Кибербез нон-стоп
Почему процессный подход – это будущее корпоративной информзащиты
Продолжающийся кибершторм, каскад громких инцидентов и регуляторные инициативы подталкивают отечественные компании к практической кибербезопасности. Эта тенденция сталкивается со своеобразным пониманием защиты IT-периметра собственниками бизнеса, которое становится препятствием для реализации актуальных подходов в информационной безопасности (ИБ). Генеральный директор ITGLOBAL.COM Security Александр Зубриков приводит три таких заблуждения и рекомендует, как действовать ИБ-руководителю, если собственник бизнеса или топ-менеджер уже находятся во власти стереотипов о кибербезопасности.
ОТДАТЬ ПРОЦЕССЫ НА ОТКУП ИБ
Совет директоров и собственник бизнеса ожидают от ИБ-директора полной самостоятельности в решении всего спектра вопросов, связанных с внедрением процессного подхода к корпоративной киберзащите. Но такой «зеленый свет» – практически всегда ловушка.
Опыт преобразований показывает, что реформирование корпоративной ИБ – это процесс, который инициируют «сверху»
Для отечественных компаний это особенно важно. В российских организациях, где каждый отдел – это государство в государстве, насаждать новые стандарты предстоит принудительно, в течение длительного времени.
Но до старта реформ и применения лучших практик владельцу бизнеса или совету директоров будет не лишним определиться: а зачем им вообще нужен этот комплекс мероприятий? Вот основные ответы на этот вопрос:
- Не допустить нарушений непрерывности бизнеса.
- Избежать драконовских штрафов со стороны регулятора.
- Попасть на радары инвесторов любого ранга.
- Подготовить компанию к выходу на биржу или на долговой рынок.
- Принять участие в реализации стратегического госконтракта.
Эти цели могут быть сформулированы только владельцами бизнесов. Только с их подачи возможен переход ИБ во всей компании на процессные рельсы.
В этой ситуации директору по кибербезопасности нужно вести разговор с владельцами компании и топ-менеджерами на языке денег, которые они могут потерять из-за игнорирования ИБ как процесса. Кроме того, нужно указать на финансовые или административные последствия этого.
Чтобы обладать всей полнотой аргументов, важно оценить, в какую сумму обойдется бизнесу та или иная брешь в безопасности конкретного процесса
Заполучить полную карту процессов и хотя бы в первом приближении понять реальную стоимость утечек вряд ли получится без привлечения ИБ-компании с соответствующей экспертизой.
При этом разговаривать с владельцем бизнеса на языке последствий не значит запугивать. Конечно, такой подход может противоречить прошлому опыту, когда «продавать» ИБ-проекты внутреннему заказчику помогал страх возмездия за легкомысленное отношение к кибербезу. Но именно сейчас, когда совокупность внешних факторов толкает кибербезопасность от «бумажной» к практической, для профессионала по кибербезопасности самое подходящее время перевести такой разговор в конструктивную плоскость.
НЕ ТОЛЬКО ПЕРЕДОВОЙ СОФТ
Проще всего выделить бюджет ИБ-директору на закупку и развертывание средств защиты информации. Построить из них, как из кирпичей, крепостную стену вокруг компании, а затем спрашивать с руководителя направления за каждый инцидент.
Но такой подход в 2023 году уже не работает и не обеспечивает антихрупкость, то есть защиту от неожиданных событий, которых за последние годы мы увидели предостаточно.
Преимущество получили те организации, где кибербезопасность представляет собой гибкую сущность со способностью адаптироваться в зависимости от внешних и внутренних вызовов
Например, пандемия лишила смысла саму суть надежного корпоративного ИБ-периметра, поскольку сотрудники работали вне офиса. Ряд геополитических факторов прошлого года спровоцировал разворот бизнеса в ином направлении. Эти изменения заставили существенно пересмотреть модели рисков.
Для отстаивания процессного подхода к ИБ опять-таки отлично сработает финансовый контекст.
Бизнесу нужно бы пояснить, что процессный подход предполагает более рациональное расходование средств
Поясню на примере одного из проектов ITGLOBAL.COM Security. Не так давно мы помешали заказчику потратиться на решение класса Mobile Device Management. Клиент уже был готов выложить круглую сумму за дорогостоящий «солюшен» под конкретный бизнес-процесс, но спросил нашего мнения. Мы подсчитали стоимость: с учетом вендорской поддержки и труда специалистов для сопровождения в горизонте пяти лет к его прайсу потребовалось бы прибавить еще три цены приобретения.
«Что с этим можно сделать?» – задал закономерный вопрос клиент. Мы рассмотрели процесс, который предлагалось «накрыть» решением MDM, и пересобрали его бизнес-логику на более простых компонентах с учетом модели угроз, характерных для конкретного процесса. Без процессного подхода заказчик, скорее всего, просто вложил бы деньги в дорогостоящее решение, купленное ради единственного бизнес-процесса.
ПОДРЯДЧИК – НЕ ВЫХОД
Распространенное увлечение передачей непрофильных бизнес-процессов на аутсорсинг может коснуться в том числе и направления информационной безопасности. Владельца бизнеса можно понять – он мыслит в собственной парадигме общей эффективности компании. В ней кибербез – это всегда расходы, а раз так, то следует приложить усилия, чтобы получить максимум с каждой вложенной копейки.
Такой подход нередко обретает крайне своеобразные формы. Заказчик почему-то уверен, что функцию киберзащиты внутри компании можно смело игнорировать, поскольку организация получает комплексный продукт более высокого качества от провайдера ИБ-услуг. Вместе с тем
нельзя поручить подрядчику основную функцию кибербезопасности и назначить ответственным за ее ненадлежащее выполнение
Но заблуждение на этот счет в головах у владельцев бизнеса присутствует. Оно становится орудием прессинга в руках собственника бизнеса: «Я недоволен ИБ-подрядчиком, который деньги получает и ни за что не отвечает. Разберитесь».
В этой ситуации руководителю ИБ-отдела необходимо сфокусироваться на образе результата, согласовать его с владельцем бизнеса, доходчиво донести его до подрядчика. При этом процессом лучше управлять по циклу Деминга-Шухарта: планировать, действовать, проверять, корректировать. Это поможет видеть картину с высоты и быстро предлагать изменения там, где они нужны. Такой вид деятельности несет с собой еще один неочевидный плюс: носителем правильного опыта и лучших практик становится сам CISO (Chief Information Security Officer. – Прим. ред.), а не кто-то из числа его сотрудников.
ПЕРВЫЕ ШАГИ К ПРОЦЕССНОМУ ПОДХОДУ
Масштабы компании, отрасль, специфика внутренних процессов, взаимоотношения ИБ-директора с собственником и репутация CISO внутри коллектива – эти и многие другие факторы исключают появление «волшебной таблетки», которая способствует быстрой и простой миграции на процессный подход. Так что именно здесь реплика про «свой путь» в кибербезопасности уместна на 100%.
Вместе с тем существует типовой набор действий, которые мы рекомендуем предпринять на пути к процессному подходу.
Шаг №0. Синхронизировать с владельцем компании потребность в изменениях. Без внутреннего осознания владельца бизнеса смысла в трансформации нет.
Шаг №1. Объективно оценить собственные возможности и ресурсы. Если есть сомнения, что удастся своими силами справиться даже с подготовительными работами по проекту, лучше озаботиться поиском внешней экспертизы.
Шаг №2. Самостоятельно (или с привлечением внешнего исполнителя) составить карту бизнес-процессов и определить возможные участки, которые закрыты средствами ИБ в меньшей степени, чем бы того хотелось. При этом имеет смысл действовать структурно – расставить приоритеты и в первую очередь работать с тем, без чего бизнес не функционирует.
Шаг №3. Составить дорожную карту, которая предусматривает применение к ней цикла Деминга-Шухарта. Такой артефакт, скорее всего, в том или ином виде появится стихийно. И станет сигналом к тому, что подготовительная работа к реализации подхода «ИБ как процесс» определенно проделана не зря.
Повторим еще одну истину: путь будет долгим и тернистым, но осилить эту дорогу предстоит в любом случае, если вы разделяете мнение, что процессный подход к ИБ – это будущее корпоративной кибербезопасности.
