В какие направления ИБ-директору инвестировать в 2023 году

Какие направления стоит профинансировать сполна в первую очередь — в колонке генерального директора ITGLOBAL.COM Security Александра Зубрикова на Securitylab.ru.

Поразительно, насколько единогласны в своих прогнозах российские и мировые эксперты. И те, и другие сходятся во мнении, что у сегмента решений кибербезопасности нет других траекторий, кроме как вперед и вверх. Для CISO такая ситуация — окно возможностей. Хакерские атаки, сливы данных и даже диверсии по отношению к целым отраслям и экономикам возводят вопросы ИБ в ранг насущных на советах директоров предприятий любых отраслей и масштабов.

С одной стороны, это хороший предлог для увеличения бюджетов на ИБ и повод для роста влияния CISO в корпоративной иерархии. С другой — большие деньги на кибербез станут лучше видны в структуре общего корпоративного бюджета. Каждая трата неизбежно будет изучена через призму эффективности, причем именно с точки зрения оправданности инвестиций. Другими словами, от CISO требуется вкладывать деньги в корпоративную ИБ так, чтобы целесообразность расходов не вызывала вопросов ни у совладельцев компании, ни у финансового директора, — словом, на всех, кто имеет влияние на принятие финального решения. Они, скорее всего, также имеют представление о ситуации в киберпространстве. И с их точек зрения недофинансирование ИБ как корпоративной функции — история настолько же негативная, как и нерациональные траты.

Итак, на какие направления должен смотреть директор по информационной безопасности в 2023 году?

Фонд оплаты труда

На фоне объявленного дефицита айтишников в количестве как минимум полумиллиона человек, нехватка ИБ-специалистов уже стала проблемой. Квалифицированных “ибэшников” на рынке перехватывают моментально. За них уже постепенно разворачивается настоящее сражение, где выиграет тот, кто помимо большой зарплаты предложит лучшие условия: оплату релокации и “подъемные”, расширенную медицинскую страховку и другие привлекательные составляющие социального пакета.

Оптимальный способ избежать ситуации, когда толковый специалист начинает смотреть в сторону других работодателей, — индексация. Часто плюс 20% к вознаграждению сотрудника бывает более оправданным шагом, чем впоследствии потерять специалиста и понести еще более серьезные накладные расходы на поиск и найм — причем без гарантии, что новичок адаптируется к корпоративной культуре, оправдает ожидания и быстро выйдет на “проектную мощность” в рамках предметной области.

Расширение штата — еще одно важное направление в статье затрат по ФОТу. Вам неминуемо потребуется больше рабочих рук как минимум для того, чтобы управляться с растущим количеством средств защиты информации, число которых уже идет на десятки. Об этом мы уже упоминали.

Обучение/повышение квалификации

На первый взгляд, повышение квалификации как направление для кадровой политики в ведомстве CISO перестало существовать после исхода с нашего рынка крупных вендоров. Именно их программы и курсы наряду с тренингами CISSP и CISM в отрасли считали “концентратом” лучших практик, которые стоит перенимать отечественным компаниям. Но изменившиеся условия — не повод отбросить идею с обучением. Уместнее будет сместить фокус и инвестировать как минимум в три направления.

Первое — это обучение по комплаенс. Его часто проводят регуляторы. Такое повышение квалификации удобно тем, что ваши специалисты не только получат информацию об изменениях в “регуляторке” из первых рук, но смогут “в лоб” спросить, что именно регулятор имел ввиду под конкретными формулировками. Часто эти сведения из других источников просто не добыть.

Второе — это обучение по тем решениям, которые уже есть, либо по тем, которые планируется внедрить. Очевидно, по большей части это будут отечественные СЗИ. В условиях, когда части привычной функциональности просто нет, у вендора в рамках учебного курса можно будет выяснить правильные сценарии использования. Почему это важно? Да потому, что в скрижалях OWASP Top-10 криво настроенное оборудование и ПО находятся на пятом месте среди причин состоявшихся киберинцидентов.

Третье — это обучение общей практики, то есть конференции, вебинары, воркшопы. Участие в таких активностях поможет заглянуть за горизонт собственных представлений и синхронизироваться с динамикой отрасли. Нередко такое понимание оказывается предпосылкой к импульсу в развитии ИБ в актуальном направлении.

Расширение функциональности и/или лицензионного покрытия СЗИ

Больше лицензий на endpoint-защиту, больше EPS для SIEM, шире возможности SOC… На первый взгляд, подобная предусмотрительность выглядит лишней в нынешней ситуации, когда все сигналы говорят о перестройке экономики с тенденцией к ее замедлению. Но в ситуациях нестабильности могут произойти в том числе и позитивные эпизоды. Например, компания резко вырастет через поглощение конкурента. Соответственно, существенно увеличится площадь поверхности атаки, которую надо будет защищать.

Проверки и аудиты

Здесь имеются ввиду, например, аудит по 152-ФЗ, 187-ФЗ или ГОСТ Р 57580.x, а также перечень мероприятий по “добровольной” проверке на киберустойчивость — пентесты, анализ кода, проверка на уязвимость по отношению к фишингу и другие активности. Такие аудиты придадут осмысленности будущим тратам и помогут обосновать каждую новую инвестицию. Важная деталь: CISO следует закладывать не только затраты на проведение работ по проверке, но и затраты на исправление того, что эти проверки покажут. Скажем, с одним из заказчиков мы пришли к “правилу +30%”. На протяжении уже нескольких лет он закладывает на ликвидацию выявленных “белых пятен” треть от объема средств, которые тратит на аудиты.

В поисках бюджетов

Правда жизни: 2023-й, скорее всего, не станет годом, когда ИБ-бюджеты согласуются быстро и безоговорочно. Пока еще слишком велика инерция прошлого периода, когда деньги на кибербез собственник или совет директоров давали с неохотой и далеко не по первому требованию. Как быть с противоречием, когда частотность и сила атак растут, а поток денег, которые требуются на приведение корпоративного кибербеза в актуальное состояние по пунктам выше, шире не становится? Защита ИБ-бюджета, скорее всего, соединит консервативные подходы, характерные до наступления кибершторма, с аргументами из новой реальности.

Первый вектор аргументации базируется на рисках. Владельцу компании или совету директоров “подсвечивают” необходимость инвестиций в ИБ через ущерб от непрерывности бизнеса (нарушение работы клиентских приложений или веб-сайта) или через утрату важных активов (базы заказчиков, конструкторской документации). Это наиболее распространенный, но и наименее объективный вариант аргументации: маловероятно, что хакеры “завалят” всю инфраструктуру, да и урон от неработающих информационных систем часто преувеличен, потому что изначально посчитан неправильно.

Суть второго вектора — представить собственнику или совету директоров затраты на ИБ не одним колоссальным расходом, а ассигнованиями на базовые направления, такие как управление доступом, управление учетными записями, управление стоимостью лицензий и техподдержки, и т.д. Суммы выглядят менее пугающими для согласующих, когда помимо направлений они “раскатываются” по разным отчетным периодам. Минус этого подхода в том, что работы по конкретному направлению окажутся сильно растянутыми по времени. Это не всегда приемлемо.

Третий вектор направлен на аудит и комплаенс. Это сущность из 2023 года, потому что именно сейчас компании начинают ощущать давление регуляторов. CISO на высшем уровне корпоративной иерархии поясняет, что необходимо сделать, чтобы соответствовать требованиям регуляторов и тем самым избежать взысканий с его стороны. Часто ему отвечают: давай попробуем не подпадать под требования регулятора и найдем для этого юридические доводы. А то и вовсе отсидимся: “Да кому мы нужны?” Впрочем, контраргументы работают до появления официального предписания регулятора. Когда документ перед глазами, владелец бизнеса становится более сговорчивым: здесь уже не до шуток.

Можно ли пойти трендам наперекор и попытаться сэкономить в моменте, когда остальные участники рынка тратят все больше? На наш взгляд, момент экономии обязательно должен присутствовать в процессах обоснования ИБ-бюджетов.

Как минимум стоит провести аудит активов и их градацию, чтобы понять, что именно нужно защищать. Очевидно, что информационные системы, которые функционируют как вспомогательные (например, для удобства айтишников), не будут приоритетом для защиты и не потребуют затрат, сравнимых с таковыми на бизнес-критичных участках инфраструктуры. При этом нелишне будет помнить о “золотом правиле”: стоимость комплекса ИБ-решений и мероприятий не должна превышать стоимость защищаемых активов. Нелишним будет проанализировать лицензии и условия техподдержки. Их избыточность также даст повод сократить расходы и сказать об этом на сессии по защите бюджета.