Шесть простых правил борьбы с беспорядком в информационной безопасности
В подавляющем большинстве компаний любого размера и отрасли есть хаос. Вопрос в том, насколько вы им управляете. Таково мнение руководителя отдела развития бизнеса продуктов ИБ Axoft Игоря Тюкачева. Что такое хаос в ИБ и нужно ли с ним бороться? Каковы основные шаги наведения порядка, и почему «у самурая нет цели, есть только путь»? Обсуждаем с Игорем Тюкачевым.
Что такое хаос в ИБ?
Это состояние, в котором нет процессного подхода, нет системы. Поэтому любые действия ИБ-департамента носят ситуативный и неупорядоченный характер. В случае ИБ-инцидента – нет понимания, что нужно делать в первую очередь, вторую и третью. В народе это называется «латание дыр». При этом на бумаге процессы могут быть описаны, средства защиты закуплены, требования регулирующих органов выполнены, но… ничего не работает должным образом.
В чем причина, брат?
Хаос в ИБ – частое явление. Причин может быть несколько:
Некоторые компании просто не инвестировали в безопасность – не видели в этом необходимости.
Некоторые – слишком быстро развивались и ИТ/ИБ не успевали за ростом компании.
- В ряде компаний могло произойти слияние (или компания скупала многие компании) – из-за такой разнородности тоже возникает беспорядок. Точнее, не возникает, а множится.
И так сойдет. Есть ли смысл бороться с ИБ-хаосом?
Если ты контролируешь ситуацию – ты можешь ей управлять. Если не контролируешь – ситуация управляет тобой. Хаос приводит к нецелевому расходованию бюджета компании и к потенциальным потерям от инцидентов ИБ. На ранних этапах зрелости компаний («старт SMB» или «продвинутый SMB») акцент не может и не должен быть сфокусирован на ИБ, но начиная с уровня «эксперт SMB» стоит задуматься о том, как упорядочить хаос.
Несколько слов о последствиях
Самый простой и частый пример из практики, несущий ИБ-риски – уволенным сотрудникам остаются доступны ресурсы, документы и иная информация компании-работодателя, в том числе google-документы. Такая ситуация критична для SMB-компаний. В крупных организациях – это проблемы во внешнем периметре (открытые порты и сервисы), через который злоумышленники могут атаковать компанию. И, разумеется, корпоративная почта – на всех уровнях зрелости компаний – один из самых распространенных векторов атаки.
И вот приходит крепкий хозяйственник…
Инфраструктура и ИБ работают в бардаке до первой серьезной атаки или до момента, когда приходит, как мы это любим называть – «крепкий хозяйственник», который считает своим долгом навести порядок. В зависимости от отрасли и ее зарегулированности хаос может быть менее выражен - финансовый сектор или более - производственные компании, медицинская отрасль.
Шесть простых правил борьбы с хаосом в ИБ
Борьба должна быть системной. Это главное правило. Так как борьба займет не один год, нужно определить глобальные цели, промежуточные и обоснование – зачем это все нужно. А также заручиться поддержкой топ-менеджмента. Чтобы на каждом этапе можно было аргументировать бизнес-департаментам затраты ресурсов на борьбу с хаосом. Если кратко, то наш вариант правил борьбы с беспорядком в ИБ таков:
Шаг 1: определить цели борьбы
В первую очередь, это должны быть бизнес-цели из стратегии компании. Невозможно бороться с хаосом под лозунгом – «сделаем безопасность безопаснее». Информационная безопасность не помогает развитию бизнеса и не приносит дополнительной прибыли, но она позволяет снизить или предотвратить убытки. Когда цели ИБ отвечают целям компании – это позволяет ИБ-директору получить поддержку у топ-менеджмента.
Шаг 2: провести оценку текущей ситуации, обследование и аудит, понять насколько все плохо
Для этой задачи лучшим решением будет привлечение интегратора с компетенциями. Можно, конечно, провести обследование своими силами, но приглашение эксперта позволит посмотреть на ИБ со стороны незамыленным взглядом и получить более качественный результат. На данном этапе происходит описание ситуации «as is» («текущее состояние» – масштабы хаоса, что удалось выявить при обследовании).
Шаг 3: разработать «желаемое состояние» информационной безопасности «TO BE»
На этом этапе происходит описание оптимального состояния ИБ, которое отвечает целям из шага №1. Как в любом процессе, оно описывается через три составляющие – люди, процессы, технические средства:
Люди – штатная структура ИБ, требуемые компетенции
- Процессы – разработать ОРД, в том числе модель угроз, провести оценку рисков, разработать политику ИБ и т.д. Причем не просто разработать документы на полку (так называемая «бумажная безопасность»), а внедрить, чтобы процессы работали
- Технические средства – определить необходимый набор средств, которые позволят обеспечить требуемый уровень безопасности
Шаг 4: разработать дорожную карту
В дорожной карте определяются шаги и финансовые расчеты по достижению целевого состояния. Так как это может занять несколько лет, мероприятия должны быть сгруппированы в рамках года, определены верхнеуровневые бюджеты. Дорожную карту необходимо согласовать с бизнес-департаментом, так как на ее реализацию требуются финансовые вливания. И чтобы бюджет выделили, должно быть понимание, к какому результату и в какие сроки придет компания.После этого шага важно получить согласование руководства, убедиться, что топ-менеджмент понимает, зачем ему нужно тратить столько денег. Это очень важный шаг, потому что без одобрения руководства бюджет на людей и технические средства не получить.
Шаг 5: внедрить организационные меры и технические решения
На данном этапе важно понимать и помнить, что залог успеха – люди, процессы, технологии. Это значит, что недостаточно внедрить решения, важно обеспечить необходимые профессиональные компетенции и настроить процессы в компании.
Шаг 6: контролировать результаты и корректировать действия
Нужно контролировать промежуточные цели, сравнивать с тем, что получается – предпринимать корректирующие действия, учитывать внешние факторы и регулировать запланированные мероприятия (например, в текущей ситуации – это импортонезависимость и параллельный импорт).
Кто они, лидеры по наведению порядка в ИБ?
Чем крупнее компания, тем более критичен хаос в ИБ. Здесь важную роль играют скорость обнаружения и скорость реакции – от этого зависят возможные потери. Чем больше беспорядка – тем сложнее обнаружить инцидент ИБ, локализовать и правильно прореагировать на него. Крупные телеком-игроки, банки и онлайн-ритейл – для них этот фактор наиболее критичен. Поэтому они – лидеры по наведению порядка в ИБ. У крупного бизнеса есть ресурсы и возможности поднять его до приемлемого уровня.
А что с хаосом в IT-инфраструктуре?
Если рассматривать хаос как разнородность аппаратной и софтверной составляющих IT-архитектур, то да, это явление закономерно и встречается часто. В большинстве случаев предприятие имеет свою длительную историю развития и масштабирования совместно и уже неотделимо с IT-экосистемой. Путь информатизации, стартовавший двадцать лет назад, сегодня трансформируется в определение цифровизации процессов. Как итог – современные IT-экосистемы организаций – это разрозненный парк оборудования, закупаемого под конкретные проекты, и растущие задачи в разные периоды времени в различных конфигурациях с весьма разнообразной софтверной частью.
Как не скатиться в новый хаос?
Как говорится – «У самурая нет цели, есть только путь». Путь к порядку в ИБ и обеспечению оптимальной защиты не имеет конца. Как бы пафосно это ни звучало.