чтобы затраты на нее были низкими, и чтобы она обеспечивала высокую защищен­ность, функционировала прозрачно для пользователей, быстро и легко развертывалась?

— С помощью карты рисков. Она позволяет получить полную картину. Вы можете четко видеть угрозы, ущерб от них, а в сформированном плане мероприятий прописано, как снизить их до приемлемого уровня и сколько на это нужно будет потратить.

 

Другими словами, мы видим, какие риски генерируют реальный ущерб и во сколько обойдутся меры по их снижению. Карта рисков позволяет увидеть «дорогую» в плане ущерба угрозу с условно «дешевыми» мерами по ее нивелированию.

 

В целом нужно прокачать систему безопасности до определенного best-practice — базового уровня защищенности, а затем переходить к пентестам или формированию у себя Red/Blue Team. Когда вы всё реализовали по стандартам, достигли baseline, выполнили обязательную программу, тогда уже можно приглашать экспертов, которые помогут определить, где еще остались узкие места. И здесь нужны пентесты. Они покажут, над чем еще нужно работать. И это непрерывный, практически бесконечный процесс, поскольку совершенствоваться можно довольно долго. Если же система безопасности не выстроена, изначально дырявая, то пентесты бессмысленны: они за ваши деньги покажут то, что вы и так уже знаете, — кучу брешей и неработающие процессы.

— Что, по вашему мнению, перво­степенно: высокий уровень защи­щенности или удобство сервисов для пользователей?

— У нас все еще наблюдается неклиентоориентированность ИБ, когда во главу угла ставится безопасность, а не удобство пользователя. Это неправильно. Если компания зарабатывает деньги на предоставлении сервиса клиенту, а он уходит, то такая ИБ никому не нужна, потому что организация разорится. Безопасник обязательно должен думать об удобстве использования. Другой вопрос, что, как правило, это упирается в оптимизацию процессов. И здесь стоит работать над развитием компетенций ИБ-специалистов по этому направлению — BPM или Lean. В результате вы увидите, где слишком закручены гайки, на чем компания теряет ресурсы, что можно улучшить.

 

Наше общество сейчас — общество ленивых людей, которые привыкли к удобству сервисов. Естественно, в эту сторону развивается и информационная безопасность: инструменты становятся более удобными.

— Как это выражается в случае сис­темы управления рисками?

— В идеальном мире решение, которое используется для оценки рисков, должно автоматически поддерживать ее пересмотр и актуализацию. Например, в нашей системе информация обо всех активах, инцидентах и уязвимостях обновляется в режиме онлайн. Мы идем к тому, чтобы при инвентаризации, добавлении данных о новом средстве защиты риски пересчитывались автоматически. Не во время кампании по актуализации угроз через год, а сразу.

 

При моделировании рисков в нашем решении настраиваются связи: например, отсутствие инцидентов определенного типа, связанного с конкретными угрозами, означает, что они неактуальны. Наличие от 1 до 3 инцидентов — угроза среднего уровня, более 5 инцидентов — высокого. При появлении инцидента система автоматически пересчитывает статус угрозы.

 

В результате, если открыть карту рисков, она будет актуальной: с учетом всех средств защиты, инцидентов и уязвимостей на текущий момент.

ЛПР нужно показывать конкретные кейсы: объяснять, что есть риск, который стоит 10 млн руб. в год, мы можем снизить его до 2 млн, но для этого нужно потратить 3 млн на средства защиты. Экономия — 5 млн руб. Когда к бизнесу приходят с фактурой: конкретными цифрами, анализом рынка и кейсов в компании, — ему гораздо легче принять решение о выделении бюджета.

— Какой софт используется для оценки рисков?

Первый вариант — Excel. Это дешево, и его используют в 90% проектов по оценке рисков, даже представители «большой четверки». Обычно Excel применяется в сочетании с макросами и выглядит практически как интерфейс специальной программы. Но у такого подхода есть свои недостатки. На большом количестве данных система начинает тормозить, а чтобы отредактировать макрос, нужно найти его автора, что не всегда возможно. Зачастую вообще не получается разобраться, как именно Excel работает с макросом. Кроме того, в большинстве случаев у таких решений нет нормальной инструкции и методологии.

 

Второй вариант — GRC-системы — дорогой инструментарий для крупных компаний с высоким уровнем зрелости. Это конструкторы, с помощью которых можно создать собственный космос, свою систему, но это займет несколько лет и потребует много ресурсов. К тому же специалистов в этой области мало и стоят они дорого. Найти такого человека намного сложнее, чем того, кто напишет макрос. Из-за этого GRC не нашли широкого применения на рынке.

 

Также для оценки рисков ИБ можно использовать инструментарий Security GRC (SGRC). Это не настолько масштабный конструктор, как полноценная GRC, — он дешевле и проще.

— Сколько времени занимает раз­вертывание подобных решений?

Здесь работает принцип 80/20: 20% проекта идут быстро, потом нужно долго и тщательно работать. Волшебной таблетки, ускоряющей процесс, к сожалению, не существует. Наши решения тоже развертываются быстро, но затем начинается кропотливая работа по приведению системы в идеальное состояние.

 

Если уровень зрелости компании не очень высок, вы не сможете быстро выстроить правильную киберзащиту. Нужно сформировать стратегию развития направления хотя бы на 3 года и постепенно, год за годом, ее реализовывать. При этом важно минимизировать текучесть кадров — она может стать реальным стоппером проекта.

Правильно построенная матрица рисков, где оценена суммарная стоимость каждой меры (включая внедрение, поддержку и организационные составляющие), позволяет выбрать те варианты защиты, которые действительно актуальны и принесут больше пользы.

О кадрах

— Какие средства защиты актуаль­ны сегодня?

Сами по себе средства защиты не могут обеспечить кибербезопасность. Она строится на связке из технологий, людей и процессов. Помимо самой системы, нужны квалифицированные кадры, которые ее внедрят, будут использовать и поддерживать, нужен воспроизводимый, непрерывный и правильно задокументированный процесс. Без любого из этих элементов реальной безопасности в вашей компании не будет.

— Как вы решаете проблему недо­статка квалифицированных кадров?

Лучше искать долго и придирчиво, но найти действительно классного специалиста, обладающего необходимым набором hard и soft skills. Как показывает опыт, личностные качества развивать сложнее, чем технические компетенции. Знания можно нарастить, а отношение к работе у человека меняется редко.

 

Готовых специалистов на рынке мало, к тому же такой сотрудник даже на новом месте будет стараться работать, используя уже знакомые ему подходы, и не факт, что его удастся переучить. Нужно не бояться подтягивать и выращивать экспертов. Это не всегда возможно, особенно если результат нужен «вчера» и человек, выходя на работу, должен сразу его показать. В остальных случаях стоит брать людей «на вырост» и давать им задачи чуть сложнее привычных, чтобы они развивались.

— Насколько важно вкладываться в обучение специалистов?

Будучи CISO, я всегда считал обучение важным. Оно играет огромную роль, когда в компании появляются новые системы или процессы, эффективность которых напрямую зависит от компетенций сотрудников. Некоторые считают, что хороший специалист обучится сам. Возможно, но он потратит существенно больше времени и наверняка что-то упустит. Есть приемы, позволяющие даже при отсутствии HR-бюджета закладывать расходы на обучение в проект, если руководитель в этом заинтересован. При этом узкие технические скиллы легко получить на курсах, а вот тренинги по процессам ИБ или оценке рисков на рынке представлены слабо. Бывает и такое, что желание обучить специалиста есть, а качественного курса нет.

— Как повышать продуктивность сотрудников?

Первая причина потери продуктивности — отсутствие порядка, того, что мы называем инвентаризацией. Когда есть четкое понимание того, что происходит с ИТ-активами компании и кто за них отвечает, любые вопросы решаются быстро. Яркий пример — задача обновления ПО. Ничего сложного в ней нет, но, если инвентаризация не проводится, ответственному сотруднику сначала придется долго разбираться, где что стоит и как используется. Это особенно актуально для больших компаний.

 

Второе, на чем теряется время сотрудников, — рутинные операции. Не надо бояться их автоматизировать: 5 раз выполнил задачу руками — на 6-й стоит задуматься и написать скрипт. Такие вещи сильно повышают продуктивность и мотивацию. Человек, который полдня занимается рутиной, гораздо менее «заряжен», чем тот, кто тратит на нее 20% времени.

Многие с удовольствием потратят 10 млн руб. на новую систему, но не выделят и 100 тыс., чтобы научить людей с ней работать. В результате компания будет использовать всего 20% потенциала нового решения, потому что инженеры просто не умеют им пользоваться. Это смешно, ведь стоимость обучения ничтожно мала по сравнению с расходами на инструментарий.

Следите за нашими обновлениями

хотите больше интересных интервью в нашем журнале?

Разделение на департаменты больше не имеет смысла, ИТ и бизнес должны работать вместе

Как с помощью машинного обучения предсказать продажи с точностью 90% в интервью JETINFO рассказывает Александр Соколовский, СТО российской сети Leroy Merlin.

Аутсорсинг помогает адаптироваться к российским особенностям ведения бизнеса

ИТ-системы, обслуживающие бизнес BMW в России, представляют собой сплав зарубежных практик, специализированных российских разработок и ИТ-аутсорсинга. Всем этим управляет команда из 10 человек, подчиняющаяся глобальным ИТ- и ИБ-службам автопроизводителя. О том, как зарубежная компания работает в российском правовом поле и что она готова отдать на аутсорсинг местным поставщикам ИТ-услуг, рассказывает менеджер разработки и поддержки ИТ-приложений «БМВ Русланд Трейдинг» Денис Храмов.

Играли в детстве в сыщиков? SecDevOps во многом то же самое

Отношения между безопасностью и бизнесом директор по безопасности «Яндекс.Такси» Артем Гутник описывает как погоню черепахи за зайцем. Причем с помощью цифровизации и технологий черепаха может не только догнать, но и обогнать зайца. Особенно ярко эта философия проявляется в SecDevOps — операционной модели, в которой безопасность обеспечивается на каждом этапе разработки приложений. Мы поговорили с Артемом о том, почему целесообразно использовать именно термин SecDevOps, каким компаниям стоит применять этот подход и как обеспечить себя компетентными специалистами.

Безопасная разработка: адаптивная эволюция

Какие проблемы возникают при интеграции процессов разработки, ИТ и ИБ? Как правильно сформировать ИБ-команду для DevSecOps?

Аутсорсинг эксплуатации WAF и IPS: подводные камни и как их обойти

Как показывает наш опыт эксплуатации WAF и IPS в рамках аутсорсинга, организация рабочего процесса в этих случаях имеет особенности.

Погружение в Incident Response. Как это устроено

Последние два года выдались для сферы ИБ особенно напряженными.

Спасибо!
Ваш материал отправлен.
Мы с вами свяжемся
Предложить
авторский материал
Спасибо!
Вы подписались на обновления наших статей
Подписаться
на рубрику






Спасибо!
Вы подписались на обновления наших статей
Оформить
подписку на журнал







Спасибо!
Вы подписались на обновления наших статей
Оформить
подписку на новости







Спасибо!
Вы подписались на наши новости.
Оформить
подписку на Новости
Спасибо!
Ваша заявка отправлена.
Мы с вами скоро свяжемся.
Задать вопрос
редактору

Оставить заявку

Мы всегда рады ответить на любые Ваши вопросы

* Обязательные поля для заполнения

Спасибо!

Благодарим за обращение. Ваша заявка принята

Наш специалист свяжется с Вами в течение рабочего дня