Цифровизация и ИБ – противостояние или партнерство

Логотип компании
Цифровизация и ИБ – противостояние или партнерство
В настоящее время сотрудники являются первой линией защиты, особенно от фишинговых атак и атак с помощью элементов социальной инженерии.
Буквально за десятилетие цифровизация из прикладной дисциплины не только превратилась в основное направление развития коммерческих компаний, но и стала приоритетом номер один в национальных экономических стратегиях большинства развитых и развивающихся государств.

Несмотря на обилие маркетинговой шелухи и зачастую откровенный хайп вокруг проектов по диджитализации, очевидно, что и настоящее, и будущее человеческого общества неотъемлемо связаны с использованием высоких технологий на всех уровнях деятельности, и глобальной задачей является сделать эти технологии не только удобными, но и безопасными.

Ловушки цифровизации

Gartner определяет цифровую трансформацию бизнеса как процесс использования цифровых технологий и вспомогательных средств для создания новых устойчивых бизнес-процессов и получения прибыли.

Особенность заключается в том, что компании вынуждены непрерывно увеличивать инвестиции и в создание, и в поддержку, и в модификацию новых цифровых платформ и процессов, поскольку этого требует постоянное изменение технологического ландшафта и сценариев взаимодействия с пользователями. Более того, предприятия вынуждены стремительно адаптироваться к технологическим и экономическим изменениям, чтобы оставаться конкурентноспособными и расти на уровне или быстрее рынка.

Было бы ошибкой считать, что цифровая трансформация затрагивает лишь технологическую часть бизнеса. Масштаб изменений требует выработку новой ментальности и построения корпоративной культуры, пересмотра привычных инструментов и подходов, гибкой организационной структуры и поддержки инициативы на всех уровнях управления организации. Это глубокие и сложные преобразования, которые жизненно необходимы для достижения успеха.

Организации попадают в ловушку, инвестируя исключительно в технологии. В этом случае меняются инструменты, а не бизнес-модель. Фактически вместо трансформации происходит автоматизация деятельности. Выигрыш от такого подхода относительно незначительный, но позволяет поддерживать конкурентоспособность и улучшать отдельные ключевые процессы. Важно понимать, что достижение долгосрочного экономического эффекта возможно только при полноценном переходе в диджитал.

Роль ИБ

Рост количества используемых мобильных приложений и сервисов, объема обрабатываемых данных, развитие технологий искусственного интеллекта и облачных услуг не только увеличивает доступный злоумышленникам ландшафт, но и делает ущерб от кибератак все более значимым для операционной деятельности. Стоимость ущерба стремительно растет и в абсолютных значениях.

Именно поэтому в последние годы и бизнес, и государство уделяют повышенное внимание вопросам кибербезопасности и инвестируют в ИБ значительные ресурсы. Именно поэтому неуклонно растет и роль служб информационной безопасности. Банки, ретейл, перевозки и производство – все эти отрасли становятся более технологичным, обгоняя законодательство и формируя новые направления бизнеса и рыночные ниши.

Одновременно сбор и обработка огромных массивов данных, в первую очередь персональных, привели к необходимости введения более жесткого государственного и даже наднационального регулирования, что в свою очередь породило особый класс задач для ИБ, связанных с так называемой «бумажной» безопасностью.

Применение агрессивного маркетинга с элементами FUD, в том числе внутри компаний, изменило восприятие кибербезопасности бизнесом. В глазах руководителей ИБ превратилась в форму скрытого налога. Нежелание ИБ пересматривать свою контролирующую функцию и, соответственно, отрицательное влияние на скорость изменений автоматически записало кибербезопасность в лагерь противников цифровизации.

ИБ оказалась, с одной стороны, под давлением бизнеса, который требует ускорения изменений и гибкости, а с другой – под прессом регуляторных требований, задающих достаточно жесткие рамки и предполагающих определенную дополнительную бюрократизацию процессов. Грузом становится и наследие в виде классических систем защиты, и ограниченность ресурсов, в первую очередь в области квалифицированных кадров.

Эволюция ИБ

Давление заставило отрасль ИБ стремительно эволюционировать, причем эта эволюция затронула практически все аспекты деятельности департаментов безопасности.

Диалог с бизнесом

Одна из наиболее важных проблем с точки зрения CEO и правления компании – необходимость разбираться в технологических аспектах и терминологии в области кибербезопасности, так как это необходимо для понимания текущего состояния и запросов служб ИБ, а также для постановки задач со стороны бизнеса, что становится критических важным для синхронизация технологических и процессных изменений.

Ситуация усугубляется недостаточным погружением специалистов в области ИБ в контекст бизнес-операций и зачастую слабыми soft-skills, что не позволяет доносить информацию до правления в простой и понятной форме и, соответственно, выстраивать диалог.

В последние пару лет наблюдается тенденция, что CISO/CSO не только стали говорить на языке бизнеса, но и благодаря глубокому пониманию деятельности компании и процессов формирования прибыли расширять свою сферу деятельности, занимая позиции операционных, технических и исполнительных директоров и курируя целые бизнес-направления, в первую очередь связанные с цифровой трансформацией.

Благодаря этим изменениям бизнес все чаще видит в ИБ не затратный центр или регуляторный щит, а полноценного партнера, который помогает компании развиваться и зарабатывать деньги.

Читайте также
Увеличение бюджета, сдвиг сроков и вымотанные нервы — как это предотвратить, работая с ИТ-аутсорсерами? Ответ прост: выбрать надежную компанию и обеспечить прозрачность, тогда и не возникнет неожиданных результатов. Вот только какие маячки сигнализируют, что с аутсорсером не сработаетесь, даже если его порекомендовали знакомые? И как выстроить работу, чтобы не разочароваться в сотрудничестве? Делюсь знаниями и кейсами на основе моего пятилетнего опыта работы на стороне ИТ-аутсорсера.

Встроенная безопасность

Исторически большинство решений по защите и приложений и данных разрабатывались отдельно и представляют собой надстройку над существующей инфраструктурой. Подобный подход лучше масштабируется и продается, но обеспечивает значительно более низкий уровень безопасности, так как не позволяет использовать встроенные возможности программного обеспечения.

Из-за растущего числа сложных и целенаправленных атак, в том числе спонсируемых на государственном уровне, разработчики и заказчики все чаще обращаются к концепции secure by design, которая предполагает включение требований по безопасности на самых ранних этапах создания продукта или сервиса, а также поддержку безопасного функционирования на всем протяжении жизненного цикла.

Данный подход находит применение для критических информационных систем, таких как управление транспортом и производством.

Актуальными подходами являются включение безопасности в цикл разработки – SDLC, а также использование решений с формальной верификацией кода и жесткой логикой.

Agile

Гибкие методологии в управлении проектами стали стандартом де-факто для технологических компаний, а затем начали распространяться за пределы отделов разработки и в другие сектора промышленности, в том числе Agile-практики теперь применяются и в области безопасности.

В настоящее время знание методов и практик Agile считается обязательным, как для менеджеров по информационной безопасности, так и для специалистов, особенно в случаях, когда те являются членами команд разработки.

Импортозамещение

Геополитическая обстановка накладывает ограничения на доступность использования определенных технологий или решений. Сегодня многие страны в явном или неявном виде реализуют политики протекционизма и импортозамещения в сфере высоких технологий. Речь даже может идти о практически полном запрете решений определенного производителя.

Это приводит к тому, что стратегическое планирование инвестиций и технологической архитектуры требует дополнительной оценки санкционных и политических рисков. Яркими примерами являются кейсы со Splunk в России, с Kaspersky Lab в США и с Huawei.

Архитектура ИБ

Периметровая защита осталась в прошлом. Инсайдеры становятся все более значимым фактором. Корпоративные данные обрабатываются на личных устройствах. Облачные сервисы стали стандартом де-факто. Вышеперечисленное делает традиционные архитектурные модели практически бесполезными.

Продуктовый подход, несмотря на постоянно растущий функционал отдельных решений, также себя исчерпал, поэтому все чаще используется системный подход к проектированию архитектуры безопасности, что предполагает не только понимание современного стека технологий, но и умение работать в распределенных командах с разработчиками и интеграторами.

При создании архитектуры также должны учитываться функционал встроенных решений и фактор импортозамещения, что добавляет еще один уровень сложности и требует привлечения внешней экспертизы.

Человеческий фактор

Несколько лет назад человеческий фактор считался одной из основных угроз безопасности и самым слабым, трудно защищаемым звеном. Тем удивительнее стремительная трансформация подхода и рост компетенций специалистов по кибербезопасности именно в области работы с персоналом.

В настоящее время сотрудники являются первой линией защиты, особенно от фишинговых атак и атак с помощью элементов социальной инженерии. В этих компонентах, согласно статистике, они превосходят системы на базе искусственного интеллекта.

Это возможно не только благодаря изменениям в самих службах ИБ, которые стали уделять больше внимания повышению осведомленности и обучению пользователей, но и за счет влияния подразделений кибербезопасности на общую корпоративную культуру, что было бы невозможно без глобальных изменений отношения к ИБ в обществе.

Громкие инциденты последних лет, получившие широкое освещение в СМИ, а также большое количество мошеннических атак, с которыми обыватели сталкиваются практически ежедневно сформировали устойчивое понимание важности как самих данных, так и задач по обеспечению их защиты.

Читайте также
IT-World разбирался, почему монолитные корпоративные системы — это бомба замедленного действия и как избежать ошибок при проектировании.

Безопасность бизнес-процессов

Возможно, что самый существенный качественный скачок в подходах к защите компаний –смещение фокуса защиты от инфраструктуры к основным, формирующим прибыль бизнес-процессам.

С одной стороны, это повышает уровень абстракции и дает необходимую гибкость на нижних уровнях, таких как ИТ-инфраструктура и программные платформы, с другой – обеспечивает интеграцию мер защиты во все ключевые процессы компании и предотвращение потерь.

Такой подход наблюдается все чаще и требует высокой организационной зрелости, и квалифицированного руководителя ИБ, который хорошо понимает бизнес и входит в руководство компании.

Заключение

Современный бизнес – это сверхтехнологичный гоночный болид, в котором топливо – деньги, пилот – руководство, двигатель – производственные отделы, индикаторы и телеметрия – бухгалтерия и контролинг, а ИБ – тормозная система.

Вопреки распространенному мнению тормоза не только не замедляют, они помогают проходить дистанцию быстрее и безопаснее и, что, возможно, еще важнее, являются ключевым компонентом успешных обгонов.

Холистический взгляд на бизнес и общность целей – залог успешной цифровой трансформации, в которой ИБ занимает место полноправного партнера, ускоряя изменения, обеспечивая защиту новых ценностей и предоставляя конкурентные преимущества. Это не просто и требует преобразований в службах информационной безопасности, долгосрочных инвестиций и терпения, что с лихвой окупается возможностью быть впереди и бороться за лидерство.

Смотреть все статьи по теме "Информационная безопасность"

 

Опубликовано 05.11.2019

Похожие статьи