Десять признаков здоровой ИБ в компании
За последнее десятилетие информационная безопасность в повестке менеджмента компаний совершила впечатляющий рывок вверх. По данным различных опросов руководителей бизнеса, в четырех из пяти компаний риски и угрозы, связанные с обеспечением кибербезопасности, прочно входят в топ-приоритетов, что находит непосредственное отражение и в бюджетах.
С другой стороны, кадровый дефицит и отсутствие зрелой организационной культуры мешают компаниями в реализации стратегических решений и, как следствие, приводят к ощущению, что ресурсы организации тратятся впустую.
Но существуют признаки того, что информационная безопасность в компании находится на правильном пути, и чтобы это понять, не нужны дорогостоящие сертифицированные аудиторы из Big4, углубленное изучении международных стандартов и лучших практик, как не нужны и сложные метрики с KPI.
Поддержка руководства
Как правило, когда речь заходит о поддержке топ-менеджмента компании, вспоминаются приказы, комитеты, протоколы собраний и прочие подписанные первыми лицами компании документы. То, что аудиторы называют доказательством или свидетельством.
На практике гораздо важнее реальная вовлеченность и даже увлеченность руководителей вопросами ИБ.
Например, если на каждом внутреннем совещании или собрании персонала топ-менеджер напоминает о безопасности и, что еще более важно, сам соблюдает все политики и процедуры в ежедневной деятельности – можно сделать однозначный вывод, что ИБ в данной компании не дань моде, а одно из ключевых направлений деятельности.
CISO
Выделение ресурсов в виде отдельной должности с высоким уровнем полномочий и вовлеченности в процессы управления и принятия решения – лучшая демонстрация того, что компания на правильном пути.
Безусловно, существуют варианты, когда обязанности директора по информационной безопасности или менеджера полностью делегированы, например, в службу ИТ – это во многих случаях не только ведет к очевидному конфликту интересов и необъективности, но и ставит под сомнение ту самую увлеченность менеджмента компании вопросами ИБ.
Выделенная роль сама по себе не гарантирует успеха, но является важным шагом на пути к нему.
Повышение осведомленности и маркетинг ИБ
Результаты действия правильной программы повышения осведомленности крайне сложно не заметить.
Плакаты, постеры, сувениры, брошюры и четкое понимание, к кому обращаться в случае возникновения проблем или подозрений – словно яркий маяк сигнализирует о том, как в компании выстроены процессы ИБ и насколько вовлечены в них рядовые сотрудники.
Также важно наличие диалога внутри компании и репутации ИБ, а в частности CISO, как человека, помогающего решать проблемы, а не создающего дополнительные препятствия в работе. Формирование такого образа не только для руководства компании, но и для рядовых сотрудников оказывает значительное влияние на культуру ИБ и выработку правильных поведенческих паттернов.
Многолетняя практика показывает, что инвестиции в обучение сотрудников фактически лучший способ вложения ресурсов.
Стратегия ИБ
Стратегия, которая формируется не только высокоуровневой политикой, но и набором разноуровневых поддерживающих документов, таких как ИБ проектов и бюджет с горизонтом планирования на 3–5 лет, является основой успешного обеспечения безопасности в компании.
Несмотря на тенденцию перехода к средне- и краткосрочным циклам планирования и даже микроциклам (например, при использовании гибких методологий), что особенно актуально в условиях высокой волатильности, долгосрочные планы по-прежнему позволяют гораздо проще и, главное, эффективнее адаптировать новые решения к идеологии компании в области обеспечения информационной безопасности.
MSSP и внешние подрядчики
Наличие действующих договоров с внешними провайдерами услуг в области ИБ часто служит показателем достаточно высокого уровня зрелости и гибкого подхода к формированию политик ИБ.
Если в недалеком прошлом работа с MSSP считалась непростым и скорее вынужденным решением, в первую очередь с психологической точки зрения, и требовала компетенций, которые у большинства компаний отсутствовали, то в настоящее время дефицит ресурсов и наработка опыта позволили совершить существенный скачок именно в работе с аутсорсингом.
И в России, и в мире сейчас наблюдается настоящий бум предложений на рынке MSSP. В первую очередь – это, разумеется, SOC и отличный пример того, как поставщики и потребители услуг достигли необходимого уровня зрелости практически одновременно.
Стандарты, фреймворки и лучшие практики
Использование готовых и проверенных временем наработок – безусловный плюс, но крайне важно, чтобы эти самые наработки не превратились в догматы и самоцель.
Зрелым является сбалансированный подход, когда стандарты, фреймворки и лучшие практики адаптируются к процессам организации и таким образом преобразуются в собственную уникальную методологию. Это можно сравнить с подгонкой костюма под конкретного человека или его пошивом на заказ.
Как и с костюмом, многое зависит от портного. Поэтому без выделенного и квалифицированного сотрудника процесс встраивания лучших практик в существующую рабочую среду, скорее всего, принесет результат обратный ожидаемому. Также нельзя не отметить жуткий дефицит квалифицированных методологов на отечественном рынке безопасности.
Экономика, риски и бизнес-цели
До сих пор встречаются компании, где основной задачей ИБ остается обеспечение соответствия регуляторным требованиям и, как следствие, генерация огромного количества различных документов. Назвать такой подход эффективным весьма сложно, даже с учетом существующих реалий. Неслучайно в обиходе специалистов появился отдельный термин – «бумажная безопасность».
Правильный подход подразумевает, что ИБ наравне с производственными подразделениями оказывает положительный эффект на основные бизнес-показатели, а также участвует в формировании реестра бизнес-рисков и способов их митигации.
Переход к подобной парадигме не прост, но жизненно необходим даже в зарегулированных отраслях. В противном случае ИБ начнет восприниматься бизнесом как дополнительный косвенный налог, что точно не будет способствовать ни развитию службы, ни обеспечению реальной безопасности компании.
Автоматизация
Несмотря на обширный круг вопросов по обеспечению безопасности, начиная с физической, все-таки большая часть деятельности подразделения ИБ – это работа с цифровыми данными и ИТ-системами.
Объем обрабатываемых данных и специфика современных информационных систем практически не позволяют выполнять аналитическую работу, а также задачи по реагированию на инциденты исключительно в ручном режиме и при этом обеспечивать приемлемую эффективность. Серьезный дефицит специалистов по безопасности только усугубляет проблему. Поэтому автоматизация деятельности ИБ выходит на ведущие роли.
Широкое разнообразие терминов – машинное обучение, глубокое обучение, искусственный интеллект, автоматизация и цифровизация – не должны вводить в заблуждение. Речь идет о перекладывании части работы персонала на вычислительные системы. Разница лишь в объеме и сложности делегируемых задач.
Ближайшее будущее за симбиозом машины и человека, и те компании, которые смогут эффективно встроить в свою деятельность новые технологии, получат огромное преимущество.
Публичность
Один из аспектов, о который профессионалы области сломали не один десяток копий, так и не найдя единого подхода.
Как и в любой другой области, нужен баланс. Компания, которая готова делиться своим опытом, в большинстве случаев более зрелая, чем та, что не готова.
Делиться опытом не значит детально раскрывать инфраструктуру, процессы или реализацию конкретных мер защиты. Делиться опытом – это говорить о проектах, трудностях, успехах и неудачах. Публичный обмен опытом в достаточно консервативной области, каковой и является кибербезопасность, необходим. Неслучайно в отрасли есть запрос на закрытые мероприятия и общение в кулуарах.
Культура ИБ
Зрелая культура кибербезопасности – это, с одной стороны, самый незаметный, а с другой – самый очевидный признак того, что ИБ в компании не только существует, но и успешно развивается.
Культуру можно сравнить с неким генетическим кодом организации, невидимым, но определяющим практически все аспекты деятельности.
Формирование культуры – сложный процесс, требующий опыта, энергии и достаточного количества времени, потому что, как и прочие хорошие вещи, культура должна созреть.
Прошедшая пандемия показала, что наличие даже правильной культуры не всегда плюс из-за ее огромной инерционности, что существенно замедляет процессы трансформации предприятия, например перехода на удаленную работу. Поэтому современная культура должна обеспечивать и гибкость, и возможность быстрой коммуникации, и внесения изменений.
Послесловие
Типичная ловушка, в которую попадает человек, ориентируясь на наличие признаков, – это потребность подгонять действительное под желаемое. Подростки часто начинают курить и использовать крепкие выражения, чтобы выглядеть взрослее, но с высоты прожитых лет такой способ взросления выглядит глупо.
С компаниями так же. Любые метрики и признаки хорошо работают, если появляются эволюционным путем, в рамках стратегических долговременных инициатив и становятся отражением того, как на самом деле работает компания, – верхушкой айсберга. В противном случае это признаки болезни, которая требует лечения и корректирующих мер.
По-настоящему ценные вещи редко даются легко. Чтобы активы компании были надежно защищены, нужно в эту защиту инвестировать. Не только и не столько финансы, сколько время и энергию.
Смотреть все статьи по теме "Информационная безопасность"
Опубликовано 25.08.2020