Замкнутый круг (не)безопасности

Замкнутый круг (не)безопасности
За последние годы серьезные усилия специалистов по информационной безопасности были направлены на то, чтобы улучшить состояние безопасности информационных активов, принадлежащих организациям, их работникам, клиентам и партнерам. Но за все это время, надо честно признать, ситуация вряд ли стала лучше. Появились и исчезли производители различных средств безопасности, была запущена и завершена масса проектов, поработали и ушли множество консультантов, а мы по-прежнему не можем достоверно ответить на вопрос, в каком состоянии с точки зрения реальной безопасности находятся наши системы. Я не хочу сказать, что вся та инфраструктура безопасности, которая была создана за эти годы, не повысила уровень защиты, дело в другом. Каждый раз когда мы поднимаем планку защиты, киберпреступники находят способ ее преодолеть.

Проблема в этой ситуации, как и в случае гонки вооружений в период "холодной войны", в том, что никто не выигрывает,... кроме тех, кто продает бомбы :). Более того, серьезно повышается шанс проиграть, истратив все имеющиеся средства и другие доступные ресурсы. Это как раз и стало причиной окончания "холодной войны". Ни одна из сторон не хотела продолжать тратить деньги на бессмысленную гонку. Проводя параллели с текущей ситуацией, в которой оказывается большинство менеджеров по информационной безопасности, хочу сказать - "Вы проиграете!". Вы это знаете, я это знаю и киберпреступники тоже это знают.

Не у многих организацией бюджеты на безопасность растут год от года в условиях текущей нестабильной экономической ситуации, более того могу с уверенностью сказать, что у большинства они сокращаются в том числе из-за слабого понимания руководством аспектов обеспечения информационной безопасности.

Информационная безопасность, хотим мы себе в этом признаться или нет, похожа на страхование жизни. Организации, пока все идет хорошо, слишком заняты зарабатыванием денег, чтобы заниматься этим вопросом, а когда случаются неприятности, становится уже слишком поздно.

Существует не так много людей (как в целом в отрасли, так внутри организаций), способных пропагандировать понимание того, какую бизнес-ценность способна дать информационная безопасность. И это плохо, потому что чем меньше мы можем объяснить руководству нашу ценность для бизнеса, тем меньшую долю инвестиций мы получаем, и все это в конечном итоге приводит к тому состоянию, в котором мы находимся в настоящий момент.

Вот как это выглядит:
  • руководство организаций не видит безопасность как функцию, дающую бизнес-ценность
  • в связи не делаются усилия для поиска и наем нужных специалистов на критические роли
  • это приводит к тому, что практически ничего не делается для того, чтобы улучшить информационную безопасность как функцию от риск-менеджмента
  • происходит серьезный инцидент информационной безопасности
  • на разбор и устранение последствий инцидента уходит огромное количество времени, денег и человеческих ресурсов
  • руководство задает вопрос "Почему наша служба информационной безопасности не смогла это предотвратить?"
  • ценность безопасности для бизнеса становится еще меньше
  • ... теперь возвращаемся в начало списка (круг замкнулся)...
Этот депрессивный взгляд на проблему может вызвать вполне резонный вопрос - "И как же выйти из этого замкнутого круга ? По моему мнению выход есть и он не потребует десятикратного увеличения бюджета на информационную безопасность. Он потребует только объединения усилий ваших поставщиков средств и сервисов по информационной безопасности, вашего руководства и вас как менеджеров по информационной безопасности. Давайте я поясню, что я имею ввиду.

Во-первых мне кажется, что мы должны изменить свой взгляд на информационную безопасность. В настоящий момент инфобезопасность - это инструмент для решения отдельных проблем. Многие руководители служб информационной безопасности, с которыми мне довелось общаться, указывали на то, что им приходится иметь дело с огромным количеством производителей средств защиты, каждый из которых решает некую узкую задачу и при этом практически никак не интегрируется с другими механизмами безопасности с целью практического снижения существующих рисков.
Возьмем к примеру антивирус. Как это решение взаимодействует с другими средствами защиты, используемым в вашей организации ?

Настало время производителям средств защиты выступить с цельными, комплексными решениями, способными обеспечить потребность в минимизации возросших рисков. Точечные решения - это уже прошлый век, они не работают. Более того, следует обеспечить возможность осознанного принятия решений в отношении имеющихся рисков на основе аналитики, предоставляемой как существующими техническими решениями, так и взятой из внешних источников. Если вы не получаете никакой риск-ориентированной аналитики от используемых технических решений настало время задать вопрос производителям этих средств защиты, либо задуматься над тем, как обеспечить себя необходимой аналитикой.

Во-вторых мне кажется настал момент подумать иначе над тем, что мы делаем с точки зрения информационной безопасности. Мы больше не стражники крепостных стен (а может быть никогда ими и не были), за которыми спрятаны ценные активы нашей компании. Настало время сесть с бизнесом за стол переговоров и выяснить наконец как безопасность может интегрироваться с бизнес-целями организации. В этой идее нет ничего революционного, я согласен, но до настоящего времени этого никто так и не делает. Функция безопасности по-прежнему слабо связана с общими целями организаций, а специалисты по информационной безопасности по-прежнему слишком ориентированы на технологии, вместо того, чтобы сконцентрироваться на той ценности, которую они могут дать бизнесу.
Мне кажется, что специалистам по информационной безопасности требуется стать в определенном смысле бизнес-аналитиками, изучить различные аспекты корпоративного управления, а уже потом переходить к вопросам применения технологии информационной безопасности. Разобраться в технологии - легко, применить ее в реальном бизнесе - не просто.

Нужно начать думать не над тем, какую еще "передовую" технологию закупить, а над тем, что нужно сделать для решения проблем безопасности в контексте имеющихся бизнес-задач.

Данный материал является моим вольным переводом статьи Rafal Los , опубликованной в журнале CIO.
Alt text

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!

Александр Бондаренко

Блог Александра Бондаренко