Еще раз про ИБ, или Как потратить деньги с пользой
Общаясь с коллегами по рынку, сегодня мы часто слышим примерно одну и ту же жалобу на сокращение бюджета. Однако глобальное исследование PwC по вопросам обеспечения информационной безопасности за 2015 год свидетельствует об обратном: «Средний бюджет на информационную безопасность опустился до отметки 4,1 млн долларов США, что на 4% меньше прошлогоднего значения. Расходы на безопасность по-прежнему находятся на уровне всего лишь 3,8% от общего ИТ-бюджета (по общемировым показателям)». В целом отмечается незначительное сокращение среднего бюджета на обеспечение информационной безопасности, что знаменует собой изменение тренда трех последних лет. Текущую ситуацию с бюджетами проясняет взаимосвязь между инвестициями в безопасность и размером компаний.
В этом году 20%-ное снижение инвестиций в безопасность по сравнению с 2013 годом отмечается в компаниях с выручкой менее $100 млн, при этом компании среднего и крупного размера, наоборот, заявляют о 5%-ном увеличении расходов на безопасность.
4% – это, конечно, на уровне математической погрешности, и, как говорится, не о чем разговаривать. Можно было бы предположить, что у России какой-то свой путь, но годы работы в ИТ и ИБ подсказывают, что это не так: мы всегда находимся в рамках мировых тенденций, а иногда и на пике трендов. Что же получается, коллеги, вы нас обманывали? Если еще раз обратиться к этой теме и задать себе более глубокие вопросы, то вырисовывается несколько иная картина. В итоге сокращение бюджетов превратилось в «ну да, обещали увеличить финансирование в этом году, но не увеличили… печально». Вот это уже ближе к истине, совпадает с данными отчета и ощущением в целом. Плюс из-за резких скачков валюты мы опять оказались в ситуации 2008-2009 гг., когда часто приходилось слышать вопрос: «А вы в чем растете – в долларах или рублях? А, в долларах падаете, в рублях растете?» Понятно, что были выразительные примеры того, как финансирование действительно заморозили или, наоборот, резко увеличили (как правило, вследствие каких-либо инцидентов в прошлом году или для выполнения требований регуляторов или аудиторов).
Как не стать продавцом КИРБИ, продавая ИБ
Ну что тут скажешь? Мы, информационная безопасность, всегда живем в условиях трех НЕТ: нет денег, нет людей, нет времени. Но и тут ничего нового – не привыкать! Да и в целом «любовь» сотрудников компании к отделу информационной безопасности сравнима с «любовью» к бухгалтерии и юридическому департаменту: там и там сидят «космонавты», общаются на непонятном языке… Да, эти отделы исполняют роль строгой, но заботливой мамочки: «шапку надень», «пообедай», «нужно выполнить все рекомендации ФСТЭК». Сначала ее строгость непонятна, а потом, когда дети вырастают, они понимают, о чем шла речь и почему мама была так строга.
Конечно, информация, поддерживающие ее процессы, информационные системы и сетевая инфраструктура являются существенными активами организации. Конфиденциальность, целостность и доступность информации могут сыграть значительную роль в повышении конкурентоспособности, обеспечении ликвидности, доходности, соответствия законодательству и укреплении деловой репутации организации. Далеко не все руководители осознают риски, которые могут угрожать их компаниям в сфере информационной безопасности. Но давайте задумаемся: а должны ли? У них других забот хватает: дебиторская задолженность растет, цех вовремя запустить не могут, «доярки в декрете, механики в запое». И тут вы, такой классный, в красивом костюме и галстуке (ну или в строгом платье – от пола зависит, конечно): «Давайте поговорим о киберрисках, уважаемый CEO, наверняка у вас есть критически важные активы компании…» И мы начинаем выглядеть в таком случае как незнакомый сайентолог или продавец пылесосов марки «Кирби».
Именно поэтому при выделении бюджета на усовершенствование систем, которые минимизируют такие риски, отделы информационной безопасности сталкиваются с большим сопротивлением. И для многих директоров по ИБ это становится серьезной проблемой. С другой стороны, согласно данным глобального исследования PwC по вопросам обеспечения информационной безопасности за 2015 год, бюджет на ИБ – это всего лишь 4% бюджета ИТ. Можно, конечно, опять всплакнуть и порефлексировать на конференциях о том, как нас, ИБ, не любят, а можно посмотреть на это с другой стороны. 4% от бюджета ИТ? Да это копейки в рамках всей организации и увеличения даже в два раза она в целом не заметит. Кто-то может возразить: «А вы знаете, кто у нас лицо, принимающее решение?» Ответим не задумываясь: «Знаем! Тысячу раз уже слышали эти истории! Или идите выбивайте бюджет, если он вам действительно нужен, или смиритесь с тем, что вы этого сделать не можете. Только не нойте, пожалуйста».
О чем говорить с руководителем?
Топ-10 вопросов, которые, на наш взгляд, могут заинтересовать CEO для продолжения диалога о необходимости капиталовложений к информационную безопасность компании:
1. Какого класса информация наиболее критична для вас?
2. Сколько случаев инцидентов у вас было?
3. Кто заинтересован в краже вашей информации?
4. Как много вы тратите на защиту критически важной информации?
5. Какие случаи нарушения деятельности компании, связанные с ИБ, у вас были в течение года?
6. Какова потенциальная стоимость информации из вашей CRM системы, если она попадет на рынок?
7. Как вы понимаете, что для вас информационная безопасность?
8. Наверняка у вас есть критически важные активы компании – непонятно только, какие именно?
9. Какую модель управления ИБ вы используете и какова ваша роль в ней?
10. Знаете ли вы, как много времени потребуется, чтобы украсть вашу коммерчески ценную информацию?
Эти вопросы не всегда выведут к диалогу по актуальности задач информационной безопасности, но позволят как минимум задуматься о том, что цена информации в компании достаточно велика и ее утрата может привести к необратимым последствиям в бизнес-процессах, а также отразиться на доходах всей компании.
Основная проблема ИБ – это человеки
С другой стороны, статистика по инцидентам показывает, что основными объектами кибератак по-прежнему остаются компании сектора финансовых услуг. По результатам 18-го ежегодного опроса руководителей крупнейших компаний мира, большая часть российских предпринимателей (63% респондентов) согласна с тем, что число угроз для бизнеса увеличилось. Киберриски поднялись с десятой позиции на шестую. Подавляющее большинство инцидентов связано не с какими-то суперновыми угрозами, а с известными нам уже много лет назад. И все ошибки можно свести к трем типам: ошибки в архитектуре, неправильно реализованные ТЗ и ошибки в эксплуатации (пренебрежение к правилам и политикам, в том числе со стороны сотрудников ИБ).
До каких банальностей мы договорились! Основная проблема в ИБ – это люди. Правда, новость? Что делать? Учить – тоже банально. В принципе бюджеты на обучение есть, их обычно не режут, но когда начинаешь рассматривать этот вопрос максимально приближенно («чему же учили сотрудников по ИБ?»), то просто диву даешься. Зачем столько вендорских курсов? Какие ценные знания получил сотрудник ИБ, который пять дней обучался настройке и конфигурации очередного маршрутизатора или, простите за выражение, межсетевого экрана? Ну хорошо, не любите вы интеграторов, ну так держите только половину сотрудников, которые могут только гайки крутить, а вот вторая половина должна постоянно изучать общие принципы построения ИБ, включая требования регуляторов.
На последнее хотелось бы обратить особое внимание. Думаю, все заметили колоссальный сдвиг в компетенции ФСТЭК (скорее всего, ваш регулятор – именно он) за последние годы. Коллеги сделали и делают все, чтобы бумаги и рекомендации были привязаны к земле, то есть к конкретным информационным системам. Как гласит старая инженерная пословица: «Ну если совсем не знаешь, как сделать, – посмотри в ГОСТ, наконец». Для решения этого вопроса действуют те же рекомендации: посмотрите на приказы и методические документы регулятора. Если вам или вашим коллегам показалось, что это просто набор слов и ничего не понятно, задумайтесь: может, коллег стоит поменять или перевести их в разряд отверткокрутителей?
А, компания созрела…
Понятно, что люди и их компетенции – это основное, но без закупки или обновления программного обеспечения и нового «железа» все равно не обойтись. Не сейчас, так через квартал финансирование снова откроют – всегда же открывали! Понятно, есть статья бюджета ИБ, которая никогда не страдает, – антивирусы. Антивирусы – это святое и тем более понятное и CEO, и CFO, а порой единственное, что понятно им в ИБ. Курсовая разница, конечно, сильно сказывается на возможности реализовать все, что планировалось, поэтому, может быть, имеет смысл посмотреть не стандартные решения, которые исторически используются в ИБ, но в силу своего американского, как правило, происхождения напрямую привязаны к курсу доллара, ведь, живя и работая в России, бюджеты мы планируем все же в рублях.
Ну и спешим напомнить: ИБ – это 4% от общего бюджета ИТ, то есть ничто в рамках всей компании. Советуем вам оставаться настойчивыми и убедительными, так как сокращение вашего бюджета никак не улучшит общее финансовое положение компании, как бы ни пытались вас убедить в обратном CEO или CFO. Сам подход к стратегии и общению с ЛПР (лицо, принимающее решения) по вопросам утверждения ИБ-бюджета – абсолютно стандартный. Никакие личные качества человека, его знания или их отсутствие, по сути, никак не повлияют на стратегию вашего поведения. Всё зависит только от зрелости ИБ в вашей компании, то есть от вас самих. Пример такого подхода можно найти в статье одного из соавторов данной статьи Екатерины Старостиной под названием «Управление киберрисками в финансовых институтах».
Неважно, к какой отрасли относится ваша компания, – подход будет один и тот же. Когда вы оцените себя и уровень зрелости ИБ в своей компании: базовый, стандартный, высокий (в вышеупомянутой статье Екатерины Старостиной используются другие формулировки: «отстающие», «как все», «передовые») – у вас появится стратегия. На базовом уровне зрелости у вас есть только один вариант – заниматься устрашением руководства: пугать служебными записками, уголовным и административным кодексами, санкциями регулятора, убытками – но, увы, пугать придется до ужаса, так как по-другому вас не поймут. На высоком уровне зрелости следует договариваться, но в этом случае, скорее всего, у вас и так нет проблем с бюджетами. Ну а на стандартном уровне получается сложнее всего, так как придется лавировать между двумя вариантами.
Stand up and fight!
В заключение хотелось бы сказать, что идея статьи появилась после тесного общения с сотрудниками отделов ИБ на протяжении нескольких последних лет. Нам захотелось обобщить их ответы, отбросив все частные примеры, и получить так называемые общие болевые точки, показав, что ваш или чей-то частный случай вписывается в общую канву и никаких принципиально новых проблем не появилось. Угрозы – да, а общих проблем – нет. Рассчитываем, что наша совместная работа усилит безопасность как отдельных компаний и организаций, так и всей страны в целом. И одним из объективных показателей станет рост доли бюджета ИБ: когда она будет составлять не жалкие 4% общего ИТ-бюджета, а хотя бы 6%, что уже продемонстрирует положительную динамику в отрасли.
Опубликовано 21.07.2015