IT ManagerБезопасностьУправление ИБ

Что общего между собакой Павлова и кибербезопасностью?

Алексей Лукацкий | 05.02.2019

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Что общего между собакой Павлова и кибербезопасностью?

  • Давайте начнем эту статью с небольшого опросника, в котором вам надо ответить на 12 вопросов:

  • Вы считаете, что лучше знаете, что нужно бизнесу.

  • Вы прекрасно защищаете свою организацию, но совершенно не умеете «продать» это наверх.

  • Вы не получили вовремя грамотную помощь в том, что касается деятельности предприятия, или ее не было вовсе.

  • Вы не делегируете, пытаясь все сделать самостоятельно.

  • У вас нет бизнес-плана/цели/миссии, включая план действий на случай провала.

  • Вы ничем не отличаетесь от внутренних конкурентов, которые тоже хотят внимания руководства и бизнеса.

  • Вы не относитесь к своей работе всерьез.

  • Вы тратите неоправданно мало на безопасность, стараясь сделать все подешевле и попроще.

  • Вы тратите неоправданно много на безопасность.

  • В вашей стратегии ИБ нет фокуса – вы пытаетесь защитить все.

  • Вы не умеете сотрудничать с бизнес-подразделениями.

  • Вы склонны недооценивать, сколько времени и денег потратите, пока ваша служба встанет на ноги.

Все эти вопросы описывают причину, почему бизнес «не видит» кибербезопасность на своем предприятии. Разумеется, затраты на информационную безопасность отражены в бюджете, но это именно затраты. Никакой пользы, никакой отдачи, никакой экономии. Зачем тогда кибербезопасность бизнесу? Такой же вопрос часто задается и с другой стороны. Что может дать ИБ бизнесу? Но самое забавное, что задавая себе этот вопрос, безопасники не предпринимают усилий, чтобы получить ответ на него, живя в плену собственных иллюзий или вообще не задумываясь о потребностях своего работодателя, подменяя их необходимостью выполнять требования законодательства или борясь с мифическими угрозами.

Собака Павлова и теория Селигмана

Я никогда не мог понять, почему специалисты по кибербезопасности не пытаются выйти на уровень бизнеса, принижая свою роль в организации? И вот недавно я, как мне кажется, нашел ответ на странице Олега Вайнберга в Фейсбуке. Олег перепечатал заметку о теории Селигмана, американского психолога, который продолжал опыты известного русского физиолога Ивана Павлова. Если вы помните школьную программу, то Павлов изучал условные рефлексы собак: у них выделялась слюна при звуке сигнала, за которым следовал прием пищи. Мартин Селигман решил сопровождать звук сигнала не куском мяса, а ударом тока. Логично предположить, что в такой ситуации собака должна была пытаться убежать от боли, что и происходило. Селигман стал фиксировать собак, чтобы они не сбежали. Проведя какое-то количество опытов, американский психолог выпустил подопытных собак в вольер с низким забором, чтобы проверить, как поведут себя собаки, если по-прежнему давать сигнал. И вот тут случился парадокс. Здравый смысл подсказывает, что собаки должны были убегать, но... нет. Они забивались в угол и скулили, даже не пытались покинуть вольер. Это явление назвали выученной беспомощностью.

Данная теория проверялась многократно, в том числе на людях, и выяснились удивительные факты: человек поступал так же, как и собака. Разумеется, он не забивался в угол и не скулил в прямом смысле слова, но в переносном именно так себя и вел. Психологи доказали, что если человек испытывает поражение, несмотря на многократные усилия, у него атрофируется желание что-то менять. Наступает апатия, и человек сдается. Я думаю, вы уже поняли, куда я клоню? Да, именно так. Многие классические безопасники, которые никогда не учились на курсах MBA, не знают основ бизнеса, не умеют общаться со своим руководством, попытавшись несколько раз вынести проблематику ИБ на уровень бизнеса и не получив положительного ответа, теряют желание делать это вновь. Они опускают руки и продолжают заниматься тем, что у них получается прекрасно, – торговать страхом, запугивая регуляторикой и хакерами.

Кстати, теория Селигмана имеет и иное приложение к информационной безопасности. Эффект апатии наступает и в ситуации хаоса, где постоянно меняются правила и любое действие может привести к наказанию. Такое происходит в государственном регулировании Интернета и ИБ, когда наказания появляются как грибы после дождя и абсолютно непредсказуемы. Когда мы неуспешно размещаем резюме, отправляемся на собеседования и не находим работу, тоже действует эффект Селигмана. Мы теряем инициативу, ложимся на пол и начинаем скулить.

Можно ли выйти за пределы «вольера» и, несмотря на предыдущие неудачные попытки, улучшить ситуацию? Да! Психологи предлагают три сценария – делать хоть что-то (то есть вообще что-то делать, не сидя сложа руки), воплощать в жизнь теорию малых дел или поменять точку зрения на проблему. Первый вариант в нашем случае не является правильным, поэтому я предлагаю пересмотреть свою деятельность на поприще кибербезопасности с точки зрения бизнеса и начать выполнять небольшие задания, разбив их на этапы – по одному на каждый месяц 2019 года.

Модель 4П

Существует очень простая «модель 4П», которая описывает все, что волнует любое лицо, принимающее решение на вашем предприятии. Любая деятельность может и должна быть увязана с этими 4П. Если вам подобное удалось, вы сделали большой шаг вперед. Если, как бы вы ни старались, у вас не получается связать ваши проекты по кибербезопасности с 4П, значит вы делаете что-то не то. Что же это за 4П? Прибыль, процессы, персонал и *** (это слово я не могу произнести вслух или воспроизвести на бумаге, но это то, что приходит неожиданно и сможет смешать все карты. Мы не будем дальше обсуждать эту четвертую П, сосредоточившись на первых трех).

Генеральному директору не нужен маркетинг – ему необходимо решить эти три проблемы. Финансовому директору не нужен новый модуль в SAP – ему требуется решить эти три проблемы (или некоторые из них). ИТ-директору не нужен аутсорсинг – ему надо решить эти три проблемы. И так далее. SAP, маркетинг, аутсорсинг только помогают в осуществлении поставленных задач. То же самое и с кибербезопасностью. Надо просто связать два компонента вместе: с одной стороны, у нас будет одна (или все) из «П», а с другой – ИБ. Попробуем раскрыть каждую из трех букв «П».

Прибыль... Это то, ради чего существует любая компания (хотя есть и те, кто хочет нарастить клиентскую базу и продаться кому-то большому). Любая деятельность в компании должна быть увязана с прибылью в той или иной форме, в том числе и безопасность. Любой проект в этой области, когда вы его представляете топ-менеджменту своего работодателя, должен заканчиваться следующей фразой: «Для того, чтобы вы...». А в качестве многоточия может быть один из следующих вариантов:

  • «...зарабатывали больше». Можно ли зарабатывать больше на ИБ? Если речь не идет о производителе средств защиты информации, то вроде бы и нет. Но это поверхностное суждение. Например, кибербезопасность может сделать сайт интернет-магазина доступнее, то есть обслужить больше клиентов и заработать больше.

  • «...продавали больше». Представьте, что мы сможем ускорить процесс проверки заемщика в банке, тем самым уменьшив время на заключение сделки и увеличив их число.

  • «...открыли новые рынки».

  • «...снизили издержки». Утечка информации о клиентах, тарифах или ноу-хау приводит к издержкам. Расследование инцидентов ИБ тоже приводит к издержкам. Атаки «отказ в обслуживании» – тоже. Борьба с этими издержками (а не с самими атаками или инцидентами) и есть задача кибербезопасности на предприятии в контексте бизнеса.

Персонал... У бизнеса обычно проблема не в конкретных людях (хотя и это бывает), а в препятствиях для эффективной деятельности людей. И если получение прибыли – это преимущественно задача коммерческого предприятия, то решение проблем с персоналом является важным и для коммерческой, и для государственной. Какие препятствия могут быть связаны с персоналом и как здесь может помочь  кибербезопасность?

Удержание лучших. Если система защиты электронной почты, система контроля доступа в Интернет или решение DLP сможет оповещать вас о том, что ключевые сотрудники начали искать работу (отслеживание резюме, предложение работы или регулярное посещение сайтов по поиску вакансии), то именно это может быть интересно бизнесу, а не борьба со спамом, который, может быть, ничем и не грозит (хотя на самом деле это не так).

Негативная атмосфера. В компании нашлась паршивая овца, которая мутит воду и из-за которой климат в коллективе стал хуже некуда? Как понять, кто это? И снова без средств мониторинга информационных каналов не обойтись.

Халатность. Сотрудник подрядной организации занес на ноутбуке вредоносную программу, которая «положила» всю сеть. Партнер, модернизирующий вашу инфраструктуру, забыл поменять пароли, заданные производителем по умолчанию. Разработчик заказного ПО «случайно» оставил в коде фрагмент, пересылающий всю информацию на его адрес. Вот лишь несколько примеров халатности, которые может помочь решить службы информационной безопасности.

Некомпетентность. Бухгалтер открыл фишинговую ссылку, подхватил вредоносную программу, и она перевела все деньги со счета организации мошенникам. Кто должен бороться с таким примером некомпетентности, от которой страдает бизнес?

Процессы... Проблемы с ними приводят к неэффективной деятельности, упущенным возможностям, времени или усилиям, потраченным впустую. Какие источники проблем могут стать точкой приложения сил для кибербезопасности? Выставление счетов, бухгалтерия, заключение контрактов, документооборот, техподдержка покупателей, управление инфраструктурой, инновации, производство, операционная деятельность, разработка продукта, compliance, R&D, продажи, планирование и т. п.

Возьмем, к примеру, процесс документооборота. Преимущественно он бумажный во многих организациях. Что если вы перейдете на полностью электронный документооборот с электронной подписью документов, передаваемых клиентам? В глазах клиента вы не только будете выглядеть инновационной компанией, но и сократите издержки на хранение бумажных носителей, а также ускорите процесс взаимодействия с клиентов и освободите собственный персонал от бумажной работы. Налицо выполнение всех трех «П», о которых я упоминал выше.

План действий на 2019 год

Зная о теории Селигмана и модели 4П (на самом деле трех, так как четвертая «П» неуправляемая), можем ли мы начать реализацию теории малых шагов и попробовать вновь заручиться поддержкой бизнеса, продвигая идеи важности и нужности кибербезопасности для вашего предприятия? Безусловно, можем. И чтобы закончить статью на практической ноте, я предлагаю конкретный набор шагов, способный закрыть перечень из 12 пунктов, с которых я и начал эту статью и которые можно разделить на оставшиеся 11 месяцев:

  • Спросите у бизнеса, что ему нужно, опираясь на модель 3П.

  • Вы научились, как общаться с бизнесом и что его интересует.

  • Вы выстроили план обучения себя и своих сотрудников, в том числе и с точки зрения самообразования.

  • Вы начали делегировать задачи подчиненным, четко поделив между ними фронт работ, а также обратились к подрядчикам и аутсорсерам, разработав стратегию аутсорсинга ИБ.

  • Вы разработали стратегию ИБ и план реагирования на инциденты.

  • Вы составили свои особенности (конкурентные преимущества).

  • Вы научились составлять бюджет и обосновывать то, что нужно бизнесу.

  • Вы трезво и критически пересмотрели ваши проекты и продукты по ИБ и отказались от избыточно дорогих и неэффективных.

  • Вы приоритезировали ваши проекты по ИБ, отталкиваясь от бизнес-потребностей.

  • Вы созвали комитет по ИБ и регулярно собираетесь с бизнес-подразделениями.

  • Вы начали готовиться к 2020 году.

Разумеется, каждый из перечисленных 11 этапов должен быть разбит на более мелкие  задачи, которые в целом и должны привести нас к ожидаемому результату – бизнес начинает видеть в ИБ не стопор всех инициатив и начинаний, а помощника, стремящегося помочь бизнесу увеличивать прибыль, улучшать процессы и устранять препятствия, связанные с персоналом. И все это безопасным образом!

Ключевые слова: киберугрозы, информационная безопасность

Горячие темы: Угрозы и риски ИБ

Журнал IT-Manager № 01/2019    [ PDF ]    [ Подписка на журнал ]

Об авторах

Алексей Лукацкий

Алексей Лукацкий

Бизнес-консультант по безопасности Cisco. В области информационной безопасности с 1992 года. Автор свыше 600 печатных работ. Награды Ассоциации документальной электросвязи «За развитие инфокоммуникаций в России», Инфофорума в номинации «Публикация года», Security Awards за просветительскую деятельность и другие. В 2013-м и 2014-м годах порталом DLP-Expert был назван лучшим спикером по информационной безопасности. Автор курсов «Введение в обнаружение атак», «Системы обнаружения атак», «Как увязать безопасность с бизнес-стратегией предприятия», «Что скрывает законодательство о персональных данных», «ИБ и теория организации», «Измерение эффективности ИБ», «Архитектура и стратегия ИБ» и др.Участник Технического комитета 362 «Защита информации» Федерального агентства по техническому регулированию и метрологии и ФСТЭК. Участник рабочей группы Совета Федерации по разработке поправок к ФЗ-152 и разработке Стратегии кибербезопасности России.Участник рабочей группы Совета Безопасности по разработке основ государственной политики по формированию культуры информационной безопасности.


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Загрузка...

Другие материалы рубрики

Компании сообщают

Мероприятия

20.04.2019
DevOpsForum 2019

Москва, Holiday Inn Moscow Sokolniki

23.04.2019
BIT-2019

Санкт-Петербург, Конференц-центр отеля "Holiday Inn Московские ворота"

24.04.2019
Meet Up "VR/AR в маркетинге"

Технопарк "Калибр"

25.04.2019
Эрудированные роботы в массовом дистанционном обслуживании

Москва, Swissotel Красные Холмы, панорамный зал «Давос»

25.04.2019 — 26.04.2019
Open Agile Day

Отель Шератон Палас

25.04.2019
Эффективные бизнес-процессы: будущее за цифрой

Санкт-Петербург, конференц-зал отеля «Гайот», ул.Профессора Попова 23 (м.Петроградская)