Цифровизация и ИБ – противостояние или партнерство

Логотип компании
Цифровизация и ИБ – противостояние или партнерство
В настоящее время сотрудники являются первой линией защиты, особенно от фишинговых атак и атак с помощью элементов социальной инженерии.
Буквально за десятилетие цифровизация из прикладной дисциплины не только превратилась в основное направление развития коммерческих компаний, но и стала приоритетом номер один в национальных экономических стратегиях большинства развитых и развивающихся государств.

Несмотря на обилие маркетинговой шелухи и зачастую откровенный хайп вокруг проектов по диджитализации, очевидно, что и настоящее, и будущее человеческого общества неотъемлемо связаны с использованием высоких технологий на всех уровнях деятельности, и глобальной задачей является сделать эти технологии не только удобными, но и безопасными.

Ловушки цифровизации

Gartner определяет цифровую трансформацию бизнеса как процесс использования цифровых технологий и вспомогательных средств для создания новых устойчивых бизнес-процессов и получения прибыли.

Особенность заключается в том, что компании вынуждены непрерывно увеличивать инвестиции и в создание, и в поддержку, и в модификацию новых цифровых платформ и процессов, поскольку этого требует постоянное изменение технологического ландшафта и сценариев взаимодействия с пользователями. Более того, предприятия вынуждены стремительно адаптироваться к технологическим и экономическим изменениям, чтобы оставаться конкурентноспособными и расти на уровне или быстрее рынка.

Было бы ошибкой считать, что цифровая трансформация затрагивает лишь технологическую часть бизнеса. Масштаб изменений требует выработку новой ментальности и построения корпоративной культуры, пересмотра привычных инструментов и подходов, гибкой организационной структуры и поддержки инициативы на всех уровнях управления организации. Это глубокие и сложные преобразования, которые жизненно необходимы для достижения успеха.

Организации попадают в ловушку, инвестируя исключительно в технологии. В этом случае меняются инструменты, а не бизнес-модель. Фактически вместо трансформации происходит автоматизация деятельности. Выигрыш от такого подхода относительно незначительный, но позволяет поддерживать конкурентоспособность и улучшать отдельные ключевые процессы. Важно понимать, что достижение долгосрочного экономического эффекта возможно только при полноценном переходе в диджитал.

Роль ИБ

Рост количества используемых мобильных приложений и сервисов, объема обрабатываемых данных, развитие технологий искусственного интеллекта и облачных услуг не только увеличивает доступный злоумышленникам ландшафт, но и делает ущерб от кибератак все более значимым для операционной деятельности. Стоимость ущерба стремительно растет и в абсолютных значениях.

Именно поэтому в последние годы и бизнес, и государство уделяют повышенное внимание вопросам кибербезопасности и инвестируют в ИБ значительные ресурсы. Именно поэтому неуклонно растет и роль служб информационной безопасности. Банки, ретейл, перевозки и производство – все эти отрасли становятся более технологичным, обгоняя законодательство и формируя новые направления бизнеса и рыночные ниши.

Одновременно сбор и обработка огромных массивов данных, в первую очередь персональных, привели к необходимости введения более жесткого государственного и даже наднационального регулирования, что в свою очередь породило особый класс задач для ИБ, связанных с так называемой «бумажной» безопасностью.

Применение агрессивного маркетинга с элементами FUD, в том числе внутри компаний, изменило восприятие кибербезопасности бизнесом. В глазах руководителей ИБ превратилась в форму скрытого налога. Нежелание ИБ пересматривать свою контролирующую функцию и, соответственно, отрицательное влияние на скорость изменений автоматически записало кибербезопасность в лагерь противников цифровизации.

ИБ оказалась, с одной стороны, под давлением бизнеса, который требует ускорения изменений и гибкости, а с другой – под прессом регуляторных требований, задающих достаточно жесткие рамки и предполагающих определенную дополнительную бюрократизацию процессов. Грузом становится и наследие в виде классических систем защиты, и ограниченность ресурсов, в первую очередь в области квалифицированных кадров.

Эволюция ИБ

Давление заставило отрасль ИБ стремительно эволюционировать, причем эта эволюция затронула практически все аспекты деятельности департаментов безопасности.

Диалог с бизнесом

Одна из наиболее важных проблем с точки зрения CEO и правления компании – необходимость разбираться в технологических аспектах и терминологии в области кибербезопасности, так как это необходимо для понимания текущего состояния и запросов служб ИБ, а также для постановки задач со стороны бизнеса, что становится критических важным для синхронизация технологических и процессных изменений.

Ситуация усугубляется недостаточным погружением специалистов в области ИБ в контекст бизнес-операций и зачастую слабыми soft-skills, что не позволяет доносить информацию до правления в простой и понятной форме и, соответственно, выстраивать диалог.

В последние пару лет наблюдается тенденция, что CISO/CSO не только стали говорить на языке бизнеса, но и благодаря глубокому пониманию деятельности компании и процессов формирования прибыли расширять свою сферу деятельности, занимая позиции операционных, технических и исполнительных директоров и курируя целые бизнес-направления, в первую очередь связанные с цифровой трансформацией.

Благодаря этим изменениям бизнес все чаще видит в ИБ не затратный центр или регуляторный щит, а полноценного партнера, который помогает компании развиваться и зарабатывать деньги.

Читайте также
Что лежит в основе цифровизации — тренды или необходимость? Какие преимущества и вызовы создает цифровизация в России? Как развивается цифровизация в стране? Каким образом цифровые технологии дают возможность бизнесу решить острые вопросы, серьезно влияющие на эффективность и экономику компании?

Встроенная безопасность

Исторически большинство решений по защите и приложений и данных разрабатывались отдельно и представляют собой надстройку над существующей инфраструктурой. Подобный подход лучше масштабируется и продается, но обеспечивает значительно более низкий уровень безопасности, так как не позволяет использовать встроенные возможности программного обеспечения.

Из-за растущего числа сложных и целенаправленных атак, в том числе спонсируемых на государственном уровне, разработчики и заказчики все чаще обращаются к концепции secure by design, которая предполагает включение требований по безопасности на самых ранних этапах создания продукта или сервиса, а также поддержку безопасного функционирования на всем протяжении жизненного цикла.

Данный подход находит применение для критических информационных систем, таких как управление транспортом и производством.

Актуальными подходами являются включение безопасности в цикл разработки – SDLC, а также использование решений с формальной верификацией кода и жесткой логикой.

Agile

Гибкие методологии в управлении проектами стали стандартом де-факто для технологических компаний, а затем начали распространяться за пределы отделов разработки и в другие сектора промышленности, в том числе Agile-практики теперь применяются и в области безопасности.

В настоящее время знание методов и практик Agile считается обязательным, как для менеджеров по информационной безопасности, так и для специалистов, особенно в случаях, когда те являются членами команд разработки.

Импортозамещение

Геополитическая обстановка накладывает ограничения на доступность использования определенных технологий или решений. Сегодня многие страны в явном или неявном виде реализуют политики протекционизма и импортозамещения в сфере высоких технологий. Речь даже может идти о практически полном запрете решений определенного производителя.

Это приводит к тому, что стратегическое планирование инвестиций и технологической архитектуры требует дополнительной оценки санкционных и политических рисков. Яркими примерами являются кейсы со Splunk в России, с Kaspersky Lab в США и с Huawei.

Архитектура ИБ

Периметровая защита осталась в прошлом. Инсайдеры становятся все более значимым фактором. Корпоративные данные обрабатываются на личных устройствах. Облачные сервисы стали стандартом де-факто. Вышеперечисленное делает традиционные архитектурные модели практически бесполезными.

Продуктовый подход, несмотря на постоянно растущий функционал отдельных решений, также себя исчерпал, поэтому все чаще используется системный подход к проектированию архитектуры безопасности, что предполагает не только понимание современного стека технологий, но и умение работать в распределенных командах с разработчиками и интеграторами.

При создании архитектуры также должны учитываться функционал встроенных решений и фактор импортозамещения, что добавляет еще один уровень сложности и требует привлечения внешней экспертизы.

Человеческий фактор

Несколько лет назад человеческий фактор считался одной из основных угроз безопасности и самым слабым, трудно защищаемым звеном. Тем удивительнее стремительная трансформация подхода и рост компетенций специалистов по кибербезопасности именно в области работы с персоналом.

В настоящее время сотрудники являются первой линией защиты, особенно от фишинговых атак и атак с помощью элементов социальной инженерии. В этих компонентах, согласно статистике, они превосходят системы на базе искусственного интеллекта.

Это возможно не только благодаря изменениям в самих службах ИБ, которые стали уделять больше внимания повышению осведомленности и обучению пользователей, но и за счет влияния подразделений кибербезопасности на общую корпоративную культуру, что было бы невозможно без глобальных изменений отношения к ИБ в обществе.

Громкие инциденты последних лет, получившие широкое освещение в СМИ, а также большое количество мошеннических атак, с которыми обыватели сталкиваются практически ежедневно сформировали устойчивое понимание важности как самих данных, так и задач по обеспечению их защиты.

Читайте также
В Правительстве РФ готовится очередной национальный проект, получивший название «Средства производства и автоматизации». На его реализацию выделяется более 300 млрд рублей. Цель – предоставить дополнительный ресурс для развития российских промышленных предприятий. По словам Первого заместителя Председателя Правительства РФ Дениса Мантурова, одним из трех основных направлений, на которых будет сосредоточено внимание, станет развитие робототехники.

Безопасность бизнес-процессов

Возможно, что самый существенный качественный скачок в подходах к защите компаний –смещение фокуса защиты от инфраструктуры к основным, формирующим прибыль бизнес-процессам.

С одной стороны, это повышает уровень абстракции и дает необходимую гибкость на нижних уровнях, таких как ИТ-инфраструктура и программные платформы, с другой – обеспечивает интеграцию мер защиты во все ключевые процессы компании и предотвращение потерь.

Такой подход наблюдается все чаще и требует высокой организационной зрелости, и квалифицированного руководителя ИБ, который хорошо понимает бизнес и входит в руководство компании.

Заключение

Современный бизнес – это сверхтехнологичный гоночный болид, в котором топливо – деньги, пилот – руководство, двигатель – производственные отделы, индикаторы и телеметрия – бухгалтерия и контролинг, а ИБ – тормозная система.

Вопреки распространенному мнению тормоза не только не замедляют, они помогают проходить дистанцию быстрее и безопаснее и, что, возможно, еще важнее, являются ключевым компонентом успешных обгонов.

Холистический взгляд на бизнес и общность целей – залог успешной цифровой трансформации, в которой ИБ занимает место полноправного партнера, ускоряя изменения, обеспечивая защиту новых ценностей и предоставляя конкурентные преимущества. Это не просто и требует преобразований в службах информационной безопасности, долгосрочных инвестиций и терпения, что с лихвой окупается возможностью быть впереди и бороться за лидерство.

Смотреть все статьи по теме "Информационная безопасность"

 

Опубликовано 05.11.2019

Похожие статьи