Пересмотра требовала, например, функция штатного отдела ИБ. «Лучшие практики» в ИБ давно уже не лучшие, это было понятно еще до пандемии. Меж тем, штатный безопасник до сих пор вроде надсмотрщика и охранника одновременно. И эта функция расходится с реальностью.
Сейчас, после карантина, цифровая трансформация бизнеса из чистого маркетингового штампа превращается в реальную необходимость. Бизнес вынужденно цифровизируется на всех уровнях, автоматизация процессов затрагивает даже такие консервативные отделы как АХО. Как следствие, растет число потенциальных уязвимостей в информационной защите компании. К информационной безопасности нужен новый подход: теперь ею должны заниматься все подразделения, от маркетологов до айтишников. А безопасник — это уже скорее координатор и помощник.
ИБ — это про всех и каждого
- Внутри организации функции ИБ всё чаще распределяются между профильными специалистами и ИТ-отделом. Айтишники отвечают, например, за политики доступа пользователей к корпоративному ПО: выдают логины и пароли, настраивают аутентификацию в ERP-, BPM-, ITSM-системах. Часто такие платформы — SaaS-решения, то есть онлайн-ресурсы с типовыми, а иногда и новыми веб-уязвимостями. Чтобы грамотно настроить защиту от взлома, айтишникам обычно не хватает квалификации, а у безопасников до этого никак не доходят руки.
- То же касается и безопасности корпоративного сайта. Нередко доступ к нему контролируют фронтенд-разработчик, контент-менеджер и маркетолог, которые слабо представляют, как эксплуатируются «дыры» в CMS и веб-серверах.
- В банке, который использует автоматизированную антифрод-систему с поддержкой ИИ, ее администрированием занимается айтишник — но только на этапе внедрения. Дальше с ПО работает операционист. Система контролирует фрод, определяет возможные мошеннические действия — и операционист трактует полученную информацию, опираясь на свои знания (или незнания).
- Правилам безопасности, в том числе ИБ, во многих компаниях обучает HR-отдел. Расхожий пример: когда-то давно ИБ-служба сделала специальную методичку, на ее основе HR сняли обучающее видео или подготовили курс. В лучшем случае по итогам обучения новому сотруднику предлагают пройти несложный тест, чтобы закрепить знания. Но вряд ли служба ИБ интересуется результатами этих тестов — тем более, если компания нанимает по десять новых сотрудников еженедельно.
Проблема ещё в том, что штатной службе зачастую не до присмотра — ведь ей нужно заниматься «бумажной информационной безопасностью». И у некоторых организаций со сложной структурой «бумажная ИБ» отнимает до 90% времени безопасников.
Александр Зубриков, руководитель направления ИБ ITGLOBAL.COM:
“В ходе комплексных аудитов информационной безопасности мы часто видим либо загруженные операционкой службы ИБ, либо их отсутствие вовсе. Однако, в ходе работы мы вместе с заказчиком обычно приходим к выводу, что функция ИБ должна пронизывать всю компанию целиком, а не сосредотачиваться только в пределах отдела ИБ. Как показывает практика, при таком подходе в разы повышается защищенность компании в целом.”
Польза внешнего аудита
Оптимизацию процессов ИБ лучше начинать с анализа защищенности. Обследование, которое проводит опытная аудиторская компания, показывает сильные и слабые стороны действующих процессов и настроек СИЗ (программных средств информационной защиты). Вдобавок аудит помогает правильно инвестировать в ИБ.
По итогам аудиторской проверки службе ИБ будет проще выстроить бизнес-процессы компании так, чтобы информационную безопасность обеспечивали все подразделения. Это, кстати, не умаляет значимости штатных безопасников — просто избавляет их от части рутинных обязанностей.
Внутренняя безопасность. Когда у сотрудников понятный регламент — как действовать в конкретной ситуации, — штатной службе информационной безопасности реже приходится отвлекаться и повторять элементарные правила ИБ-гигиены. Обученный сотрудник, получив письмо от неизвестного адресанта, десять раз подумает, прежде чем открывать вложение. Потому что знает, что это потенциальная угроза.
Внешняя безопасность. Освободившись от необходимости постоянного контроля за сотрудниками, служба ИБ может больше внимания уделять защите информационных систем от внешних угроз. А в этом деле, , нет предела для совершенствования.
Требования регуляторов. Было бы странно, если количество нормативных актов, стандартов и требований регуляторов с каждым годом снижалось. Повезло компаниям, которым нужно соблюдать, к примеру, один только 152-ФЗ. Другим приходиться соответствовать разом Положению 382-П, ГОСТ Р 57580, 152-ФЗ, получать сертификат PCI DSS и так далее. В такой ситуации штатной службе времени на то, чтобы контролировать процессы ИБ в смежных подразделениях, не остается. Это еще один повод обратиться к внешнему аудитору.
Как это делается
- Обучение сотрудников. Вариант подходит для компаний, у которых нет штатной службы ИБ. Либо в штате один безопасник, у которого и без того масса забот. Третий сценарий — когда компания настолько большая, что ИБ-отдел постоянно загружен операционкой. В любом случае аудитор обучает сотрудников с учетом особенностей компании: отрасли, организационной структуры, особенностей бизнес-процессов и внутренних правил ИБ.
- Рекомендации. Штатная служба ИБ использует рекомендации, которые аудитор выдает по итогам комплексного обследования, и самостоятельно применяет их для улучшения процессов ИБ внутри подразделений. В таком случае у штатных безопасников больше нагрузка, но и больше контроля.
- Внедрение системы менеджмента информационной безопасности. Для отладки процессов и функций ИБ могут быть использованы сторонние специалисты. Это, своего рода, консалтинг, то есть, внешняя команда поможет собрать основу и структуру отдела, определить, кто и какую роль выполняет, а также оказать помощь во внедрении этих рекомендаций.
- Внедрение средств автоматизированных средств защиты. Поможет автоматизировать некоторые процессы и обезопаситься от ряда угроз, однако полноценно отдел ИБ не заменит. Следует рассматривать с учетом потенциальной экономии средств на дистанции (если речь не идет о соблюдении требований регулятора). К таким средствам можно отнести, например, криптошлюзы, DLP-системы, межсетевые экраны и т.д.
Во всех случаях внешнее обследование приносит полезные результаты, даже если уровень квалификации штатных безопасности высок. Потому что какой бы квалифицированной ни была служба ИБ, всегда найдутся поводы улучшить информационную безопасность.
, чтобы получить подробную консультацию по услугам ИБ.
