Начало
Обучение
Методология
Литература
Аналитика
Контакты







Новости

08.11.2017. Киберармия КНДР насчитывает 6 тыс. хакеров

 >>


02.08.2017. В России хотят создать национальный фильтр интернета

К 2020 году в России появится Национальная система фильтрации интернет-трафика (НаСФИТ) >>



Архив: 2013 2014 2015 2016 2017.
В начало библиотеки
Информационная безопасность – центр затрат или прибыли?

Информационная безопасность – центр затрат или прибыли?

Информационная безопасность – центр затрат или прибыли? Особенностью современного этапа развития информационной безопасности стало то, что служба ИБ и ее руководитель (CISO) должны из поддерживающей функции превратиться в одно из бизнес-подразделений, которое, пользуясь своим уникальным положением и знаниями, может привнести новую струю в развитие компании. Поможет ли это уйти от имиджа ИБ как «черной дыры», съедающей все деньги?

Распространенная точка зрения на рынке ИБ состоит в том, что безопасность – это изначально затратное мероприятие, к которому компании должны быть готовы. В лучшем случае мы способны продемонстрировать потенциальные потери, от которых защищаемся. Иными словами, все действия по защите информации напоминают добровольную страховку от каких-либо проблем, которые могут произойти в будущем. Если повезет, то такая страховка будет обязательной, – именно поэтому столько говорят о стандарте Банка России, PCI DSS, законе «О персональных данных» и других регулятивных требованиях, многие из которых являются обязательными к исполнению. Можно ли уйти от имиджа ИБ как «черной дыры», съедающей все деньги или этому не суждено сбыться?

Отношения бизнеса и безопасности зашли в тупик

Небольшой экскурс в историю развития тех отношений, которые и стали причиной текущего отношения к ИБ со стороны бизнеса и, соответственно, к бизнесу со стороны ИБ. Изначальный, ставший зам традиционным, подход был техническим, ИТ-ориентированным. Безопасность была самоцелью. Бизнес был оторван от безопасности (или наоборот) – ни о какой привязке к бизнес-потребностям и речи не было. В результате отсутствовала долгосрочная стратегия – решались в основном тактические или оперативные задачи. Стандартизация была недосягаемой роскошью – о ней мало кто думал, решались лишь краткосрочные задачи. Архитектурный подход, позволяющий создать каркас, учитывающий решение новых проблем ИБ, не использовался вообще. Вместо построения защищенной инфраструктуры активно приобретались точечные продукты, мало интегрированные между собой.

Из чисто «технических» ИБ проблемы перерастали в не просто ИТ-последствия, а в обузу, негативно влияющую на бизнес. Ее основными чертами стало непрекращающееся «изобретение колеса». Как следствие – рост операционных затрат в неоднородном и не стандартизированном окружении.

Далее, по цепочке: сложность системной поддержки большого количества разрозненных систем,  интеграция не стыкуемых между собой систем «ИБ-зоопарка», сложность масштабирования, повышенные требования к специалистам и т. д. Результат всегда был один – снижение продуктивности работы пользователей, с одной стороны, и рост операционных затрат на содержание ИБ с другой стороны.

Если заниматься ИБ, то только комплексно

«Правильный» подход к информационной безопасности, учитывающий бизнес-аспекты деятельности компании, заключается в работе с пятью основными аспектами – технологическими и финансовыми ресурсами, бизнес-стратегией для ИБ, политиками и процедурами ИБ, а также культурой ИБ. В традиционной безопасности, описанной ранее, основной акцент делается на первый и четвертый пункт составляющих, напрочь забывая про стратегию бизнеса, культуру ИБ и вопросы финансирования.

Пять китов «правильной» ИБ

Источник: Cisco, 2008

Начнем со стратегии бизнеса.  Если вспомнить басню Крылова про лебедя, рака и щуку, то информационная безопасность сегодня находится именно в такой ситуации – цели ИБ не совпадают с целями бизнеса. Безопасность думает о криптографии, межсетевых экранах, антивирусах, восстановлении после катастроф, защите  хостов и т. д. Думает ли об этом бизнес? Вряд ли. У него совершенно иные заботы. Управление рисками, обеспечение непрерывности бизнеса, соответствие регулятивным требованиям (compliance), внутренний контроль, корпоративное поведение, рост лояльности клиентов, слияния и поглощения, географическая экспансия и многое другое – вот что его беспокоит.

Видно, что совпадений нет. Это как общение англичанина с китайцем – каждый общается на своем языке и не понимает другого.  В здесь должно, напротив, должно быть понимание потребностей родной компании, чтобы связать с ними процесс обеспечения ИБ.

Говоря о культуре ИБ, необходимо подчеркнуть, что это понятие все чаще стало встречается в разных публикациях. Оно красной нитью проходит через все рекомендации по повышению осведомленности сотрудников в области информационной безопасности. Именно культура позволяет снять зависимость компании от «узкого горлышка» в лице департамент ИБ, который не в состоянии решить все вопросы самостоятельно.

Пронизывающая все подразделения и все уровни иерархии в компании культура позволяет включить ИБ в любой процесс и в любое действие, производимое в компании. Причем чем выше культура, тем менее осознанно это будет происходить (как и должно быть на уровне рефлексов).

И, наконец, — вопросы финансирования. Как говорится «безопасность стоит дорого, но она того стоит». Однако, чтобы доказать выделение немалых инвестиций необходимо идти по пути борьбы с другими подразделениями, проектами и инициативами, которые тоже остро нуждаются в деньгах для своего существования.

Выигрывает не тот, кто сильнее, а тот, кто более приспособлен. Этот закон эволюции применим и к финансированию. В условиях борьбы за презренный металл побеждает тот, кто сможет лучше обосновать запрашиваемые ресурсы и доказать, что они не утекут, как вода из крана, а принесут определенную отдачу.

Как продемонстрировать бизнес-выгоду ИБ?

Будучи одним из внутренних процессов компании, информационная безопасность, как и все другие, должна быть направлена на достижение поставленных бизнесом целей. Если же никто из нас не может сказать, что ИБ дает бизнесу, то зачем мы вообще сидим на своем рабочем месте? Может, стоит заняться чем-то более понятным и адекватным?

Даже уборщица делает для бизнеса больше, чем типичный безопасник. Она чистит офис, делая работу в нем приятной, что благотворно влияет и на климат в коллективе, и на бизнес-показателей. А безопасник? Достаточно провести мини-опрос среди сотрудников или хотя бы руководителей бизнес-подразделений, и все сразу встанет на свои места – службу ИБ считают только мешающей бизнес-процессам. Она и будет помехой, пока мы не покажем ее преимущества тем, кто считает ее препятствием.

Если говорить о финансах, а именно они являются основным камнем преткновения для большинства подразделений ИБ, то надо четко понимать, что бизнес готов инвестировать в любые проекты (связанные с его деятельностью, конечно), которые принесут отдачу. Иными словами проект должен быть выгодным.

При наличии же множества не убыточных проектов, приоритет будет отдан тем, у которых срок возврата инвестиций меньше, чем у других. Однако не стоит считать, что надо искать прямую финансовую выгоду в проектах по ИБ (хотя в зависимости от проекта это можно сделать). Инвестиция может носить и неденежный характер, например, людские или временные инвестиции.

Не вдаваясь глубоко в тему доказательства бизнес-выгод от информационной безопасности, хочется только привести примеры и критерии позитивных результатов, ориентированных не на технологии.

Критерии и примеры бизнес-ориентированных проектов по ИБ

Источник: Cisco, 2008

Чтобы не быть голословными, рассмотрим в качестве примера проект по внедрению VPN-решения на предприятии. Обычно он инициируется топ-менеджерами, которые хотят получать доступ к корпоративным ресурсам удаленно во из командировок или отпуска. Т.е. налицо следование службой ИБ (или ИТ) за требованиями, спущенными сверху.

Если же посмотреть на это с точки зрения бизнеса, то ситуация будет выглядеть немного иначе. Что может увеличить доходы компании? Рост числа сделок или увеличение их объема. Обычно российский бизнес концентрируется на первой задаче, которая может быть достигнута за счет: увеличения непосредственно числа сделок и числа клиентов, разработки и выпуска новых продуктов, а также ускорения цикла продаж.

Как можно решить эти задачи? Вариантов достаточно много. Один из них – географическая экспансия, позволяющая расширить рынки сбыта. Такой сценарий может простираться от создания филиала в новом регионе, до выноса точки продаж в торговый центр или оснащение торговых (например, страховых) агентов карманными компьютерами.

В любом случае все элементы должны быть объединены в единое информационное пространство, что невозможно реализовать без технологий информационной безопасности и, в частности, VPN. А для вынесенных «в поле» точек продаж (Point of Sale, POS) помимо VPN необходимо применение межсетевых экранов (в т.ч. и персональных), антивирусов, систем предотвращения атак и т. д. Отсюда вытекает связанная цепочка «VPN > приближение точек продаж ближе к клиентам > рост числа клиентов > рост доходов».

Исходя из приведенного примера, в качестве заключения хотелось бы продемонстрировать немного измененную точку зрения на ИТ, которая сейчас превалирует среди западного бизнес-менеджмента, а также на плоскость информационной безопасности.

Люди из ИБ, которые сейчас тратит свыше 80% своих ресурсов на поддержание текущего уровня развития бизнеса, должно коренным образом поменять свой стиль работы и свое отношение к ней. На поддержку должно тратиться не более 15-20% выделенных финансовых или временных ресурсов. Более того, эти траты вообще не должны быть видны на уровне бизнеса.

Большинство текущих проектов по ИБ (да и ИТ тоже) относится именно к этой категории. Около 70% всех ресурсов должно уходить на вторую составляющую правильно выстроенного процесса ИБ – развитие бизнеса. Это значит, что мы от поддержки переходим к генерации новых идей (в контексте ИБ), которые позволяют нам реализовать что-то новое, оптимизирующее существующие или приносящее новые статьи доходов.

Приведенный выше пример с VPN как раз демонстрирует этот тезис. Подход к VPN как к реализации требования руководства – это поддержка бизнеса. Взгляд на VPN, как на один из сценариев увеличения доходов, — это как раз из области развития.

Третья же составляющая, лидерство, лишний раз показывает, что служба ИБ и ее руководитель должны из поддерживающей функции превратиться в одно из бизнес-подразделений, которое, пользуясь своим уникальным положением и знаниями, может привнести новую струю в развитие компании.

Ведь, по сути, служба ИБ, защищая информацию, имеет доступ ко всем источникам, на основании которых затем принимаются управленческие решения. При этом ИБ, в отличие от большинства подразделений, может окинуть единым взглядом все разрозненные «островки» информации.  И даже ИТ департамент не обладает такой «властью», т.к. он сконцентрирован только на электронных данных, а нормальная служба ИБ имеет дело и с бумажной информацией, и с другими формами ее представления. Именно в этом случае буква «C» в аббревиатуре CISO станет означать принадлежность к топ-менеджменту компании, как это принято во всем мире.

Алексей Лукацкий

www.cnews.ru



В начало библиотеки

Начало · Обучение · Методология · Литература · Аналитика · Контакты
PageRank v