У каждой компании существует свой набор рисков, который угрожает информационной безопасности. И для того, чтобы защитить бизнес, CISO должен понимать специфику бизнес-процессов. Важно это потому, что в каждая отрасль (и более того, каждый конкретный бизнес) подвержен принципиально разным рискам.
Например, и дейтинг-сервис, и телеком-оператор собирают данные пользователей. Но риски при этом у них совершенно разные. При утечке данных дейтинг-сервиса его пользователей могут шантажировать, в случае их публикации это приведет к личным драмам, а бизнес потеряет доверие клиентов и свою репутацию. А вот у телеком-оператора другие риски: номера телефонов могут быть проданы мошенникам, которые смогут обзванивать пользователей. Интерес мошенников и схема реализации рисков в этих случаях принципиально разные.
Типичные риски существуют для любых отраслей, начиная от авиаперевозок, заканчивая финансами. Как правило, в финансовых организациях используется огромное количество систем: от десятков до нескольких сотен. Часть из них новые, часть – старые. Но в итоге они все должны быть взаимосвязаны — как один из вариантов, через файловый сервер, который выступает своего рода обменником, куда одна система выкладывает данные, а другая их забирает.
Если данные «посредине» модифицируются или нарушается их целостность, то происходит нарушение бизнес-процессов. И обнаружится это нарушение может не сразу, именно поэтому нужно понимать, где существуют неприкрытые точки, которые нужно защищать. Если этого не делать, результаты могут быть плачевными: от несвоевременного отчета налоговым ведомствам, заканчивая финансовым мошенничеством. По мере цифровизации бизнеса информационные системы «проникают» даже в специфичные бизнес-процессы, порождая новые, порой уникальные для бизнеса угрозы. Возьмем для примера производственную компанию, которая выпускает комплектующие для энергетических предприятий. В работе такого оборудования важна высокая степень точности, при этом при проектировании возникает огромное количество документации: чертежей, описаний версий и так далее. В зависимости от того, как построен в компании бизнес-процесс и какие программные средства используются, в производство может уйти не та версия детали. Соответственно, это приведет к финансовым потерям, срыву сроков проекта или даже аварии, если ошибка выявится на позднем этапе.
Руководитель любой компании или предприятия найдет у себя подобные «кастомизированные» процессы, которые критически важно понять, чтобы защитить.
ИБ-директор должен вникнуть в суть бизнеса, в котором он работает, чтобы правильно расставить приоритеты. Но на деле сейчас это происходит иначе. Даже несмотря на то, что мы живем в «цифровом» мире и буквально все можно найти в онлайн-пространстве.
Несколько раз мы наблюдали в бизнесе такую картину. В компании проходили советы директоров и совещания высокопоставленных лиц, все происходящее протоколировалось. На таких собраниях принимаются судьбоносные для компании решения: приобретение конкурентов, выпуск ценных бумаг, релизы новых продуктов. Такие протоколы хранятся в сугубо отведенных для этого местах — однако часто совершенно никто и не отслеживает, кто к ним имеет доступ, и кто потенциально может их «слить». Из-за того, что ИБ-директор не вникает в суть того, что хранится в разных папках, судьба таких серьезных для компании решений может быть поставлена под вопрос.
Только погружение CISO в бизнес-процессы дает возможность компании осознанно управлять всеми рисками, начиная от репутационных, и кончая прямыми финансовыми потерями из-за нарушений или задержек в критически важных процессах.
Выражаясь фигурально, сегодня многие ИБ-директора идут по стандартному пути. Они защищают периметр организации так же, как мы строим дом: обносят его забором, чтобы воры не залезли. На самом деле, «забор» должен быть разным исходя из каждого конкретного случая. Где-то нужно укреплять каждый сантиметр, а где-то эффективнее вообще никакого забора не строить — чтобы подошли, посмотрели, что ничего нет, и ушли.
Поэтому так важна специфика бизнеса — она как раз и подсказывает возможные угрозы, с которыми компания может столкнуться. И если ИБ-директор не понимает специфику бизнеса, то он будет строить одинаковые ИБ-заборы вместо того, чтобы защищать конкретные уязвимые места.
