Не секрет, что в кризис не так просто сохранить бюджет в том объеме, в котором он находился до экономических потрясений, и бюджет на информационную безопасность (ИБ) не является исключением. Скорее, наоборот – это один из первых кандидатов «на вылет». Ведь компаниям нужно поддерживать бизнес – производство, закупки, логистику и т.д., и даже ИТ-бюджет здесь выглядит «молодцом», редкий топ-менеджер сегодня не понимает важность ИТ для его бизнеса. ИБ таким отношением похвастать, увы, не может, «авось, небось да как-нибудь» нередко становится доминирующей стратегией в условиях тотальной экономии.
Поскольку курс рубля к основным валютам сегодня значительно снизился, а российская ИТ-отрасль практически полностью ориентирована на импорт, особенно актуальной становится проблема импортозамещения в ИТ. У многих возникают опасения о прекращении обновления и технической поддержки уже поставленного импортного программно-аппаратного обеспечения. Становится понятно, что для реализации всех намеченных планов рублевый бюджет должен быть даже увеличен, а не сокращен. При этом затраты в сфере ИБ – это не только деньги, но и люди, а также время на выполнение проектов. И объектом сокращения могут стать и материальные, и человеческие ресурсы, и сами ИБ-проекты.
Мы, однако, не будем углубляться в проблематику антикризисного менеджмента. Вместо этого постараемся выяснить, какие мероприятия по оптимизации информационной безопасности можно провести в условиях снижения затрат на ИБ. Как избежать кардинального снижения качества обеспечения ИБ при дефиците финансирования? Наконец, как сберечь кадры и интеллектуальный потенциал компании в кризисные времена? Отметим, что организациям, зрелым с точки зрения информационной безопасности, наша статья будет менее интересна, так как ниже будут изложены понятные им вещи, да и антикризисный план у них обычно подготовлен заранее.
Итак, бюджет на ИБ вот-вот урежут. Что это означает? Во-первых, отказ от планов по модернизации и внедрению новых средств защиты. Во-вторых, частичный или полный отказ от услуг ИБ. В-третьих, не стоит исключать и возможность отказа от существующих СЗИ, если не окажется средств на их поддержку, продление лицензий и т.п. Это означает, что, скорее всего, придется полностью изменить стратегию ИБ. Однако необдуманное уменьшение расходов, «затягивание ремней» может привести к негативным последствиям, а «закручивание гаек» – к тому, что просто сорвется резьба. Поэтому справедливо применение народной мудрости: «Семь раз отмерь и один раз отрежь».
По нашему мнению, кризис – это хороший повод пересмотреть свое отношение к ИБ, отвлечься от внедрения новых защитных технологий и обратить внимание на те механизмы защиты, которые уже внедрены, работают и хорошо понятны. Существуют ли принципиально новые задачи в ИБ, которые нужно срочно решить? Необходимо ли для этого менять средства и механизмы защиты? Как показывает наша практика – нет, существующие средства вполне могут справиться с новыми вызовами, а их замена часто связана исключительно с необходимостью освоения бюджета. В подавляющем большинстве случаев компании (особенно те, кто комплексно подходил к вопросам ИБ) обеспечили себя средствами защиты сильно «на вырост» и вполне готовы к решению широкого круга задач, нужно только научиться эффективно применять имеющиеся ИБ-решения.
Как это сделать? Для начала стоит задать себе несколько вопросов: каковы потребности бизнеса в обеспечении ИБ? Какие задачи решают существующие средства защиты и насколько они соответствуют потребностям бизнеса? Насколько продуктивно они решаются? Что еще можно «выжать» из того, что есть?
Жить по-новому
Зачастую считается, что, приобретая определенное решение по ИБ, компания повышает свой уровень безопасности. К сожалению, это не всегда так. Ведь порой одну и ту же задачу можно решить разными способами. Какой из них будет наиболее оптимальным – вот вопрос, на который нужно ответить. Соответственно, весьма актуальной становится получение максимального эффекта с минимальными вложениями. Есть несколько основных путей повышения эффективности и оптимизации затрат на ИБ:
- замена используемых средств защиты;
- передача ИБ на аутсорсинг;
- оптимизация имеющихся средств защиты.
Давайте рассмотрим их подробнее.
Замена текущих решений по защите информации
Покупка программных средств защиты информации и их техническая поддержка – это существенные затраты, влияющие как на CAPEX, так и на OPEX. Будучи «размазанными» по времени, эти расходы могут быть воистину огромны. Однако в ряде случаев существует альтернатива – переход на открытое ПО. Например, вместо горячо любимого всеми XSpider можно использовать OpenVas, а вместо StoneGate IPS – Snort.
Важным плюсом является то, что открытое программное обеспечение можно модернизировать. Разработчик с достаточной квалификацией, разобравшись в коде, может улучшить имеющиеся функции ПО, тем самым кастомизировав его под нужды компании.
Но есть и минусы. Так, при возникновении проблем с Open Source ПО решение либо придется искать на просторах сети Интернет, либо разбираться самостоятельно. Также под Open Source ПО часто маскируются вредоносные программы, отличить их от безопасного программного обеспечения порой бывает очень сложно.
Переход на открытое ПО – весьма популярный тренд, особенно в наших экономических реалиях. В различных организациях уже используется такое открытое ПО, как Squid, OSSEC, OpenVPN, OpenPGP и др., завоевавшее популярность не только благодаря низким издержкам, но и высокой эффективности. Для выполнения требований международных стандартов по ИБ (например, стандарт безопасности данных индустрии платежных карт – PCI DSS) можно использовать программные Open Source решения для защиты информации.
Однако коммерческим организациям и госорганам, которым необходимо соответствовать требованиям российского законодательства в части применения средств защиты, прошедших оценку соответствия в установленном порядке, вариант с использованием Open Source ПО не подойдет. При необходимости можно провести оценку соответствия Open Source решения российским требованиям по ИБ.
Передача ИБ на аутсорсинг
Многие компании начинают задумываться не только о сокращении персонала, но и о передаче части своих функций аутсорсерам. Информационная безопасность не является исключением. Вы ведь доверяете перевозку своих активов внешним инкассаторам? А администрирование своей ИТ-инфраструктуры – сторонней организации?
Разумеется, у аутсорсинга есть свои достоинства и недостатки. Для повышения отдачи от ИБ требуется тщательная проработка требований по взаимодействию с аутсорсинговой компанией.
ИБ-аутсорсинг позволит переложить трудоемкие задачи на плечи экспертов партнера-аутсорсера, сократит затраты на эксплуатацию средств защиты, даст возможность отказаться от приобретения дорогостоящих ИБ-решений. Здесь действует сервисный принцип «заплатил – поехали»: клиента не интересуют затраты на продление лицензий, зарплату персонала и другие расходы.
Говоря о недостатках ИБ-аутсорсинга, нельзя не отметить, что привлечение аутсорсера может привести к новым рискам, связанным с передачей критичных функций обеспечения информационной безопасности «на сторону». Кроме того, компания может попасть в полную зависимость от партнера в случае чрезмерного увлечения ИБ-аутсорсингом.
Ответ на вопрос о передаче ИБ-инфраструктуры зависит от того, что и в каком объеме вы готовы отдать на аутсорсинг.
Отметим, что крупнейшие российские компании, как правило, неохотно идут на привлечение аутсорсинговых организаций. Обычно это связано со стратегическим значением и высоким уровнем публичности этих компаний.
В любом случае организациям, подумывающим об аутсорсинге, стоит позаботиться о скрупулезном продумывании контрактов с партнерами: необходимо тщательно проработать соглашения об уровне обслуживания (SLA), а также условия сохранения конфиденциальности. К сожалению, компания не сможет застраховать свои отношения с аутсорсером: рынок страхования ИБ-аутсорсинга в России не развит. Существует несколько способов подтверждения надежности аутсорсера:
- проведение ИБ-аудита собственными силами;
- проведение ИБ-аудита внешней компанией, имеющей большой опыт оказания услуг на рынке ИБ;
- проведение теста на проникновение.
Кроме того, высокий уровень профессионализма аутсорсера подтверждает наличие у нее сертификаций по ИБ (например, ISO 27001, PCI DSS).
Оптимизация имеющихся средств защиты
Как правило, далеко не все технологические решения задействуются на 100% своего потенциала.
Компании сегодня вынуждены защищаться от различных угроз, причем их количество непрерывно возрастает. Все ли средства защиты используются «по полной»? А что если решение обеспечивает уровень защищенности выше необходимого? Может быть, у него есть функционал, при помощи которого можно решить другие задачи?
Экономическая эффективность применяемых механизмов во многом зависит от того, что нужно защищать и какие усилия для этого требуются. При помощи анализа рисков ИБ можно определить основные угрозы, негативно влияющие на ключевые бизнес-процессы, и выработать оптимальные решения для их контроля или минимизации.
Вспоминается случай, когда одна крупная организация провела анализ рисков ИБ. Было выявлено, что достаточно большой набор различных ИБ-инструментов задействуется не на все 100% своего потенциала, а некоторые средства подключены и не настроены. По результатам анализа был сформирован план обработки рисков ИБ с учетом уже используемых средств защиты.
Если в компании разработаны качественные метрики безопасности, их изучение может показать, в каком направлении можно двигаться для повышения отдачи от той или иной технологии. Система лог-менеджмента не покрывает все критичные ИС? Повод подключить их к ней. Система анализа защищенности не проверяет *nix-системы на соответствие стандартам, из-за чего из проверок «выпадает» половина инфраструктуры? Имеет смысл разработать проверки для них.
Кроме того, в некоторых случаях можно применять существующие технологии для решения задач, под которые изначально планировалось приобретение отдельного решения. Двухфакторную аутентификацию можно реализовать, имея развернутые службы сертификации Active Directory. Нет средств на систему мониторинга событий по ИБ, но есть система мониторинга ИТ-инфраструктуры Zabbix? При модернизации Zabbix ее можно использовать в этом качестве.
Кризис: вызов или возможность?
Бюджетное планирование в любой организации во все времена было конкурентным процессом, когда службы ИБ, ИТ, производство и другие подразделения «сражались» за свою часть бюджета. Кризис обострил все существующие проблемы и повысил вероятность конфликтов, а потому от подразделения, ответственного за ИБ, теперь зависит больше, чем обычно. Ему нужно быть гораздо более убедительным и прозорливым, уметь отстаивать свою позицию, играя даже на чужом поле, хорошо понимать нужды и страхи других «игроков». К сожалению, очень часто владельцы бизнеса и представители службы ИБ говорят на разных языках. Необходимо, чтобы деятельность ИБ-подразделения оценивалась с помощью понятных для владельца бизнеса показателей возможного ущерба. Помочь в этом диалоге может «третейский судья» – независимое лицо или компания, обладающая авторитетом на рынке ИБ-услуг.
Традиционно измерение эффективности информационной безопасности провоцирует споры в профессиональной среде. Единого подхода здесь еще не выработано, однако это не повод остановиться в его создании. Наиболее реально оценить эффективность ИБ можно с помощью специальных ключевых показателей – KPI.
Даже если экономические сложности привели к тому, что бюджет на информационную безопасность подвергся сокращению, это не повод опускать руки и приостанавливать внедрение технологических решений. В кризис многие организации занимаются оптимизацией своих процессов, в том числе управления ИБ, и их корректировкой с точки зрения эффективности. В этом плане кризис – благо для компаний.