Сквозь кипы стандартов к реальной безопасности
Послушайте!
Ведь, если звезды зажигают —
значит — это кому-нибудь нужно?
Значит — кто-то хочет, чтобы они были?
В. Маяковский
Как вы думаете, какой вопрос должен задать менеджер по информационной безопасности, устраиваясь на работу и беседуя с руководителем компании? Лично для меня он очевиден: «Зачем вам нужен менеджер по ИБ?»
И честно признаюсь, меньше всего мне бы хотелось услышать, что в качестве основной цели предполагается осуществление контроля за выполнением требований регуляторов и подготовка организации к разного рода аудитам и проверкам. Дело не в том, что «бумажная» безопасность скучна и неинтересна, дело в том, что регулирования стало в буквальном смысле слишком много.
Бумаги и стандарты
Кажется, что за последние пару десятилетий разработчики стандартов устроили соревнование на наибольшее количество страниц, так или иначе регулирующих различные аспекты информационной безопасности. В результате компании буквально задыхаются под кипами требований, нарушение которых чревато серьезными штрафами, потерей репутации или даже полной остановкой бизнеса.
Как следствие, современному руководителю службы ИБ приходится напрямую работать с десятками национальных и отраслевых нормативно-правовых актов, не говоря уже о необходимости придерживаться лучших мировых практик и обязательно иметь представление о ведущих международных стандартах в области ИБ. При этом каждая страница внешнего стандарта удивительным образом превращается в десятки страниц внутренних документов и регламентов компании, и к тому времени, как разработка собственных норм подходит к концу, появляются новые регуляторные требования, и карусель вновь ускоряет бег.
Стандарты становятся все более детальными, стараясь не только охватить весь спектр возможных угроз и соответствующих им мер защиты, но и удовлетворять запросы предприятий всех размеров и форм, начиная от крупных интернациональных корпораций и заканчивая микропредприятиями. Универсализация ведет к избыточности, дублированию и в конечном итоге к росту затрат.
«А что же с практической безопасностью?» — спросите вы. И будете совершенно правы!
Практическая безопасность
Компаниям не выиграть гонку кибервооружений против злоумышленников, используя классические средства и методы защиты. Внедрение новых средств безопасности требует соответствующего расширения штата специалистов по ИБ. Дефицит кадров, особенно заметный за пределами МКАД, и наличие на рынке крупных игроков не оставляют большинству предприятий иного выбора, как инвестировать в технологии Big Data, Machine Learning и Artificial Intelligence и активно прибегать к услугам ИБ-аутсорсинга.
Проблема в том, что новые технологии, как и работа с сервис-провайдерами, требуют иных, зачастую более редких компетенций и опыта. Круг замыкается.
«Так что же, решения нет?» — спросите вы. И будете совершенно неправы!
Стандарты vs реальная безопасность
Драматургия отечественной ИБ-отрасли во многом построена вокруг мнимого противостояния «бумажных» специалистов и технических экспертов. На конференциях и онлайн-площадках споры о правильности того или иного подхода приобретают практически религиозный контекст, однозначно определяя каждого из ИБ-специалистов в одну из вышеперечисленных каст и столь же однозначно доказывая бесполезность подхода оппонентов к обеспечению безопасности. Как водится, под шум спора, лес успешно удается спрятать за парой деревьев и отложить уже давно назревший разговор с бизнесом «на потом».
Бизнесу нужны конкурентоспособность и устойчивость основных бизнес-процессов. И бизнес ожидает, что служба ИБ обеспечит экономическую эффективность в ходе снижения рисков ИБ, проактивный контроль за ключевыми показателями основных процессов, а также гарантирует возможность продолжать деятельность с минимальными простоями, даже под атаками злоумышленников и в период проверок регулирующих органов.
Именно при такой постановке вопроса стандарты в области ИБ становятся по-настоящему важным и практически полезным инструментом, позволяя выстроить комплексную систему защиты предприятия в кратчайшие сроки, комбинируя требования регуляторов, лучшие практики, современные технологии и практическую безопасность.
Регуляторная и практическая безопасности отнюдь не соперники и антагонисты, они партнеры и члены одной команды, разделяющей единые принципы работы и стремящейся к достижению общих бизнес-целей. Только такой подход обеспечивает будущее для ИБ.
Per aspera ad astra
Отправная точка — это четкое понимание потребностей бизнеса. Простая, но очень важная мысль заключается в том, что существование отдела ИБ, его руководителя и даже выделяемый бюджет имеют причину. И если менеджер, отвечающий за безопасность, не может назвать эту причину, то основная проблема очевидна.
Знание и понимание бизнеса своей компании важнее технических навыков, сертификаций и глубокого погружения в стандарты.
С практической точки зрения следующим шагом является выбор базового стандарта организации в области ИБ. В первую очередь имеет смысл рассматривать хорошо известные высокоуровневые ISO 27001, NIST Cybersecurity Framework и ISACA Cobit — помимо отточенных за годы существования формулировок, процессов и защитных мер, для этих стандартов характерно наличие перекрестных ссылок не только между собой, но со многими существующими регуляторными документами. Именно этот аспект позволяет исключать дублирование и избыточность отраслевых и национальных требований, сохраняя полноту и комплексность процессов обеспечения ИБ на предприятии.
В выборе и внедрении базового стандарта должны принимать активное участие технические специалисты в области ИТ и ИБ, команда юристов, а также опционально представители внешних сервис-провайдеров.
В результате организация получает платформу, которая:
-
обладает огромным запасом вариативности, соизмеримым с конструктором Lego;
-
позволяет быстро и с разумными финансовыми затратами адаптироваться к новым регуляторным требованиям за счет применения базового набора мер и перекрестных ссылок;
-
опционально, при необходимости, использовать методологию Agile, а также процедуры оценки и управления рисками для снижения бюрократической нагрузки и уменьшения сроков внедрения новых решений;
-
эффективно интегрировать системы бизнес-аналитики, машинного обучения и больших данных в существующий технологический ландшафт предприятия;
-
устраняет противоречия между «бумажным» и практическим подходами к обеспечению безопасности;
-
и возможно, самое главное — трансформирует ИБ в бизнес-функцию и бизнес-партнера.
Сквозь Вселенную
Написанное выше выглядит слишком хорошо, чтобы быть правдой. Просто, быстро и почти бесплатно. Разве такое возможно?
Правда же заключается в том, что результат — это всегда производная от затраченных усилий, ресурсов и времени, а безопасность — это не достижение определенного состояния, а процесс. Настоящее диктует новые правила, и времени на перестройку уже почти не осталось.
Вот почему современный CISO должен использовать все доступные ему инструменты, такие как стандарты, технические средства защиты, квалификацию сотрудников и внешние сервисы, отбросив предрассудки и эмоциональные оценки. Стандарты из врага, отнимающего время, должны превратиться в союзника. Предотвращение инцидентов должно быть важнее их расследования. А информационная безопасность должна стать неотъемлемой частью каждого бизнес-процесса компании.
Кто-то скажет, что это лишь мечты, но я вижу, как день за днем эти мечты воплощаются в реальность усилиями сообщества ИБ-профессионалов! Присоединяйтесь, и вместе мы сделаем мир безопаснее.
Опубликовано 02.11.2017