УправлениеБезопасность

ИБ и пользователь, или Безопасность как сервис

Александр Башкиров | 23.09.2015

ИБ и пользователь, или Безопасность как сервис

Что видит конечный пользователь? Только запреты. Как включить сотрудников в процесс ИБ?

Очень много сказано об информационной безопасности с позиции технологий. Системы защиты, фильтрации, предотвращения, антивирусы точно есть практически в любой организации. Системы и меры защиты обеспечивают защиту защищаемых согласно законодательству данных, коммерческой тайны, служебной тайны и т. д. Только вот любая система пасует перед обычной человеческой логикой. Логикой обычных людей.

Немного об основах

Что такое ИБ с позиции конечного пользователя? В первую очередь это ограничение. Потому что нельзя устанавливать ПО, не одобренное некими таинственными офицерами информационной безопасности, нельзя ходить на левые сайты, нельзя вести переписку в соцсетях… Нельзя звонить с корпоративного телефона по некорпоративным вопросам, нельзя писать личные сообщения с корпоративной почты… и много других «нельзя». При этом далеко не все эти «нельзя» относятся к контуру ИБ.

Давайте попробуем понять, что вообще представляет собой ИБ, если отойти от систем, запретов и разрешений. Начнем с того, что в любой организации есть информация. Информации достаточно много – и некоторая информация может быть общедоступной, а некоторую желательно не разглашать, потому что именно на ней держатся те или иные конкурентные преимущества. Ну, например, такой информацией может выступать метод производства какого-либо изделия, особенности механизмов работы ПО или информация про настройку некого оборудования. Ну и то, что должно быть защищено по закону (например. персональные данные), то есть то, что напрямую конкурентных преимуществ не создает, но то, что разглашать нельзя и обрабатывается оно только специализированным образом сотрудниками, имеющими специализированный доступ.

Логично, что эта информация так или иначе должна быть защищена. Например, к ней может быть ограничен доступ на уровне программного обеспечения или же на уровне физики – то есть физического доступа. Причем одно не исключает другое. Собственно, ИБ (она же информационная безопасность) как раз и занимается вопросами защиты такой информации. Ну а защита традиционно строится на трех китах: обеспечении, предотвращении, расследовании.

Функция обеспечения достаточно широкая: сюда входят как проработка и подготовка организационных мероприятий, так и проработка и внедрение программных и аппаратных средств защиты информации и ее носителей. Оценка угроз, анализ негативных сценариев, оценка влияния, рисков и контрмероприятий – это все лежит в «обеспечении».

Функция предотвращения – по сути, это ежедневная рутинная работа в режиме эксплуатации всего, что запроектировано в «обеспечении». Каждый день нужно обеспечивать допуск специально выделенных сотрудников к местам хранения информации, следить за функционированием системы доступа и т. д.

И наконец, функция расследования: в рамках этой функции проводится расследование случаев нарушения доступа к информации. Эта функция также опирается на спроектированные в «обеспечении» регламенты и процедуры.

Что из этого видит конечный пользователь? Только запреты. В большинстве случаев простой пользователь не задумывается ни о законодательстве, ни о том, что есть защищаемая информация. Ни о чем. Он подписал бумаги при трудоустройстве, относясь к этому как к формальности, в том числе, возможно, соглашение о нераспространении, обязательство по соблюдению режима коммерческой тайны, еще что-то. Многие подписывают, даже не читая и не вникая: ну ладно, надо так надо.

Для них это «бумага на входе». И в дальнейшем, при работе, отношение в принципе примерно такое же: надо так надо. Наверное, поэтому и работают на простых пользователях методы социальной инженерии: если относиться к информационной безопасности изначально несерьезно, то как можно быть уверенным, что пользователь абсолютно случайно не проболтается потенциальному недоброжелателю о чем-то существенном?

Про культуру

И тут уместно вспомнить о такой вещи, как корпоративная культура. Вообще в целом это очень широкое понятие, базирующееся на ценностях, вырабатываемое и прививаемое у сотрудников в результате комплекса специально рассчитанных на это мероприятий. (Отмечу, что корпоративную культуру в целом недостаточно декларировать – ей надо следовать. То есть сделать так, чтобы каждый сотрудник не просто следовал ей, а захотел ей следовать, а это отдельная большая и сложная задача.)

Частью корпоративной культуры может (и должна) быть культура информационной безопасности. На этом месте обычно возникает ступор. Объяснить, что такое культура, достаточно сложно. Еще сложнее объяснить, зачем она нужна и как ее внедрять. Но я все-таки попробую. Культура – это комплекс внутренних убеждений и, как следствие, первых реакций человека. Если человек убежден, что нормы информационной безопасности важны именно для него, то и нарушений станет на порядок меньше, потому что у человека появится мотивация осторожнее относиться к этой сфере. Достаточно довести до пользователя элементарную мысль, что ему лично важна безопасность той информации, к которой он по служебной необходимости имеет доступ, как количество случаев нарушений ИБ пойдет на спад. Почему? Да потому, что будет включаться первая реакция: нельзя! опасно! может нанести вред! К сожалению, так бывает далеко не всегда. Чаще люди склонны делиться друг с другом в том числе рабочими новостями, часть из которых может относиться к защищаемой информации. Соответственно, задача корпоративной культуры в части информационной безопасности – выработать у сотрудников векторы, ориентиры, которые бы давали возможность для правильных действий хотя бы в 80% случаев.

Как это сделать? С одной стороны, метод кнута и пряника никто не отменял. С другой – это, в общем, не наш метод. Потому что корпоративная культура строится в первую очередь на парадигме того, что сотрудник сам, без принуждения, будет следовать ее принципам. Таким образом, получается, что в рамках общей культуры предприятия должна быть выстроена культура ИБ, включающая в себя достаточно большой объем различных мероприятий, направленных на повышение внутренней сознательности пользователей. Семинары, видеоуроки, рассылки с дайджестами и/или статьями – все эти средства могут стать серьезным подспорьем во внедрении культуры ИБ. И прошу заметить, никаких технических подробностей. Рискну сказать, что культура ИБ начинается в массах там, где заканчивается техника. Потому что сертификаты, подписи, стороннее, недоверенное ПО, криптозащита – для большинства пользователей просто набор вроде бы русских слов. И точка.

Понятное дело, что с течением времени можно и нужно повышать техническую грамотность пользователей. Хотя бы на уровне того, чтобы с рабочих компьютеров не ходили куда не надо и в случае чего адекватно реагировали на возможные исключительно «компьютерные» случаи (сообщения антивируса, предупреждение файервола и т. д.). Но в первую очередь культура должна быть сфокусирована именно на информации, носителем которой выступает тот или иной конкретный сотрудник.

Про ибэшников

Начнем с того, что ибэшник – это не айтишник в общем случае. Вообще понятие «инженер ИБ» сильно варьируется в зависимости от организации. Где-то это узкий технический специалист, хорошо разбирающийся в специальных программно-аппаратных средствах, где-то – типичный представитель СЭБ, заточенный на обеспечение функции ИБ как одной из функций экономической безопасности. На самом деле и тот и другой подход имеют свои плюсы и минусы. Все зависит от трактовки того, что представляет собой ИБ в конкретной организации: техническую или организационную функцию.

Более того, есть и третий путь, который состоит в том, что ИБ – это функция и организационная, и техническая. Только вот мало где ИБ рассматривается как часть корпоративной культуры. И в этом, как мне кажется, кроется большая проблема, потому что, рассматривая ИБ в отрыве от культуры, мы получаем в итоге определенную вещь в себе. Тут можно сказать, что в силу специфики функция обеспечения безопасности в целом и должна быть вещью в себе. Отличие в том, что форма этой вещи может быть разная: где-то это вещь с человеческим лицом, где-то – полностью вещь в себе. В чем отличие? Да в том, что в первом случае офицер информационной безопасности рассматривается пользователями как препятствие, преграда, барьер, то есть то, что мешает жить и работать. Во втором случае такого барьера нет, наоборот, офицер ИБ воспринимается как союзник, который всегда придет на помощь в случае необходимости.

Это в общем и есть важная часть культуры: формирование именно отношения, внутреннего вектора каждого сотрудника. То есть победа не в том, чтобы заставить сотрудников ходить строем и шаг вправо, шаг влево ни-ни, а в том, чтобы в рамках коридора установленных правил сотрудник чувствовал себя достаточно комфортно и безопасно. И не только от угроз безопасности, но и от сотрудников, обеспечивающих противодействие этим угрозам. Повторюсь, офицер ИБ должен рассматриваться большинством пользователей именно как союзник – это очень важно.

Как добиться этого эффекта? Мне кажется, что начинать стоит с самих сотрудников ИБ, ориентировать их на большую открытость и коммуникабельность по отношению к пользователям, а также на проактивность. «Чем я могу вам помочь?» – должно быть нормальным вопросом от сотрудника ИБ к пользователю. При такой постановке вопроса требования ИБ исключительно на уровне психологии принимаются проще: разве можно отказать такому хорошему парню (американская система)?

А как же работа?

В свете сказанного возникает закономерный вопрос: а как же работа при таком-то пиаре? На самом деле достаточно просто. Ведь, если разобраться, деятельность любого сотрудника условно можно поделить на две части: внешнюю (нацеленную на коммуникации с коллегами) и внутреннюю (работа, которая выполняется исключительно самостоятельно и не связана с коммуникациями). Так или иначе, работа – это комбинация внешнего и внутреннего, причем неважно, кем является тот или иной сотрудник. В том смысле, что любой из нас, выполняя работу, как осуществляет взаимодействие, так и непосредственно выполняет ее.

Возьмем, например, классического айтишника, мастера на все руки: его работа как просветительская («сюда не нажимай, программа упадет»), так и результативная (пользователи довольны, аппаратные средства работают). По аналогичному принципу может работать и сотрудник ИБ, разделяя внутреннюю, скрытую от пользователей часть работы и внешнюю. На самом деле, если говорить о культуре, то вопрос в том, как выстроить внешнюю часть работы. Опять-таки на примере. Есть много прекрасных сервисных компаний, основа работы которых – соблюдение тех или иных норм, законов, правил, предписаний. При этом они выстраивают свою работу с клиентом так, чтобы ему было в первую очередь удобно. Это нивелирует кажущуюся возможную «строгость законов». Потому что человек в первую очередь отличается эмоциональностью реакции, и, соответственно, сервис он также оценивает изначально эмоционально. А по большому счету ИБ в рамках предприятия и как часть культуры – это сервис. Сервис, который предоставляется со стороны управления ИБ (или экономической безопасности, или просто службы безопасности) простым конечным пользователям.

Безопасность

Журнал: Журнал IT-Manager [№ 09/2015], Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Мысли вслух

Мы много и часто говорим о том, что "ИТ меняют наш мир". Посмотрим, как это происходит в Китае с применением конкретных инструментов и затрагивает сотни миллионов человек.
Согласно прогнозам Gartner, к 2022 г. 75% организаций, использующих инфраструктуру как сервис (IaaS), будут реализовывать продуманную мультиоблачную стратегию, в то время как в 2017 г. доля таких компаний составляла 49%.
Все жалуются на нехватку времени. Особенно обидно, что его не хватает на самые важные вещи. Совещания, созвоны, подготовка внутренних отчетов, непонятно, насколько нужных, но которые начальство требует так, как будто это именно то, ради чего мы работаем.

Компании сообщают

Мероприятия

VI Конференция ЦИПР-2021
Нижний Новгород, ул. Совнаркомовская, дом 13, «Нижегородская Ярмарка»
15 000 руб
23.06.2021
Выставка «EXPO-RUSSIA KAZAKHSTAN 2021»
Республика Казахстан
23.06.2021 — 25.06.2021
10:00–18:00
ЖКХ Будущего. Актуальные вопросы и решения
ОНЛАЙН
10 500 руб
24.06.2021 — 25.06.2021
10:00–18:00