Цифровизация и ИБ – противостояние или партнерство
Несмотря на обилие маркетинговой шелухи и зачастую откровенный хайп вокруг проектов по диджитализации, очевидно, что и настоящее, и будущее человеческого общества неотъемлемо связаны с использованием высоких технологий на всех уровнях деятельности, и глобальной задачей является сделать эти технологии не только удобными, но и безопасными.
Ловушки цифровизации
Gartner определяет цифровую трансформацию бизнеса как процесс использования цифровых технологий и вспомогательных средств для создания новых устойчивых бизнес-процессов и получения прибыли.
Особенность заключается в том, что компании вынуждены непрерывно увеличивать инвестиции и в создание, и в поддержку, и в модификацию новых цифровых платформ и процессов, поскольку этого требует постоянное изменение технологического ландшафта и сценариев взаимодействия с пользователями. Более того, предприятия вынуждены стремительно адаптироваться к технологическим и экономическим изменениям, чтобы оставаться конкурентноспособными и расти на уровне или быстрее рынка.
Было бы ошибкой считать, что цифровая трансформация затрагивает лишь технологическую часть бизнеса. Масштаб изменений требует выработку новой ментальности и построения корпоративной культуры, пересмотра привычных инструментов и подходов, гибкой организационной структуры и поддержки инициативы на всех уровнях управления организации. Это глубокие и сложные преобразования, которые жизненно необходимы для достижения успеха.
Организации попадают в ловушку, инвестируя исключительно в технологии. В этом случае меняются инструменты, а не бизнес-модель. Фактически вместо трансформации происходит автоматизация деятельности. Выигрыш от такого подхода относительно незначительный, но позволяет поддерживать конкурентоспособность и улучшать отдельные ключевые процессы. Важно понимать, что достижение долгосрочного экономического эффекта возможно только при полноценном переходе в диджитал.
Роль ИБ
Рост количества используемых мобильных приложений и сервисов, объема обрабатываемых данных, развитие технологий искусственного интеллекта и облачных услуг не только увеличивает доступный злоумышленникам ландшафт, но и делает ущерб от кибератак все более значимым для операционной деятельности. Стоимость ущерба стремительно растет и в абсолютных значениях.
Именно поэтому в последние годы и бизнес, и государство уделяют повышенное внимание вопросам кибербезопасности и инвестируют в ИБ значительные ресурсы. Именно поэтому неуклонно растет и роль служб информационной безопасности. Банки, ретейл, перевозки и производство – все эти отрасли становятся более технологичным, обгоняя законодательство и формируя новые направления бизнеса и рыночные ниши.
Одновременно сбор и обработка огромных массивов данных, в первую очередь персональных, привели к необходимости введения более жесткого государственного и даже наднационального регулирования, что в свою очередь породило особый класс задач для ИБ, связанных с так называемой «бумажной» безопасностью.
Применение агрессивного маркетинга с элементами FUD, в том числе внутри компаний, изменило восприятие кибербезопасности бизнесом. В глазах руководителей ИБ превратилась в форму скрытого налога. Нежелание ИБ пересматривать свою контролирующую функцию и, соответственно, отрицательное влияние на скорость изменений автоматически записало кибербезопасность в лагерь противников цифровизации.
ИБ оказалась, с одной стороны, под давлением бизнеса, который требует ускорения изменений и гибкости, а с другой – под прессом регуляторных требований, задающих достаточно жесткие рамки и предполагающих определенную дополнительную бюрократизацию процессов. Грузом становится и наследие в виде классических систем защиты, и ограниченность ресурсов, в первую очередь в области квалифицированных кадров.
Эволюция ИБ
Давление заставило отрасль ИБ стремительно эволюционировать, причем эта эволюция затронула практически все аспекты деятельности департаментов безопасности.
Диалог с бизнесом
Одна из наиболее важных проблем с точки зрения CEO и правления компании – необходимость разбираться в технологических аспектах и терминологии в области кибербезопасности, так как это необходимо для понимания текущего состояния и запросов служб ИБ, а также для постановки задач со стороны бизнеса, что становится критических важным для синхронизация технологических и процессных изменений.
Ситуация усугубляется недостаточным погружением специалистов в области ИБ в контекст бизнес-операций и зачастую слабыми soft-skills, что не позволяет доносить информацию до правления в простой и понятной форме и, соответственно, выстраивать диалог.
В последние пару лет наблюдается тенденция, что CISO/CSO не только стали говорить на языке бизнеса, но и благодаря глубокому пониманию деятельности компании и процессов формирования прибыли расширять свою сферу деятельности, занимая позиции операционных, технических и исполнительных директоров и курируя целые бизнес-направления, в первую очередь связанные с цифровой трансформацией.
Благодаря этим изменениям бизнес все чаще видит в ИБ не затратный центр или регуляторный щит, а полноценного партнера, который помогает компании развиваться и зарабатывать деньги.
Встроенная безопасность
Исторически большинство решений по защите и приложений и данных разрабатывались отдельно и представляют собой надстройку над существующей инфраструктурой. Подобный подход лучше масштабируется и продается, но обеспечивает значительно более низкий уровень безопасности, так как не позволяет использовать встроенные возможности программного обеспечения.
Из-за растущего числа сложных и целенаправленных атак, в том числе спонсируемых на государственном уровне, разработчики и заказчики все чаще обращаются к концепции secure by design, которая предполагает включение требований по безопасности на самых ранних этапах создания продукта или сервиса, а также поддержку безопасного функционирования на всем протяжении жизненного цикла.
Данный подход находит применение для критических информационных систем, таких как управление транспортом и производством.
Актуальными подходами являются включение безопасности в цикл разработки – SDLC, а также использование решений с формальной верификацией кода и жесткой логикой.
Agile
Гибкие методологии в управлении проектами стали стандартом де-факто для технологических компаний, а затем начали распространяться за пределы отделов разработки и в другие сектора промышленности, в том числе Agile-практики теперь применяются и в области безопасности.
В настоящее время знание методов и практик Agile считается обязательным, как для менеджеров по информационной безопасности, так и для специалистов, особенно в случаях, когда те являются членами команд разработки.
Импортозамещение
Геополитическая обстановка накладывает ограничения на доступность использования определенных технологий или решений. Сегодня многие страны в явном или неявном виде реализуют политики протекционизма и импортозамещения в сфере высоких технологий. Речь даже может идти о практически полном запрете решений определенного производителя.
Это приводит к тому, что стратегическое планирование инвестиций и технологической архитектуры требует дополнительной оценки санкционных и политических рисков. Яркими примерами являются кейсы со Splunk в России, с Kaspersky Lab в США и с Huawei.
Архитектура ИБ
Периметровая защита осталась в прошлом. Инсайдеры становятся все более значимым фактором. Корпоративные данные обрабатываются на личных устройствах. Облачные сервисы стали стандартом де-факто. Вышеперечисленное делает традиционные архитектурные модели практически бесполезными.
Продуктовый подход, несмотря на постоянно растущий функционал отдельных решений, также себя исчерпал, поэтому все чаще используется системный подход к проектированию архитектуры безопасности, что предполагает не только понимание современного стека технологий, но и умение работать в распределенных командах с разработчиками и интеграторами.
При создании архитектуры также должны учитываться функционал встроенных решений и фактор импортозамещения, что добавляет еще один уровень сложности и требует привлечения внешней экспертизы.
Человеческий фактор
Несколько лет назад человеческий фактор считался одной из основных угроз безопасности и самым слабым, трудно защищаемым звеном. Тем удивительнее стремительная трансформация подхода и рост компетенций специалистов по кибербезопасности именно в области работы с персоналом.
В настоящее время сотрудники являются первой линией защиты, особенно от фишинговых атак и атак с помощью элементов социальной инженерии. В этих компонентах, согласно статистике, они превосходят системы на базе искусственного интеллекта.
Это возможно не только благодаря изменениям в самих службах ИБ, которые стали уделять больше внимания повышению осведомленности и обучению пользователей, но и за счет влияния подразделений кибербезопасности на общую корпоративную культуру, что было бы невозможно без глобальных изменений отношения к ИБ в обществе.
Громкие инциденты последних лет, получившие широкое освещение в СМИ, а также большое количество мошеннических атак, с которыми обыватели сталкиваются практически ежедневно сформировали устойчивое понимание важности как самих данных, так и задач по обеспечению их защиты.
Безопасность бизнес-процессов
Возможно, что самый существенный качественный скачок в подходах к защите компаний –смещение фокуса защиты от инфраструктуры к основным, формирующим прибыль бизнес-процессам.
С одной стороны, это повышает уровень абстракции и дает необходимую гибкость на нижних уровнях, таких как ИТ-инфраструктура и программные платформы, с другой – обеспечивает интеграцию мер защиты во все ключевые процессы компании и предотвращение потерь.
Такой подход наблюдается все чаще и требует высокой организационной зрелости, и квалифицированного руководителя ИБ, который хорошо понимает бизнес и входит в руководство компании.
Заключение
Современный бизнес – это сверхтехнологичный гоночный болид, в котором топливо – деньги, пилот – руководство, двигатель – производственные отделы, индикаторы и телеметрия – бухгалтерия и контролинг, а ИБ – тормозная система.
Вопреки распространенному мнению тормоза не только не замедляют, они помогают проходить дистанцию быстрее и безопаснее и, что, возможно, еще важнее, являются ключевым компонентом успешных обгонов.
Холистический взгляд на бизнес и общность целей – залог успешной цифровой трансформации, в которой ИБ занимает место полноправного партнера, ускоряя изменения, обеспечивая защиту новых ценностей и предоставляя конкурентные преимущества. Это не просто и требует преобразований в службах информационной безопасности, долгосрочных инвестиций и терпения, что с лихвой окупается возможностью быть впереди и бороться за лидерство.
Смотреть все статьи по теме "Информационная безопасность"
Опубликовано 05.11.2019