Тихой сапой в деятельности служб ИБ наступает революция

Тихой сапой в деятельности служб ИБ наступает революция
Обращали ли вы внимание на интересную тенденцию, которая тихой сапой приходит на рынок информационной безопасности. Но не на рынок производителей средств защиты или поставщиков услуг (хотя к ним это тоже имеет отношение), а в деятельность корпоративных служб ИБ. Речь идет о стирании границы между двумя ранее независимыми направлениями - рынка корпоративных и потребительских технологий. Причем именно последние проникают в первые и это ставит новые вопросы перед службами ИБ. Вот несколько примеров:
  • Нежелание пользователей использовать выданную на работе оргтехнику по 4-5 лет. Как раз наоборот - пользователи хотят жить как в обычной жизни - устарел компьютер - поменял, понравилась новая модель смартфона - поменял и т.д. И они это начинают диктовать своему предприятию. На ИБ это влияет несильно, но жизненный цикл средств защиты уменьшается и это надо учитывать при бюджетировании и выработке стратегии тестирования и внедрения средств защиты (нужно ускоряться).
  • Концепция BYOD, о которой не только уже все слышали, но и начинают использовать. Одно дело защищать корпоративные устройства и другое дело - личные, на которых может находиться (и находится) личная информация пользователя, его персональные данные, которые он не хотел бы делать достоянием если не гласности, то ИТ/ИБ-службы.
  • За BYOD мягкой поступью идет BYOT, т.е. "принеси свою технологию", когда пользователь начинает приносить свои приложения, делающие их работу удобней и эффективней. А это приводит к тому, что стандартизация ПО, о которой так ратуют многие апологеты ИТ, уже не является панацеей. Нет стандарта на используемое ПО - специалистам по ИБ приходится расширять свои знания в части изучения нового софта, новых уязвимостей, новых угроз, новых каналов утечки и т.д. Это требует ресурсов, о выделении которых надо думать заранее.
  • Размывание границы между личным и корпоративным не только в устройствах или технологиях, но и в действиях, которые пользователи осуществляют в рабочее время с личных устройств или с корпоративных устройств в нерабочее время. Не зря в развитых странах сейчас идет борьба не ИТ и ИБ, а ИБ и Privacy. Как совместить и то и другое? Как не нарушать конституционные права пользователя на частную жизнь и при этом обеспечивать эффективную работу сотрудника? Неоднократно поднимаемая тема контроля e-mail относится именно к этому направлению. Одно дело запретить заниматься личными делами на работе (нарушает ТК, но многие работодатели так делают) и совсем другое дело, когда такого запрета нет. В этих условиях службам ИБ приходится отходить от концепции "замкнутой среды" и придумывать что-то более гибкое.
  • Приход новых вендоров, ранее на корпоративном рынке незамеченных, а следовательно и неучитывающих потребности корпоративных пользователей или учитывающих не в полной мере. Речь идет о Google, Apple, Dropbox и иже с ними. Загрузка корпоративных документов в iCloud, Google.Docs, Dropbox с их малокемчитаемыми политиками с одной стороны повышает надежность хранения, гибкость доступа и удобство обмена с коллегами, а с другой ставит кучу непонятно как разрешаемых задач перед службами ИБ. Причем именно перед безопасниками - айтишникам все эти сервисы никаких особых проблем не доставляют (если не вспоминать про синхронизацию).
  • Использование социальных сетей для целей корпоративного маркетинга, привлечения новых клиентов, получения обратной связи от потребителя и т.д. С другой стороны социальные сети начинают использоваться для информационных войн (а кому с ними бороться как не безопасникам), слива (в т.ч. и случайного) конфиденциальной информации, нарушения этических норм и т.п. И обо всем этом тоже стоит задуматься ДО, а не ПОСЛЕ начала их активного использования.

В маркетинге есть модель, называемая кривой Роджерса или кривой восприятия инноваций. Суть ее проста - любая инновация воспринимается не сразу, а постепенно. Сначала ее начинают применять новаторы, потом ранние последователи, а уже за ними раннее и позднее большинство.


Так уж складывается, что к новаторам и ранним последователям в описанных выше областях нередко относятся либо руководители высшего или среднего звена, либо ключевые сотрудники, приносящие компании немалую прибыль. А следовательно их мнение и поведение надо учитывать. Пробовать упирать на требования запретительных политик ИБ можно, но вот вопрос "кто проиграет в этой войне" думаю будет не за службой ИБ ;-( И последние инциденты это демонстрируют с завидной регулярностью.

Пора пересматривать традиционные подходы  в области обеспечения ИБ и учитывать набирающее силу влияние рядовых пользователей на применение технологий и новых методов работы. А уж регуляторам с их главенствующей методической ролью (как минимум в теории) и подавно стоит об этом подумать.
тенденции архитектура
Alt text

Мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру в нашем Yotube выпуске.