Туз в прикупе
Автор
Рустэм Хайретдинов
Решение типа «нажал кнопку, и всем стало хорошо» в бизнес-безопасности просто невозможно
Как-то меня пригласили проконсультировать компанию по построению системы внутренней информационной безопасности. Компания получила крупный заказ, под который стала нанимать даже не сотрудников, а целые команды. За год ее штат увеличился со 150 до 500 человек, из-за чего компания не успевала адаптировать новых сотрудников к корпоративной культуре.
Это привело к тому, что ни о какой команде, корпоративном духе и т. д. речи не могло быть. Заказчик был государственным, а потому требования к конфиденциальности информации о самом заказе и деталях его исполнения были довольно жесткими, и от итогов реализации проекта во многом зависело дальнейшее сотрудничество.
В кабинете генерального директора присутствовало несколько человек, консультантов было двое — я и специалист по HR, остальные — топ-менеджеры компании. Знакомясь, я удивился, что на встрече нет ни менеджера, отвечающего за информационные технологии, ни ответственного за информационную безопасность — только генеральный директор, финансовый, начальник «первого отдела» и начальник отдела кадров. Я не начинал, думал, они опаздывают и мы их ждем. Меня поторопили, мол, время дорого. Я спросил, все ли в сборе. Мне ответили, что да, можно начинать. «А как же ИТ и ИБ?» — спросил я. Ответ был: «Это не их задача».
Защита информации как бизнес-задача
Так я впервые услышал от бизнес-людей, что защита информации — не работа служб информационной безопасности. И решив, что и от чего защищать, бизнес просто поручит своим службам выяснить, как это лучше (надежнее, дешевле, эффективнее) сделать. Видимо, только из ряда вон выходящая ситуация — взрывной рост персонала, не оставляющий время на воспитательную работу с кадрами, плюс заказчик с повышенными требованиями к конфиденциальности — может заставить бизнес заняться тем, чем он и должен заниматься в области защиты информации.
Но это редкое, едва ли не единственное исключение в моей двадцатилетней практике. Это была «идеальная компания в идеальной ситуации», в которой руководство ставило бизнес-цели, а остальные отделы проецировали данные цели на функции своих отделов. В остальных компаниях службы ИТ и ИБ довольно часто сами ставят себе бизнес-задачи так, как сами их понимают.
В последнее время службам информационной безопасности часто приходится заниматься не своим делом. Причины могут быть разными — от активного желания увеличить зону своего контроля до «больше некому». Оценка рисков, контроль соответствия требованиям, борьба с утечками информации и мошенничеством, внутренний аудит — по-хорошему не задачи службы информационной безопасности. Посмотрите на требования к начальнику службы ИБ — в них обязательно профильное образование и опыт, чаще всего в конкретной отрасли. Профильное образование не включает знания финансов, юриспруденции и профильного бизнеса работодателя, необходимых при решении задач противодействия мошенничеству, внутреннего аудита и соответствия требованиям.
Идеальная и реальные ситуации
По идее, бизнес должен давать службе информационной безопасности некие правила хранения, передачи и обработки данных в информационной системе, контроль за соблюдением которых и обязана осуществлять эта служба. Однако, наблюдая за развитием интересов служб ИБ, я вижу, что область их интересов постоянно расширяется в сторону бизнес-безопасности. Что «справившись» с защитой инфраструктуры, они все больше двигаются к защищенному документообороту (надо понимать бизнес-процессы), противодействию утечкам (нужна категоризация информации и ее маршрутов, исходя из бизнес-задач), соответствию правилам регуляторов (надо уметь спроецировать требования на бизнес и формировать сценарии снятия претензий регуляторов), борьбе с внешним и внутренним мошенничеством (необходимо знать разрешенные и запрещенные сценарии поведения сотрудников и проецировать эти сценарии на действия пользователей информационной системы), контролю аффилированности участников закупочных конкурсов (следует понимать процессы закупки и принятия решений) и так далее. Конечно, служба ИБ занимается такими вопросами не в одиночку, а в тесном контакте с соответствующими обеспечивающими или бизнес-подразделениями, но инструменты для этого и сценарии их использования выбирает сама.
Что это, принцип ВДВ: «никто, кроме нас»? Желание получить больший контроль над процессами, за инциденты информационной безопасности в которых приходится отвечать? Почему люди из информационной безопасности занимаются тем, чему их никогда не учили?
Качественные изменения
Очевидно, информатизация бизнес-процессов уже перешла ту грань, за которой процесс в информационной системе является не формальной копией, а самим бизнес-процессом. Если еще каких-то десять лет назад большинство процессов были «бумажными», а в информационной системе использовались в основном для аналитики, то сейчас ситуация кардинально изменилась. Теперь большинство процессов ведется именно в информационной системе, а на бумаге копируется лишь для налоговых проверок, возможного обращения в суд и в других редких случаях. Электронные торги, юридически значимый документооборот, приложения «клиент-банк», самообслуживание клиентов в личных кабинетах веб-приложений и через мобильные приложения — все это уже не электронные отражения процессов, а сами процессы.
Развитие информационной роли внутри предприятия можно оценить на примере внутреннего аудита (внутреннего контроля). Расследуя случаи злоупотреблений или готовясь к аудиту внешнему, ответственные службы компании всегда работали с информацией, но теперь информация, особенно промежуточная, тактическая или неформальная (например, электронная переписка с контрагентом), просто не попадает на бумагу.
Поэтому если раньше внутренний аудитор изучал бумажные документы, то теперь он садится за консоль аналитика ERP-системы, системы электронного документооборота или электронной торговой площадки, читает почтовые архивы и пользуется другими источниками.
Случай из практики
В качестве примера могу привести случай, когда практически на моих глазах произошло раскрытие мошенничества с левыми платежами по фиктивным договорам. В бухгалтерию компании поступил договор со строительным подрядчиком на внушительную сумму с хорошим количеством нулей. Сотрудник, отвечающий за борьбу с мошенничеством, обратил внимание, что договор был заведен в систему электронного оборота недавно и затем не редактировался. Поинтересовался у инициатора договора, почему не происходило согласование, не обсуждалась цена и не было попыток ее снизить, — получил ответ, что все было, но происходило по электронной почте, а после завершения переговоров случайно удалено. Тогда внутренний аудитор попросил службу ИБ предоставить из защищенного архива копии переписки с контрагентом по согласованию пунктов договора. Такой переписки не оказалось и в архивах. Договор был признан фиктивным, и внутреннее расследование передали в службу экономической безопасности.
Поскольку сегодня большинство процессов электронные и первичные данные хранятся в электронном виде, то и расследуют их люди, близкие к движению информации. Им привычнее «ковыряться в логах», делать запросы к электронным архивам, искать корреляции и отслеживать процессы изменения и передачи информации. Только теперь их целью становится не сохранение конфиденциальности сведений или стабильности информационной системы, у них более сложная задача — нахождение подозрительных транзакций, говоря принятым в информационной безопасности языком, «обеспечение целостности информации».
Новые компетенции служб ИБ
Однако для решения такой задачи мало знать принципы действия информационной системы, надо еще понимать смысл автоматизированного процесса. Тут навыки из предыдущего опыта инфраструктурной безопасности уже не помогут — это уже бизнес-безопасность. И специализированные программные решения класса anti-fraud тут не спасут — они всего лишь инструмент, который в неумелых руках пользы не принесет. Настроить их внешний подрядчик не сможет — он никогда не разберется в процессах организации так, как это сделает человек изнутри. Решение типа «нажал кнопку, и всем стало хорошо» в бизнес-безопасности просто невозможно, в том числе и потому, что бизнес-процессы меняются от потребностей бизнеса или ввиду законотворчества.
К тому же в таких процессах работать предстоит не только с данными, но и с людьми — редкий внутренний аудит обходится без собеседований с участниками процессов. А значит, понадобится новый, довольно редко встречающийся среди кадровых «безопасников» навык — коммуникабельность, умение четко формулировать вопросы и «слушать между строк». Общаться придется не только с сотрудниками и контрагентами, но и с другими подразделениями компании — прежде всего экономической безопасностью, финансами и кадровой службой, а часто — и работать с ними в одной команде, плечом к плечу.
Пока сотрудники ИБ только отвечают на запросы соответствующих служб, являясь инструментом между бизнес-подразделениями и инструментами расследований. Однако исторически они лучше разбираются в информационных системах, быстрее понимают, где находятся требуемые сведения, лучше знают, как собирать электронные доказательства — ведь по результатам внутренних расследований вполне может быть подан иск в суд и такие доказательства обязательно понадобятся. Поэтому при выборе информационных систем, помогающих детектировать мошеннические операции, сотрудники, ответственные за защиту данных, имеют как минимум весомый, а часто и решающий голос.
Вектор развития
Делая вид, что они занимаются только техническим обеспечением для внутреннего аудита, службы защиты информации все больше вторгаются в области, ранее лежавшие вне их поля зрения. Привыкшие работать с бумагами и проводить собеседования с сотрудниками, службы внутреннего аудита еще с легкостью делегируют службам защиты информации возню с цифрами. Но зачастую уже видны пересечения функционала таких служб при пользовании anti-fraud-системами.
Перед сотрудниками служб информационной безопасности сейчас стоит серьезный вызов — перейти от привычной им защиты инфраструктуры к реальной помощи бизнесу в предотвращении и расследовании инцидентов бизнес-безопасности, то есть той части информационной безопасности, которая легко считается и обосновывается. А это значит — больше полномочий, изменение роли и веса службы в самом бизнесе. И самое главное — реальная помощь бизнесу, измеряющаяся не в процентах от стоимости мифических «информационных активов», а в конкретных деньгах, спасенных или возвращенных. В такой безопасности эффективность меряется не как уменьшение количества инцидентов информационной безопасности, которые могли привести (а могли и не привести) к потере каких-то данных, в свою очередь способной привести (или не привести) к каким-то убыткам, а как конкретная сумма денег, спасенная от внутренних или внешних мошенников.
Но это и совсем другой уровень ответственности, к которому пока не все готовы. Задача предотвращения и расследования мошенничеств пока находится на стыке двух служб. Взять ответственность за нее так же боязно, как открывать прикуп в карточной игре – вдруг там больше ответственности, чем славы и наград? Время для выбора еще есть, но надо спешить — не ровен час аудиторы, привыкшие работать с бумагами, освоят информационные технологии быстрее, чем специалисты по расследованиям инцидентов в информационных системах освоят аудит.
Опубликовано 21.02.2014
