Когда гром грянул, креститься поздно
Автор
Олег Седов
Представление о «пряниках» сводится к отсутствию кнута. То есть если пришли с проверкой, ничего не нашли и не оштрафовали, то это пряник.
В начале июня в Санкт-Петербургске редакция журнала IT-Manager (allCIO.RU) и компании «Ланк Системс», NetWrix Corporation, InfoWatch провели круглый стол «Стратегические изменения в модели информационной безопасности», к участию в котором были приглашены руководители служб ИТ и ИБ, представители компаний-разработчиков и интеграторы.
За минувшие 10–15 лет в ИТ-инфраструктуре большинства компаний изменилось все! Технологии, платформы, ПО, неоднократно обновились компетенции специалистов. Словом, все, кроме подхода службы ИБ к вопросам информационной безопасности. Это противоречие заслуживает особого внимания, чтобы обсудить причины и попытаться найти выход из этой ситуации в формате круглого стола.
Как правило, инцидентами называют незапланированные изменения. Дмитрий Блейзер из компании Netwrix рассказал об инструментах, которые позволяют быть в курсе изменений, происходящих в инфраструктуре компании. Однако тезис, что без ИБ сейчас никуда, стоит подвергнуть сомнению. С одной стороны, ИТ-инфраструктура без решений, обеспечивающих надежную защиту данных и корпоративной информации, больше похожа на автомобиль без тормозов, который ехать-то может, но безопасности никто не гарантирует. А с другой — можно привести яркий пример, когда на проектах по виртуализации в России ни одного специалиста по ИБ замечено не было. Это значит, что под корпоративную инфраструктуру закладывается мина замедленного действия.
Для того чтобы ИБ рассматривалась бизнесом как конкурентное преимущество, кто-то эту информацию должен донести до первых лиц компании. Крайне немного предприятий имеют должность CSO. Обычно эти вопросы поручено решать либо службе ИТ или СБ (собственной безопасности). Как СБ умеет решать эти задачи, хорошо известно — запретить. По мнению участников дискуссии, история взросления человека красноречиво свидетельствует о том, что даже ребенка научить правильно переходить дорогу — бывает непросто. Для этого нужно временя, а иногда и трагические примеры. Пока ИБ не будет восприниматься бизнесом как конкурентное преимущество, ничего хорошего не произойдет. Однако данный процесс требует времени. Но проблема в том, что этого времени уже нет. Миссия интеграторов — зарабатывать на рынке ИБ. С их точки зрения у них есть только один способ зарабатывать — слушать заказчика и выполнять его потребности. А на рынке продолжает доминировать основной драйвер ИБ — «гром грянул, и уже поздно креститься». Иными словами, жареного петуха как певца инцидент-менеджмента никто не отменял.
Как правило, на рынке нет плохих решений. Но есть масса примеров, когда хорошие решения внедрялись «криво». Потому что за любым решением должны стоять компетенции. Это то, что необходимо постоянно обновлять, доказывать и подтверждать.
По мнению, Артема Рохина, руководителя технической поддержки компании NetWrix Corporation, в каждой организации есть свои риски, связанные с особенностями бизнеса. Необходим тесный контакт заказчика и исполнителя, чтобы выявить все возможные параметры для оценки события. Только так можно гибко настроить фильтр. Чтобы отсеивать «белый шум» и предоставлять заказчику только важные события.
Но часто бывает, что заказчик не может самостоятельно решить эту задачу и перекладывает ее на партнера-интегратора. И тогда решение сводится к внедрению какого-то стандартного функционала, который в очередной раз тиражируется интегратором и имеет мало отношения к задачам заказчика. К тому же мы постоянно забываем, а зачем все это нужно бизнесу?
Зачем ИБ бизнесу?
Долгие годы главным драйвером рынка ИБ были страхи. Страх перед новым вирусом или сетевым червем. Но к страхам быстро привыкают. Спасибо регуляторам, которые перегрели рынок. Но и то и другое носит скорее насильственный характер над бизнесом, когда бизнес должен заниматься ИБ, а добровольно и осознано уделяет этому внимание.
Представление о «пряниках» сводится к отсутствию кнута. То есть если пришли с проверкой, ничего не нашли и не оштрафовали, то это пряник. Нет! Это скорее отложенное ожидание кнута. Поэтому и обсуждение мотивации бизнеса за круглым столом велось вокруг двух крайних методов мотивации бизнеса к ИБ — либо лояльность со стороны регуляторов, либо репрессии и штрафы с их стороны.
Но существует иной путь, когда, например, формальное соответствие требованиям законодательства влияет на рост акций на бирже. В результате подобного роста инвесторы с большим интересом относятся к компании. А это более выгодные привлеченные инвестиции для развития бизнеса, чем банковские кредиты. Но, по мнению Юрия Шойдина, члена правления СОДИТ и эксперта в области ИБ, изначально для того, чтобы это было так, ИБ должна стать конкурентным преимуществом, чего, к сожалению, и нет. И нет этого в первую очередь потому, что законы, которые мотивируют бизнес иначе относиться к ИБ, навязала рынку власть.
Плюсы и минусы «бумажной» безопасности
По сути, ничего плохого в бумажной безопасности нет. Изначально она была призвана сформировать культуру информационной безопасности в обществе и корпоративной среде. Нас очень быстро приучили к тому, что оставленный в метро сверток или сумка может нести в себе смертельную опасность и трогать их не надо, а надо сообщить тем, кто знает, что делать в таких ситуациях. Для этого достаточно было несколько громких трагедий.
Поиски кто виноват и как защититься от угроз — это разные задачи. Скорее всего, компромисс должен быть где-то посередине. И пример подобного компромисса удачно привел Илья Тамбовцев, пивоваренная компания «Балтика», где бумажная безопасность живет вместе в другими практическими методами и средствами ИБ, а не оторваны друг от друга.
Любой сотрудник, получая права доступа к какому-либо информационному ресурсу, сталкивается со службой ИБ. И его инициативы всегда ограничиваются набором разработанных и принятых регламентов. Со стороны, кажется, что процесс призван не столько решать задач ИБ, сколько желание прикрыть себя какой-то бумажкой, но это не ключевая цель.
Когда на предприятии «Балтика» работают аудиторы, то они смотрят и на регламенты, и на то, как они работают на практике. Забота ИБ заключается в том, чтобы аудит на соответствие различным требованиям компания проходил без существенных проблем, что бы практика соответствовала бумагам.
Юрий Шойдин привел пример, когда ему пришлось разработать план приведения информационных систем в соответствие с требованиями регуляторов. Для этого потребовались регламенты на бумаге. Нет правил — нет наказания. Постройте нормальную документарную систему безопасности — это 80% дела. Если мы хотим, чтобы ИБ стала конкурентным преимуществом, при получении субсидий, при получении кредитов в банках, эти вопросы придется решать.
Эра обновленных компетенций
По сути, между бумагой и ручкой и каким-то мобильным решением с точки зрения ИБ большой разницы нет, так как и в том и в другом случае главной угрозой является человек, который либо хочет, либо не хочет допустить утечку данных. И с точки зрения реализации ИБ в том и в другом случае задача всегда разделялась на организационные меры и технические. Но сегодня подобные проблемы решаются многоуровнево. Первое — это VIP-пользователи, у которых либо есть понимание угроз, исходящих от мобильных гаджетов, либо нет. И если его нет, то не надо забывать, кто ИТ и ИБ платит зарплату. Ожидать, что к какому-то запрету VIP-пользователи отнесутся с пониманием, пожалуй, не стоит. Поэтому участники круглого стола сошлись во мнении, что для данной группы, скорее всего, придется снять все ограничения и разрешить доступ к ресурсам с мобильных устройств, минуя все принятые корпоративные регламенты и инструкции. Принимая во внимание и помня обо всех сопутствующих рисках. Словом, этим процессом как-то надо управлять, но единого рецепта пока никто не нашел. А вот с другими группами пользователей можно применить политику безопасности и путем служебных записок и обоснований в ограниченном объеме что-то разрешить. Это работает и имеет свою позитивную практику.
Не так давно глава SAP объявил, что решения его компании автоматизировали и теперь контролируют 78% производства пива в мире. В таком случае вся защита информации теряет смысл? Приходится смириться с неизбежностью и принять все риски? Илья Тамбовцев согласен с этим отчасти, но считает, что в первую очередь необходим пересмотр критериев и перечня конфиденциальных данных и эффективная их защита, а с чем-то можно и смириться. Сегодня тенденция идет в сторону снижения объемов конфиденциальной информации. То, что раньше считалось закрытыми сведениями, например сводки по продажам, сейчас уже скорее история, не более того. А значит, подобная информация на незащищенных мобильных устройствах (BYOD) — уже не такая головная боль.
Но ИТ-инфраструктура крупных компаний отличается монументальностью. В этой среде ИБ становится все более консервативной, в то время как мир требует все большей мобильности и управления ИТ и ИБ в постоянно изменяющихся условиях бизнеса. Казалось, интеграторам это только на руку. Что может предложить интегратор, если все постоянно меняется? Но унаследованная крупная инфраструктура, как мозаика, состоит из кусочков и лоскутов, из отдельных фрагментов: домена, почтовых служб, баз данных, виртуализации и пр.
Говоря об обосновании бюджетов на ИТ и ИБ, CIO или CSO приходится производить для себя оценку рисков. За бизнесом остается право принять или не принять эти риски. Обозначение рисков, общее информирование руководства и манипулирование его мнением — те задачи, которые в том числе приходится решать руководителям служб ИТ и ИБ.
По словам Ильи Тамбовцева, когда в компании «Балтика» идет защита ИТ-бюджетов, ИТ составляющая проектов развития защищается совместно с подразделениями бизнес-заказчиками, например, с логистикой, с производством, с теми, кто приобретает основную ценность от реализации проектов. Существенная часть усилий современных производственных предприятий направлено на решение вопросов планирования, от прогноза продаж в рынок, до загрузки производства и закупок.. Эти вопросы нельзя решить без логистов, но и эти задачи логистов нельзя решить без ИТ. Точно так же и с ИБ. Все инициативы по ИБ удается продать только тогда, когда можно показать, что есть риски, они существенны, и решая вопросы ИБ, мы снижаем, нивелируем риски и уходим от конкретных стоимостных потерь и затрат на исправление ситуации, а значит снижаем себестоимость. Например, минимизируются риски утечки информации к конкурентам, имиджевые риски. Тогда и в глазах бизнеса ИБ становится тем самым конкурентным преимуществом, о котором постоянно вспоминали на протяжении всего круглого стола.
Опубликовано 16.07.2013
Об авторах
