11.01.2013

Тихой сапой в деятельности служб ИБ наступает революция

Обращали ли вы внимание на интересную тенденцию, которая тихой сапой приходит на рынок информационной безопасности. Но не на рынок производителей средств защиты или поставщиков услуг (хотя к ним это тоже имеет отношение), а в деятельность корпоративных служб ИБ. Речь идет о стирании границы между двумя ранее независимыми направлениями - рынка корпоративных и потребительских технологий. Причем именно последние проникают в первые и это ставит новые вопросы перед службами ИБ. Вот несколько примеров:
  • Нежелание пользователей использовать выданную на работе оргтехнику по 4-5 лет. Как раз наоборот - пользователи хотят жить как в обычной жизни - устарел компьютер - поменял, понравилась новая модель смартфона - поменял и т.д. И они это начинают диктовать своему предприятию. На ИБ это влияет несильно, но жизненный цикл средств защиты уменьшается и это надо учитывать при бюджетировании и выработке стратегии тестирования и внедрения средств защиты (нужно ускоряться).
  • Концепция BYOD, о которой не только уже все слышали, но и начинают использовать. Одно дело защищать корпоративные устройства и другое дело - личные, на которых может находиться (и находится) личная информация пользователя, его персональные данные, которые он не хотел бы делать достоянием если не гласности, то ИТ/ИБ-службы.
  • За BYOD мягкой поступью идет BYOT, т.е. "принеси свою технологию", когда пользователь начинает приносить свои приложения, делающие их работу удобней и эффективней. А это приводит к тому, что стандартизация ПО, о которой так ратуют многие апологеты ИТ, уже не является панацеей. Нет стандарта на используемое ПО - специалистам по ИБ приходится расширять свои знания в части изучения нового софта, новых уязвимостей, новых угроз, новых каналов утечки и т.д. Это требует ресурсов, о выделении которых надо думать заранее.
  • Размывание границы между личным и корпоративным не только в устройствах или технологиях, но и в действиях, которые пользователи осуществляют в рабочее время с личных устройств или с корпоративных устройств в нерабочее время. Не зря в развитых странах сейчас идет борьба не ИТ и ИБ, а ИБ и Privacy. Как совместить и то и другое? Как не нарушать конституционные права пользователя на частную жизнь и при этом обеспечивать эффективную работу сотрудника? Неоднократно поднимаемая тема контроля e-mail относится именно к этому направлению. Одно дело запретить заниматься личными делами на работе (нарушает ТК, но многие работодатели так делают) и совсем другое дело, когда такого запрета нет. В этих условиях службам ИБ приходится отходить от концепции "замкнутой среды" и придумывать что-то более гибкое.
  • Приход новых вендоров, ранее на корпоративном рынке незамеченных, а следовательно и неучитывающих потребности корпоративных пользователей или учитывающих не в полной мере. Речь идет о Google, Apple, Dropbox и иже с ними. Загрузка корпоративных документов в iCloud, Google.Docs, Dropbox с их малокемчитаемыми политиками с одной стороны повышает надежность хранения, гибкость доступа и удобство обмена с коллегами, а с другой ставит кучу непонятно как разрешаемых задач перед службами ИБ. Причем именно перед безопасниками - айтишникам все эти сервисы никаких особых проблем не доставляют (если не вспоминать про синхронизацию).
  • Использование социальных сетей для целей корпоративного маркетинга, привлечения новых клиентов, получения обратной связи от потребителя и т.д. С другой стороны социальные сети начинают использоваться для информационных войн (а кому с ними бороться как не безопасникам), слива (в т.ч. и случайного) конфиденциальной информации, нарушения этических норм и т.п. И обо всем этом тоже стоит задуматься ДО, а не ПОСЛЕ начала их активного использования.

В маркетинге есть модель, называемая кривой Роджерса или кривой восприятия инноваций. Суть ее проста - любая инновация воспринимается не сразу, а постепенно. Сначала ее начинают применять новаторы, потом ранние последователи, а уже за ними раннее и позднее большинство.


Так уж складывается, что к новаторам и ранним последователям в описанных выше областях нередко относятся либо руководители высшего или среднего звена, либо ключевые сотрудники, приносящие компании немалую прибыль. А следовательно их мнение и поведение надо учитывать. Пробовать упирать на требования запретительных политик ИБ можно, но вот вопрос "кто проиграет в этой войне" думаю будет не за службой ИБ ;-( И последние инциденты это демонстрируют с завидной регулярностью.

Пора пересматривать традиционные подходы  в области обеспечения ИБ и учитывать набирающее силу влияние рядовых пользователей на применение технологий и новых методов работы. А уж регуляторам с их главенствующей методической ролью (как минимум в теории) и подавно стоит об этом подумать.

10 коммент.:

Алексей комментирует...

Все регуляторы упадут в последние 16%.

Алексей Т. комментирует...

Действительно, я бы даже такой принцип отметил - главное деньги, а ИБ и формальные требования потом. Если иб мешает бизнесу, пожертвуют скорее безопасностью.

Алексей Т. комментирует...

Действительно, я бы даже такой принцип отметил - главное деньги, а ИБ и формальные требования потом. Если иб мешает бизнесу, пожертвуют скорее безопасностью.

Vladimir Eremin комментирует...

Следом за концепциями BYOD и BYOT идет концепция ZABYOT – пользователь приносит своё кресло, поп-корн, загружает из iCloud «корпоративные» энгри-бёрдс – ну в общем «размывает границы между личным и корпоративным не только в устройствах или технологиях»…
Ну, тогда уж это не инновация, а деградация… Такое можно допустить только для фрилансеров. И к структурам ИБ это никак не должно относиться. Тут уж либо прогнуться, либо всё-таки заниматься ИБ.

Константин Ржавский комментирует...

Если этот пост считать векторным на следующий год, то это очень правильно и своевременно. Сейчас принцип щита и копья в ИТ, нарушен в пользу последнего и поэтому назрел вопрос выравнивания ситуации.
Критическая масса молодых, заряженных на инновации специалистов ИБ уже есть, но решения принимают не они.
Считаю, что необходимо начинать проводить изменения необходимо на системном уровне. Только через изменение МЕТОДОЛОГИИ, на начальном этапе, можно правильно спроектировать СИСТЕМУ, которая будет КОРРЕКТНО работать и не только сейчас, но и сегодня, завтра и послезавтра. А что мы имеем сейчас: «При использовании в информационных системах новых информационных технологий и выявлении дополнительных угроз безопасности информации, для которых в настоящих требованиях не определены меры защиты информации, должны разрабатываться компенсирующие меры в соответствии с пунктом…. в ходе проектирования системы защиты информации должно быть проведено обоснование применения ….», вопрос: А что такое новая информационная технология и что такое старая информационная технология и чем они различаются, и простите, если не привлекать новаторов, то кто это будет различать? (Сейчас в глазах некоторых ….. стандартный ПК – это старая технология, а ноутбук – это новая, а …(коммуникаторы, планшеты, … и их использование)… об этом вообще не стоит. Такие дела.)

Алексей Лукацкий комментирует...

Константин, именно для тех технологий, что не описаны в проектах приказов и написан данный абзац. ФСТЭК не знает, какие технологии будут через год, три, пять, но эта фраза позволяет учесть их все ;-) Может по новым технологиям и новые доки появятся

Евгений Родыгин комментирует...

Действительно, тенденция такова. Потребительские продукты (для конечных пользователей) развиваются быстрее и это стало заметно лет 5 назад... Их необходимо грамотно внедрять.

Michael комментирует...

Всему этому сопутствует отсутствие анализа того, какие конкретно плюсы дает технология бизнесу и низкое качество проектов ( плохая постановка задач, стандартизованный анализ, стандартное решение "в лоб", отсутствие анализа достижения целей).

А потребительские технологии всегда будут впереди индустриальных - надо же на ком-то тестировать идеи...

Алексей Сергеев комментирует...

Если ИБ мешает бизнесу и руководитель понимает риски, то по-моему это нормально, когда ИБ жертвуют в разумных пределах.
Вопрос в самом отношении ИБ к такому..

Систему (сложную) которая будет корректно и РЕАЛЬНО работать сейчас и в обозримом будущем по правилам ИБ не спроектировать, т.к.
1) выбор возможных средств защиты в ПК, ноутбуке (старая технология) и в нулевом клиенте, планшете, смартфоне "немного" отличается.
2)невозможно понять чего хочет регулятор и к какой защите это вообще идет, кроме тьмы бумаги и сертификации всего у всех за хорошие деньги

Отсюда мы получаем бумажную ИБ для регуляторов (70% рабочего времени), реальную ИБ внешних и внутренних систем для бизнеса (10% рабочего времени). При этом бумажное ИБ для регулятора ну никак не связывается с реальным, быстро меняющимся и нормально масштабируемым ИБ для бизнеса. Или связывается, но за большие деньги, которые идут на "не понятно на защиту от чего".

И судя по кол-ву изменений в нормативке за последний год мой личный план написать все бумаги для регуляторов и заняться реальной защитой (в том числе и созданием ВНД под бизнес) потерпел полный крах.

Извините за сумбурное изложение!

Алексей Цветков комментирует...

Если честно, коллеги, то меня каждый раз коробит , когда противопоставляют ИБ и бизнес. ИБ существует для поддержки бизнеса и все! для этого нас и нанимали. Даже когда мы говорим о требованиях регуляторов (различных, в том числе и буржуйских), то это бизнес-категория под названием compliance, который или бизнесу нужен, или бизнес от него сознательно отказывается, принимая возможные последствия. И чем плотнее налажены коммуникации между CEO и CISO, тем эффективней можно выстраивать бизнес процессы с учетом требований ИБ, тем понятней будут риски высшему руководству (а возможно и владельцам бизнеса, если они задают вопросы). Естественно у всех есть своя специфика работы (кому-то нужно, предположим, "бюджет осваивать", или у организации нет цели быть прибыльной ...), но на мой субъективный взгляд, хороший ИБ-шник должен защищать организацию в которой он работает. Специфика организации же и будет определять отношение руководства к уровню допустимых рисков как с точки зрения соответствия требованиям регуляторов, так и с точки зрения технических средств и организационных мер по обеспечению ИБ.