|
|
Обзор подготовлен
При поддержке
Особенностью современного этапа развития информационной безопасности стало то, что служба ИБ и ее руководитель должны превратиться в одно из бизнес-подразделений, которое, пользуясь своим уникальным положением и знаниями, может привнести новую струю в развитие компании. Поможет ли это уйти от имиджа ИБ как "черной дыры", съедающей все деньги?
Распространенная точка зрения на рынке ИБ состоит в том, что безопасность – это изначально затратное мероприятие, к которому компании должны быть готовы. В лучшем случае ИБ-отделы способны продемонстрировать потенциальные потери, от которых они обеспечивают защиту. Иными словами, все действия по защите информации напоминают добровольную страховку от каких-либо проблем, которые могут произойти в будущем. Если повезет, то такая страховка будет обязательной, – именно поэтому столько говорят о стандарте Банка России, PCI DSS, законе "О персональных данных" и других регулятивных требованиях, многие из которых являются обязательными к исполнению. Можно ли уйти от имиджа ИБ как "черной дыры", съедающей все деньги, или этому не суждено сбыться?
Изначальный подход к ИБ был техническим, ИТ-ориентированным. Безопасность была самоцелью. Бизнес был оторван от безопасности (или наоборот) – ни о какой привязке к бизнес-потребностям и речи не было. В результате отсутствовала долгосрочная стратегия – решались в основном тактические или оперативные задачи, а стандартизация была недосягаемой роскошью. В свою очередь, архитектурный подход, позволяющий создать каркас, учитывающий решение новых проблем ИБ, не использовался вообще. Вместо построения защищенной инфраструктуры активно приобретались точечные продукты, мало интегрированные между собой.
Из чисто "технических" ИБ-проблемы перерастали в не просто ИТ-последствия, а в обузу, негативно влияющую на бизнес. Ее основными чертами становилось непрекращающееся "изобретение колеса" и, как следствие, – рост операционных затрат в неоднородном и не стандартизированном окружении.
Далее, по цепочке: сложность системной поддержки большого количества разрозненных систем, интеграция не стыкуемых между собой систем "ИБ-зоопарка", сложность масштабирования, повышенные требования к специалистам и т.д. Результат всегда был один – снижение продуктивности работы пользователей, с одной стороны, и рост операционных затрат на содержание ИБ - с другой.
"Правильный" подход к информационной безопасности, учитывающий бизнес-аспекты деятельности компании, заключается в работе с пятью основными аспектами – технологическими и финансовыми ресурсами, бизнес-стратегией для ИБ, политиками и процедурами ИБ, а также культурой ИБ. "Традиционная" безопасность делает акцент на первом и четвертом пункте составляющих, напрочь забывая про стратегию бизнеса, культуру ИБ и вопросы финансирования.
Пять китов "правильной" ИБ
Источник: Cisco, 2008
Начнем со стратегии бизнеса. Сейчас цели ИБ не совпадают с целями бизнеса. Безопасность думает о криптографии, межсетевых экранах, антивирусах, восстановлении после катастроф, защите хостов и т.д. В свою очередь, бизнес беспокоят управление рисками, обеспечение непрерывности бизнеса, соответствие регулятивным требованиям (compliance), внутренний контроль, корпоративное поведение, рост лояльности клиентов, слияния и поглощения, географическая экспансия и многое другое. Видно, что совпадений нет.
Говоря о культуре ИБ, необходимо подчеркнуть, что это понятие все чаще стало встречается в разных публикациях. Оно красной нитью проходит через все рекомендации по повышению осведомленности сотрудников в области информационной безопасности. Именно культура позволяет снять зависимость компании от "узкого горлышка" в лице департамента ИБ, который не в состоянии решить все вопросы самостоятельно.
Пронизывающая все подразделения и все уровни иерархии культура позволяет включить ИБ в любой процесс и действие, производимые в компании. Причем, чем она выше, тем менее осознанно это будет происходить (как и должно быть на уровне рефлексов).
И, наконец, - вопросы финансирования. Как говорится, "безопасность стоит дорого, но она того стоит". Однако чтобы доказать выделение немалых инвестиций, необходимо идти по пути борьбы с другими подразделениями, проектами и инициативами, которые тоже остро нуждаются в деньгах для своего существования.
Выигрывает не тот, кто сильнее, а тот, кто более приспособлен. Этот закон эволюции применим и к финансированию. В условиях борьбы за презренный металл побеждает тот, кто сможет лучше обосновать запрашиваемые ресурсы и доказать, что они не утекут, как вода из крана, а принесут определенную отдачу.
Будучи одним из внутренних процессов компании, как и все другие, информационная безопасность должна быть направлена на достижение поставленных бизнесом целей.
Если говорить о финансах, а именно они являются основным камнем преткновения для большинства подразделений ИБ, то надо четко понимать, что бизнес готов инвестировать в любые проекты (связанные с его деятельностью, конечно), которые принесут отдачу. Иными словами, проект должен быть выгодным.
В свою очередь, при наличии же множества не убыточных проектов, приоритет будет отдан тем, у которых срок возврата инвестиций меньше, чем у других. Однако не стоит считать, что надо искать прямую финансовую выгоду в проектах по ИБ (хотя в зависимости от проекта это можно сделать). Инвестиция может носить и неденежный характер - например, людские или временные инвестиции.
Критерии и примеры бизнес-ориентированных проектов по ИБ
Источник: Cisco, 2008
Рассмотрим в качестве примера проект по внедрению VPN-решения на предприятии. Обычно он инициируется топ-менеджерами, которые хотят получать доступ к корпоративным ресурсам удаленно во из командировок или отпуска. Т.е. налицо следование службы ИБ (или ИТ) за требованиями, спущенными сверху.
Если же посмотреть на это с точки зрения бизнеса, то ситуация будет выглядеть немного иначе. Что может увеличить доходы компании? Рост числа сделок или увеличение их объема. Обычно российский бизнес концентрируется на первой задаче, которая может быть достигнута за счет увеличения непосредственно числа сделок и числа клиентов, разработки и выпуска новых продуктов, а также ускорения цикла продаж.
Есть несколько вариантов решения этих задач. Один из них – географическая экспансия, позволяющая расширить рынки сбыта. Такой сценарий может простираться от создания филиала в новом регионе до выноса точки продаж в торговый центр или оснащения торговых (например, страховых) агентов карманными компьютерами.
В любом случае, все элементы должны быть объединены в единое информационное пространство, что невозможно реализовать без технологий информационной безопасности и, в частности, VPN. А для вынесенных "в поле" точек продаж (Point of Sale, POS) помимо VPN необходимо применение межсетевых экранов (в т.ч. и персональных), антивирусов, систем предотвращения атак и т.д. Отсюда вытекает связанная цепочка "VPN > приближение точек продаж ближе к клиентам > рост числа клиентов > рост доходов".
В качестве заключения хотелось бы продемонстрировать немного измененную точку зрения на ИТ, а также на плоскость информационной безопасности, превалирующую сейчас среди западного бизнес-менеджмента.
Люди из ИБ, которые сейчас тратят свыше 80% своих ресурсов на поддержание текущего уровня развития бизнеса, должны коренным образом поменять свой стиль работы и свое отношение к ней. На поддержку должно уходить не более 15-20% выделенных финансовых или временных ресурсов. Более того, эти затраты вообще не должны быть видны на уровне бизнеса.
Большинство текущих проектов по ИБ (да и ИТ тоже) относятся именно к этой категории. Около 70% всех ресурсов должно уходить на вторую составляющую правильно выстроенного процесса ИБ – развитие бизнеса. Это значит, от поддержки переходим к генерации новых идей (в контексте ИБ), которые позволяют нам реализовать что-то новое, оптимизирующее существующие или приносящее новые статьи доходов.
Приведенный выше пример с VPN как раз демонстрирует этот тезис. Подход к VPN как к реализации требования руководства – это поддержка бизнеса. Взгляд на VPN как на один из сценариев увеличения доходов - это как раз из области развития.
Третья же составляющая, лидерство, лишний раз показывает, что служба ИБ и ее руководитель должны из поддерживающей функции превратиться в одно из бизнес-подразделений, которое, пользуясь своим уникальным положением и знаниями, может привнести новую струю в развитие компании.
Ведь, по сути, служба ИБ, защищая информацию, имеет доступ ко всем источникам, на основании которых затем принимаются управленческие решения. При этом ИБ, в отличие от большинства подразделений, может окинуть единым взглядом все разрозненные "островки" информации. И даже ИТ департамент не обладает такой "властью", т.к. он сконцентрирован только на электронных данных, а нормальная служба ИБ имеет дело и с бумажной информацией, и с другими формами ее представления. Именно в этом случае буква "C" в аббревиатуре CISO станет означать принадлежность к топ-менеджменту компании, как это принято во всем мире.
Алексей Лукацкий
CNews: По вашему мнению, управление безопасностью это исключительно затратная статья?
Сергей Голяк: Я считаю, что да, если не ставить целью оказание услуг в области ИБ другим организациям. Мне близок подход, сравнивающий затраты на ИБ со страховкой от возможных потерь ресурсов компании. К основным результатам от вложений в ИБ я отношу: снижение рисков, возможность проведения расследований инцидентов ИБ, повышение дисциплины персонала, удовлетворение требованиям регуляторов и повышение привлекательности компании в глазах инвесторов и партнеров.