Многие руководители подразделений ИБ сегодня сталкиваются с тем, что их деятельность воспринимается как вспомогательный процесс, который не приносит прибыли, но в то же время требует постоянных затрат и ресурсов, выделение которых продолжает происходить по остаточному принципу. При этом у подразделений ИБ отсутствуют механизмы, позволяющие регулярно демонстрировать бизнесу вклад информационной безопасности и отдачу от вложенных в неё средств.
Таким образом, особенную актуальность на сегодняшний день приобретает следующий вопрос: что может помочь руководителям подразделений ИБ сделать информационную безопасность понятной для бизнеса? Ответить на него, сделать обеспечение ИБ соответствующим требованиям бизнеса и вывести значимость подразделений информационной безопасности на должный уровень может помочь система принятия решений в области ИБ, учитывающая как особенности управления конкретной компании, так и специфику российского менталитета в целом.
Мы долго-долго думали и, наконец, придумали!
Когда мы начали прорабатывать этот вопрос и искать технологию, которая могла бы лечь в основу такой системы, то обратили внимание на возможность применения решений класса Business Intelligence, используемых для бизнес-анализа.
И действительно, что такое бизнес-анализ – это процесс, технологии, методы и средстваизвлечения, представления и анализа информации, выработки интуиции и понимания для улучшенного и неформального принятия решений, а также инструменты для извлечения из данных значимой информации.
задача аналитики в информационной безопасности, по сути, мало чем отличается от задач бизнес-аналитики. Также много источников данных, также требуются разнородные отчеты, связывающие между собой данные из этих источников, также необходима возможность формирования новых отчетов
Если взглянуть на ситуацию с информационной безопасностью: что мы имеем? Множество разнородных систем безопасности различного функционала (это и защита от утечек информации, и контроль действий пользователей, и анализ уязвимостей и т.д., и т.п.), сквозной анализ через все эти средства существенно затруднен, т.к. они предоставляют информацию в совершенно разных форматах: это и базы данных, и отчеты, и журналы событий. А скорость реакции и сбора информации о ситуации в части ИБ, например, при возникновении инцидента, может оказаться весьма критичной для деятельности компании в целом.
Таким образом, получается, что задача аналитики в информационной безопасности, по сути, мало чем отличается от задач бизнес-аналитики. Также много источников данных, также требуются разнородные отчеты, связывающие между собой данные из этих источников, также необходима возможность формирования новых отчетов и подключения новых источников данных.
Придя к таким выводам, мы взяли в качестве технологической платформы BI QlikView и на ее основе реализовали систему визуализации и мониторинга эффективности информационной безопасности, которая включает три неотъемлемых элемента:
- четко выстроенная иерархия показателей эффективности. В ее основе лежит взаимосвязь между техническими и бизнес-ориентированными показателями. Если правильно подходить к выстраиванию иерархии, верхние позиции займут те из них, которые наиболее интересны и понятны бизнесу;
- автоматизация оценки метрик безопасности и сбора соответствующей аналитики. В данном случае необходимо найти такой инструмент, который позволяет оценивать значения метрик;
- настроенные отчеты, которые позволяют быстро предоставлять результаты измерений и аналитики всем заинтересованным сторонам, даже если таких сторон окажется много и каждая из них будет нуждаться в разных срезах данных.
Внедрение продуманной системы визуализации и мониторинга эффективности ИБ позволяет контролировать состояние безопасности на регулярной основе, наглядно демонстрировать бизнесу деятельность по обеспечению ИБ в динамике, расследовать инциденты безопасности или своевременно выявлять предпосылки для их возникновения. Кроме того, оно дает возможность отслеживать эффективность внедряемых мер по обеспечению безопасности и оценивать изменение уровня защищенности организации, а также планировать развитие системы обеспечения ИБ в краткосрочной и долгосрочной перспективе. Иными словами, система мониторинга ИБ может помочь повысить зрелость системы безопасности, вывести значимость подразделений ИБ на должный уровень и обеспечить качественный диалог с бизнесом.
«Инструкция по использованию»
Поскольку использование такого гибкого и быстрого BI, как QlikView, дает нам широкий простор для визуализации и мониторинга эффективности ИБ, рассмотрим несколько задач наших заказчиков, которые нам удалось решить посредством внедрения нашего решения.
«Доложить обстановку!»
Как уже говорилось выше, деятельность по ИБ далеко не всегда бывает прозрачной для руководства. Это влечет за собой проблемы как для топ-менеджмента (непрозрачность, непонимание, куда уходят деньги и какой эффект дают эти траты), так и для руководителей подразделений ИБ (сложности в демонстрации отдачи от деятельности ИБ, эффекта от вложенных средств).
В связи с этим актуальной для наших заказчиков является созданная нами иерархия показателей результативности и эффективности ИБ (от бизнес-метрик до технических показателей). Использование метрик эффективности позволяет количественно и качественно оценить ожидаемые результаты от внедрения мер по защите информации с точки зрения повышения уровня безопасности и эффективности расходования средств. В то же время их применение дает возможность определить степень соответствия внедряемых и уже внедренных мер ожиданиям компании, а также «узкие места», аномалии в функционировании мер по защите информации, их причины и способы устранения.
Регулярное отслеживание метрик позволяет выявлять реальные и потенциальные недостатки в обеспечении ИБ, принимать своевременные и обоснованные меры по его улучшению и устранению коренных причин возникших отклонений. Кроме того, появляется возможность отследить, как вносимые изменения отражаются на деятельности по обеспечению ИБ, и продемонстрировать, каким образом она вносит вклад в достижение целей бизнеса.
«А что это вы тут делаете?»
Система визуализации и мониторинга ИБ позволяет делать самые разнообразные срезы данных за секунды. Например, в случае возникновения инцидентов ИБ часто требуется быстро собрать информацию из разных, не связанных между собой источников и сопоставить их.
Произошла утечка данных? Можно быстро посмотреть, кто, когда и куда отсылал по почте файлы, которые содержали критичную для компании информацию, а, может, сохранил ее на флешку, с кем эти люди общались в последнее время по почте, на какие сайты ходили в день утечки (или за день, за неделю до этого). Помимо этого, часто работодатели озабочены эффективностью работы своих сотрудников: сколько времени они проводят в интернете, на сколько опаздывают на работу и т.п. Все это также можно анализировать в рамках системы визуализации и мониторинга информационной безопасности.
Примеров применения системы может быть масса. И единственное ограничение по получению данных – это наличие их источников, из которых можно взять интересующую информацию. Все остальное, как говорится, – дело техники.
«Что происходит в дальних землях?»
Частая проблема в крупных территориально распределенных компаниях – это контроль информационной безопасности на удаленных площадках. Как правило, ее решают посредством регулярной отчетности от филиалов, направляемых в головной офис. Понятно, что иногда полнота и достоверность этой информации могут вызывать вопросы.
Подключив подсистемы безопасности филиалов к системе визуализации и мониторинга эффективности ИБ, можно практически в режиме реального времени получать информацию о состоянии информационной безопасности в них. При этом доступ к данным обо всех филиалах будут иметь только сотрудники головного офиса, а специалисты на местах будут видеть данные только по своему филиалу.
Интерес компаний к данному решению доказывает, что мы движемся в правильном направлении. Плотная работа с представителями разных отраслей и обмен идеями пополняют нашу копилку кейсов по применению системы визуализации и мониторинга эффективности ИБ и расширяют горизонты такого не очень стандартного применения BI-технологий.