пятница, 12 августа 2011 г.

Замкнутый круг (не)безопасности

За последние годы серьезные усилия специалистов по информационной безопасности были направлены на то, чтобы улучшить состояние безопасности информационных активов, принадлежащих организациям, их работникам, клиентам и партнерам. Но за все это время, надо честно признать, ситуация вряд ли стала лучше. Появились и исчезли производители различных средств безопасности, была запущена и завершена масса проектов, поработали и ушли множество консультантов, а мы по-прежнему не можем достоверно ответить на вопрос, в каком состоянии с точки зрения реальной безопасности находятся наши системы. Я не хочу сказать, что вся та инфраструктура безопасности, которая была создана за эти годы, не повысила уровень защиты, дело в другом. Каждый раз когда мы поднимаем планку защиты, киберпреступники находят способ ее преодолеть.

Проблема в этой ситуации, как и в случае гонки вооружений в период "холодной войны", в том, что никто не выигрывает,... кроме тех, кто продает бомбы :). Более того, серьезно повышается шанс проиграть, истратив все имеющиеся средства и другие доступные ресурсы. Это как раз и стало причиной окончания "холодной войны". Ни одна из сторон не хотела продолжать тратить деньги на бессмысленную гонку. Проводя параллели с текущей ситуацией, в которой оказывается большинство менеджеров по информационной безопасности, хочу сказать - "Вы проиграете!". Вы это знаете, я это знаю и киберпреступники тоже это знают.

Не у многих организацией бюджеты на безопасность растут год от года в условиях текущей нестабильной экономической ситуации, более того могу с уверенностью сказать, что у большинства они сокращаются в том числе из-за слабого понимания руководством аспектов обеспечения информационной безопасности.

Информационная безопасность, хотим мы себе в этом признаться или нет, похожа на страхование жизни. Организации, пока все идет хорошо, слишком заняты зарабатыванием денег, чтобы заниматься этим вопросом, а когда случаются неприятности, становится уже слишком поздно.

Существует не так много людей (как в целом в отрасли, так внутри организаций), способных пропагандировать понимание того, какую бизнес-ценность способна дать информационная безопасность. И это плохо, потому что чем меньше мы можем объяснить руководству нашу ценность для бизнеса, тем меньшую долю инвестиций мы получаем, и все это в конечном итоге приводит к тому состоянию, в котором мы находимся в настоящий момент.

Вот как это выглядит:
  • руководство организаций не видит безопасность как функцию, дающую бизнес-ценность
  • в связи не делаются усилия для поиска и наем нужных специалистов на критические роли
  • это приводит к тому, что практически ничего не делается для того, чтобы улучшить информационную безопасность как функцию от риск-менеджмента
  • происходит серьезный инцидент информационной безопасности
  • на разбор и устранение последствий инцидента уходит огромное количество времени, денег и человеческих ресурсов
  • руководство задает вопрос "Почему наша служба информационной безопасности не смогла это предотвратить?"
  • ценность безопасности для бизнеса становится еще меньше
  • ... теперь возвращаемся в начало списка (круг замкнулся)...
Этот депрессивный взгляд на проблему может вызвать вполне резонный вопрос - "И как же выйти из этого замкнутого круга ? По моему мнению выход есть и он не потребует десятикратного увеличения бюджета на информационную безопасность. Он потребует только объединения усилий ваших поставщиков средств и сервисов по информационной безопасности, вашего руководства и вас как менеджеров по информационной безопасности. Давайте я поясню, что я имею ввиду.

Во-первых мне кажется, что мы должны изменить свой взгляд на информационную безопасность. В настоящий момент инфобезопасность - это инструмент для решения отдельных проблем. Многие руководители служб информационной безопасности, с которыми мне довелось общаться, указывали на то, что им приходится иметь дело с огромным количеством производителей средств защиты, каждый из которых решает некую узкую задачу и при этом практически никак не интегрируется с другими механизмами безопасности с целью практического снижения существующих рисков.
Возьмем к примеру антивирус. Как это решение взаимодействует с другими средствами защиты, используемым в вашей организации ?

Настало время производителям средств защиты выступить с цельными, комплексными решениями, способными обеспечить потребность в минимизации возросших рисков. Точечные решения - это уже прошлый век, они не работают. Более того, следует обеспечить возможность осознанного принятия решений в отношении имеющихся рисков на основе аналитики, предоставляемой как существующими техническими решениями, так и взятой из внешних источников. Если вы не получаете никакой риск-ориентированной аналитики от используемых технических решений настало время задать вопрос производителям этих средств защиты, либо задуматься над тем, как обеспечить себя необходимой аналитикой.

Во-вторых мне кажется настал момент подумать иначе над тем, что мы делаем с точки зрения информационной безопасности. Мы больше не стражники крепостных стен (а может быть никогда ими и не были), за которыми спрятаны ценные активы нашей компании. Настало время сесть с бизнесом за стол переговоров и выяснить наконец как безопасность может интегрироваться с бизнес-целями организации. В этой идее нет ничего революционного, я согласен, но до настоящего времени этого никто так и не делает. Функция безопасности по-прежнему слабо связана с общими целями организаций, а специалисты по информационной безопасности по-прежнему слишком ориентированы на технологии, вместо того, чтобы сконцентрироваться на той ценности, которую они могут дать бизнесу.
Мне кажется, что специалистам по информационной безопасности требуется стать в определенном смысле бизнес-аналитиками, изучить различные аспекты корпоративного управления, а уже потом переходить к вопросам применения технологии информационной безопасности. Разобраться в технологии - легко, применить ее в реальном бизнесе - не просто.

Нужно начать думать не над тем, какую еще "передовую" технологию закупить, а над тем, что нужно сделать для решения проблем безопасности в контексте имеющихся бизнес-задач.

Данный материал является моим вольным переводом статьи Rafal Los, опубликованной в журнале CIO.

8 комментариев:

  1. "Мне кажется, что специалистам по информационной безопасности требуется стать в определенном смысле бизнес-аналитиками, изучить различные аспекты корпоративного управления, а уже потом переходить к вопросам применения технологии информационной безопасности."

    Вырастает промежуточное звено между Бизнесменом и Ибшником? Но почему только Ибшник должен дорасти до Бизнеса а не Бизнес ДОРАСТИ до ИБ?
    Это ключевой момент!!!

    Часто встречаю утверждения о росте ИБ но ключевой момент в росте ИБ - рост Бизнеса! Бизнес должен не опуститься до ИБ! Бизнес должен ПОДНЯТЬСЯ до ИБ.

    ОтветитьУдалить
  2. Думаю, что как бы нам не хотелось, но это утопия. Тут не вопрос кто до кого должен опуститься. Бизнес владеет деньгами и в этой ситуации он никогда сам ни к кому не пойдет. Но это не повод обижаться, просто нужно играть по правилам бизнеса, вот и все.

    ОтветитьУдалить
  3. Если уж проводить аналогию с гонкой вооружений, то была (да и сейчас есть) такая примочка, как ассиметричный ответ. Давно пора уходить от "угроза - средство закрытия" к "угроза-источник-средство уничтожения". Как говорил один известный нам политик "мочить в сортире".

    ОтветитьУдалить
  4. Что вас сегодня с Царевым - прорвало что ли? :) Я об этом с 2005 года говорю - а вы только одумались :)))

    ОтветитьУдалить
  5. Я разделяю мнение коллеги относительно "дорастания" бизнеса до ИБ. Это что-то из разряда "демократия для богатых". Ещё лучше аналогию может пояснить сравнение ИБ с правилами и средствами гигиены (вакцинацией, диспансеризацией), а не со страхованием. Это наличие дизастер рековери плана похоже на страхование жизни скорее. Ещё мне кажется интересной мысль на эту тему Шнайдера. У него пару лет назад была заметка по поводу психологии безопасности, в которой он говорил, что люди как раз и не рассматривают безопасность, как отдельную какую-то функцию. Они ждут, что она будет интегрирована в нужный им инструмент или решение. И в качестве прекрасного примера тут выступал современный автомобиль. Насколько я помню. В ИТ подобного и близко нет.

    ОтветитьУдалить
  6. Алексей, самое интересное, что мы с Женей вообще никак не сговаривались, более того я его поста еще даже не читал :) (посмотрел после твоего комментария)

    Но насчет "а вы только одумались" скажу что указанный пост всего лишь перевод недавно вышедшей статьи в журнале CIO, а не недавно пришедшие мне в голову мысли.

    ОтветитьУдалить
  7. " Давно пора уходить от "угроза - средство закрытия" к "угроза-источник-средство уничтожения"
    - )))))))
    - В том же ключе предлагаю рассмотреть Средства самоуничтожения! - СЗИ определила что под атакой, установила, что противостоять не сможет - и бац раскусила ампулу в манжете...
    - Кто читал "Автостопом по галактике" - есть один момент, когда летят на Магратее две ракеты в корабль. - Паника и все такое, ничего сделать нельзя и на вопрос "сделай хоть что ни будь" - корабль выдвигает штурвал, включает ручное управление и желает удачи!!!
    P.S> в каждой шутке есть доля шутки...

    ОтветитьУдалить
  8. По поводу "доростания" я имел в виду Бизнес не как кучу денег и толстого коротышку, который ждет когда ему еще принесут...
    Бизнес - есть процесс, и в спектре всех направлений деятельности должна быть ИБ если она нужна(если роль направления значима).
    То же относится к всем направлениям, и по большому счету, можно допустить, что каждое направление само себя обосновывает, но роль Бизнеса как раз в том, куда двигаться, какие направления развивать для достижения своих целей. В процессе оценки и прогноза Бизнес как раз оценивает ИБ.

    ОтветитьУдалить