Быть на одной волне с бизнесом

Таким образом, в проигравших оказывается прежде всего бизнес, ведь для него деятельность любого поддерживающего подразделения – это расход, и, выделяя бюджеты на статьи расходов, связанные с безопасностью, менеджмент справедливо ожидает получить гарантию отсутствия проблем по данному направлению. На деле же проблем меньше не становится: аудиторы по какой-то причине выдают большое количество предписаний, инциденты возникают все чаще, их последствия становятся все серьезнее, пользователи чувствуют неудобство и архаизм манипуляций, которые они должны выполнять для простого получения доступа к файловому ресурсу. То есть каждый понимает, что что-то не так с выстроенной системой в целом, но никто не готов проявить инициативу и попробовать поднять вопрос о целях и задачах подразделения ИБ.

Теперь поговорим о таком явлении, как погоня за «революционными» технологиями. Фокус функции ИБ буквально размывается под натиском рекламы и предложений чего-то нового, ранее не известного рынку. Безусловно, ИБ будет всегда находиться в роли догоняющего в свете объема ежедневно возникающих угроз, и такое положение дел заставляет внимательно изучать новинки среди средств защиты. Однако при внимательном взгляде становится ясно, что очередная «новомодная» услуга или средство защиты – это не что иное, как облачение давно изобретенной технологии в красивый интерфейс и привлекательную маркетинговую обертку. Конечно, есть действительно прорывные продукты и услуги, но таких – единицы. Помимо банальной траты денежных средств на первичную закупку и последующую поддержку таких решений, есть еще один серьезный негативный эффект. ИБ-специалисты перестают уделять должное внимание фундаментальным вопросам ИБ, таким как повышение осведомленности персонала, корректная классификация и использование информационных активов, развитие модели разграничения доступа, разделение полномочий и пр. Мы полагаемся на то, что дорогостоящий продукт разом решит все проблемы, но на деле эффект может быть даже обратным.

В то же время при общении с коллегами по цеху порой встречается излишняя самоуверенность. В особенности это касается крупных проектов, таких как внедрение систем с большим количеством точек интеграции или создание верхнеуровневой документации по ИБ. Через нежелание объяснять бизнесу необходимость трат на «неудобные» статьи расходов, например, на консалтинговые услуги в рамках внедрения технологий или процессов обеспечения ИБ, руководители ИБ-служб подвергают риску результат проекта или как минимум получают недостаточный эффект от его реализации. Наиболее часто внедрение системы без оптимизации процессов, которые она должна автоматизировать, заканчивается внедрением коробки, с которой работает один-единственный специалист, которому это наиболее интересно. Согласитесь, что бизнес, выделяя деньги, ожидал получить совсем другой результат.

Гораздо более эффективным было бы все же отстоять позицию о выделении средств на консалтинг и в рамках проекта разработать набор интерактивных процедур с вовлечением бизнес-пользователей. Таким образом, вы получаете необходимый результат, а бизнес, в свою очередь, его действительно видит, что оправдывает затраченные на проект ресурсы. Бизнес мыслит не «железом» и не программными алгоритмами. Вовлекайте менеджмент в интерактивные процессы – это ему нравится.

Мы придерживаемся трех простых негласных принципов в работе нашего подразделения, и любая организационная и техническая мера обеспечения ИБ должна в той или иной степени им соответствовать:

1. Увеличивай состояние защищенности активов компании. Самый простой и понятный принцип. Подразделение ИБ должно обеспечивать ИБ. Этот, на первый взгляд, простой принцип на практике оказывается тяжело выполнимым. Наверное, многие сталкивались с ситуацией, когда подразделению ИБ исторически делегированы абсолютно несвойственные для него функции. Другой пример: пользователи вынуждены выполнять определенный набор шаблонных операций, которые отнимают у них массу времени, но объяснить их практическую пользу с точки зрения ИБ не могут даже старожилы. Из комментария к этому принципу рождаются следующие два.
   
   
2. Снижай нагрузку на бизнес-пользователей. Безопасники должны решать проблемы не только вселенского масштаба, но и каждого отдельного сотрудника. Старайтесь в своих нововведениях обеспечивать принцип win-win, чтобы, помимо понятного только вам и отдельным стейкхолдерам профита от снижения рисков ИБ, повседневное пользование ИТ-услугами становилось для сотрудников немного удобнее. Например, переход на двухфакторную аутентификацию позволяет снизить сложность запоминаемого пароля, переход на новую версию MDM предоставляет возможность аутентификации через Touch ID, а внедрение IdM позволяет значительно сократить время предоставления доступа к информационным активам для нового сотрудника, чтобы компания максимально быстро начала получать возврат инвестиций в его трудоустройство. Облегчайте жизнь пользователей своими проектами, и вы поразитесь количеству поддержки, которые эти проекты будут получать.
   
   
3. Снижай нагрузку на подразделение ИБ. Помимо банального вопроса эффективности расходования средств на содержание ИБ-специалистов, пагубным фактором, влияющим на продуктивность их работы, является высокий процент нагрузки по операционной деятельности относительно проектной. Поэтому многие руководители ИБ стараются максимально автоматизировать операционную деятельность.

Но самое важное и эффективное в деятельности подразделения ИБ – это проактивность. Не стоит ждать грома, чтобы перекреститься. Возьмите за основу общеизвестную мировую методику (например, CIS 20 aka SANS 20 или ISO 27000), составьте список изменений в соответствии с тремя вышеописанными принципами и продавайте их бизнесу. Подхватывайте инициативы, приходящие от разных подразделений, раскладывайте по структуре перечня запланированных изменений и внедряйте их под эгидой различных, в том числе не связанных с ИБ, проектов. Бизнес ждет от информационной безопасности эффективных действий и результатов – действуйте в рамках тех активностей, до которых можете «дотянуться». Современный менеджмент видит в нас уже не специалистов с техническими компетенциями, способных эффективно коммуницировать только посредством CLI, а полноценных бизнес-партнеров, способных не только озвучить проблему на языке бизнеса, но и провести GAP-анализ и предложить на выбор несколько вариантов решения с просчетом показателя cost/benefit. Помимо всего прочего, вместе с ужесточением регуляторных требований наши внутренние заказчики как никогда нуждаются в профессиональной экспертизе, так как цена ошибки ИБ-специалиста становится весьма высока для бизнеса.

В завершение я хотел бы отметить, что внедрение средств защиты не является развитием ИБ, если осуществляется в отрыве от реальных рисков. Наличие современной технологии при отсутствующих базовых процессах обеспечения ИБ дает положительный эффект только в краткосрочной перспективе. Решение о внедрении нового ИБ-средства должно приниматься только тогда, когда вы можете ясно ответить на вопрос, какой процесс оно будет автоматизировать, потому что процессы первичны, а задача технологий – оптимизация и снижение ресурсоемкости их поддержки.