22.10.18

Из чего складывается стоимость SOC?

После проведенной на CyberCrimeCon презентации "Как создать свой SOC?" в разных соцсетях и личных беседах прозвучало несколько вопросов по ее содержанию. В целом они сводились к тому, что слайды оказались местами высокоуровневыми, а местами требующими пояснений. Как в известной иллюстрации на тему "Как нарисовать сову":


Многие промежуточные шаги, подразумеваемые презентацией, были опущены в виду очень небольшого времени, выделенного на доклад. Пришло время погрузиться в некоторые детали. Тем более, что за последнее время довелось поучаствовать в нескольких проектах по SOC в России и странах бывшего постсоветского пространства. Ну а база знаний по данной теме у нас в компании охватывает еще большее число проектов, многие из которых начинаются примерно с одних и тех же вопросов, часть из которых я и осветил в презентации на CyberCrimeCon. Один из них - вопрос цены на создание SOC.

Давайте посмотрим на один из слайдов презентации, в котором я привожу три варианта расчеты цены только технологического стека SOC. Разброс получается колоссальный - от полумиллиона долларов до "смешных" полутора десятков тысяч (только на сервера для ПО).


Почему такой разброс? А все просто! Технологии бывают разные. Возьмем к примеру SIEM, который часто рассматривается как ядро SOC (что не совсем так). Мы можем купить Splunk Enterprise, MicroFocus Arcsight или PT SIEM, а можем воспользоваться бесплатным Apache Metron (бывший Cisco OpenSOC), SIEMonster, Prelude или вообще строить все на стеке ELK (Elasticsearch, Logstash, Kibana, Beats). Капитальные затраты в этом случае будут отличаться на порядке - от десятков и сотен тысяч долларов за коммерческий SIEM до бесплатного решения. Да, безусловно, для работы с бесплатным ПО потребуются специалисты немного иной квалификации, но зарплата - это отдельная статья затрат, которую я тоже рассматривал в презентации и которой я посвящу отдельную заметку.

При оценке стоимости создания SOC я бы посоветовал сделать табличку и заполнять ее по мере  необходимости. Пример таблички ниже:


На что стоит обратить внимание, заполняя табличку, и что влияет на итоговую стоимость технологического стека? Во-первых, кто владеет решением? Например, у вас в сети уже может стоять Cisco Stealthwatch, используемый для мониторинга сетевых аномалий. Значит мы исключаем статью затрат на решение класса Network Traffic Analysis, которое является частью современного SOC. А если ваши айтишники уже используется Splunk, то возможно не стоит покупать новый SIEM, а воспользоваться уже имеющимся решением, чуть расширив лицензию или докупив дополнительные модули "по ИБ".

Теперь посмотрим на процесс анализа вредоносного кода, который может быть частью SOC (хотя и не так чтобы уж часто используемой во многих случаях). Оставив в стороне вопрос с наличием квалифицированных специалистов, которые бы занимались реверсингом вредоносного ПО, зададим другой вопрос. Надо ли нам купить IDA Pro или мы будем аутсорсить эту функцию во внешней компании? Это повлияет на стоимость. Хотя IDA Pro стоит и не очень много, но совокупная стоимость владения им может обойтись дороже, чем отдача этого процесса во внешнее управление. Кстати, об аутсорсинге. Почему часто рассматривается в бинарной логике - либо весь SOC на аутсорсинге, либо весь у себя. Но ведь можно комбинировать.

Последний важный момент цены - техническая поддержка. И дело не в том, что она тоже стоит денег, которые надо учитывать. Просто поддержку можно сразу покупать на 1, 3 или 5 лет, что влияет на значения в табличке. А еще... буквально на прошлой неделе столкнулся с ситуацией... бывает так, что заказчик по внутренним причинам не может тратить деньги на эту статью расходов; ему разрешены только капитальные затраты. И это тоже влияет.

Наконец, посмотрите за пределы технологического стека. Где у вас размещается SOC? У вас есть выделенное помещение? А мебель для него? А замки на дверях и окнах (помещение-то обрабатывает чувствительную информацию и контролироваться доступ к нему должен особо)? А шредер для уничтожения документов? А большие плазмы (хотя они не сильно помогают в работе SOC; разве что начальству показывать красивые картинки)? Все это стоит недешево, так как должно быть качественным, чтобы обеспечивать эффективную работу аналитиков центра мониторинга. Хотя можно всех на первых порах посадить и в обычный кабинет или зал, где размещена ИТ-служба или NOC (у оператора связи).

Вот и получается, что у вас слишком большой разброс цен на капитальные затраты, которые должны быть учтены и которые зависят от множества условий, которые отличают одного заказчика SOC от другого. Скопировать уже построенный кем-то SOC, увы, невозможно.

12.10.18

Интересное исследование по SOCам

Продолжу вчерашнюю тему про SOC. Тем более, что близится как SOC Forum, так и Cisco Security Operations Virtual Summit (последнее мероприятие пройдет онлайн 12-го ноября и будет бесплатным) и я готовлюсь к обоим событиям по теме мониторинга ИБ. Наткнулся на интересное исследование 148 специалистов, работающих в SOC; преимущественно американских, но также и в европейских. В данном отчете анализировались внутренние процессы, реализуемые в SOC, и делались прогнозы и выводы на будущее.

2 года назад я уже приводил распределение времени на выполнение различных задач у аналитиков SOC. В рассматриваемом исследовании распределение схожее. Нет какой-то явной активности - время распределяется равномерно между десятком задач, стоящих перед специалистами SOC. Если у вас есть SOC и у вас не так, то стоит задуматься, почему у вас перекос. Нельзя считать данное распределение эталоном, но все-таки данные от 100 SOCов могут рассматриваться в качестве некой точки отсчета.

Вовлеченность и удовольствие от работы... Как редко этот вопрос интересует руководство в отношении своих сотрудников. Платят зарплату? Что еще надо?! Однако в условиях нехватки персонала и активного хантинга специалистов, одна только зарплата не дает гарантий на то, что сотрудник останется лояльным своей компании и не свалит при первом же интересном предложении. Тоже самое происходит и в SOCах. Есть ряд работ, которые интересны и аналитики с удовольствием ими занимаются (левый верхний сегмент). А есть и рутинные, скучные работы, которые снижают удовлетворенность от работы (правый нижний). Понимание этой картины позволяет понять, чему уделить внимание и в каких активностях стоит добавить творческой составляющей, чтобы сделать их более интересными для "соководов" (или автоматизировать их).


Частая дилемма, стоящая перед руководством SOC или всей ИБ, - схантить специалистов на рынке или обучить своих? Что даст больший эффект? Как найти баланс между затрачиваемыми ресурсами и получаемой от SOC пользой? Согласно исследованию, обучение собственных сотрудников и выстраивание правильных коммуникаций внутри (включая накопление и обмен знаниями) гораздо выгоднее, чем пытаться скупить на рынке всех мало-мальских известных аналитиков по ИБ. Во-первых такого количества специалистов нет. А во-вторых, даже у самых именитых компаний (а мы все знаем о ком идет речь) не хватит денег, чтобы оплачивать растущие аппетиты аналитиков.


То есть надо выстраивать программу повышения квалификации своих специалистов. И тут впору вспомнить вчерашнюю презентацию про то, как построить SOC. Я там привожу упрощенную пирамиду навыков и примерную стоимость обучения специалистов SOC разного уровня. За основу брал стоимость ряда курсов SANS - потому что в России многим вещам просто не учат. Возможно где-то есть и менее дорогие курсы - я не искал, ориентируясь на самый известный институт в мире. Но, возможно, Академия кибербезопасности Сбербанка или позавчера анонсированная Group-IB Cyber School смогут закрыть этот пробел. На самом деле карта обучения и повышения квалификации - это неотъемлемая часть любого проекта по SOCу (по крайней мере мы ее всегда делаем для заказчиков). Без нее куча затраченных на инструментарий денег превращается в пустышку. Не хочется вспоминать аналогию про обезьяну с гранатой, но она напрашивается. По ту сторону баррикад арсенал и TTP меняются постоянно, а, следовательно, и по эту знания должны обновляться также постоянно.


Ну и последний интересный аспект исследования описывает возможности по автоматизации отдельных активностей в SOC. Как показывает опрос почти сотни SOCов, хорошо автоматизируются сегодня только рутинные операции, которые навивают максимальную скуку у аналитиков. В остальных случаях (расследование, хантинг и т.п.) интуиция играет бОльшую роль, чем инструментарий.


Вот такая интересная статистика. Нельзя сказать, чтобы это все было откровением, но подтверждение некоторых роящихся в голове мыслей я получил.

11.10.18

Как создать свой SOC? (презентация)

Вчера я выступал на CyberCrimeCon, - конференции, организованной Group-IB. Мероприятие получилось отличным и свежим. В отличие от привычных конференций, где из раза в раз переливается из пустого в порожнее тема законодательства, импортозамещения, цифровой экономики и т.п. Тут же было все очень живенько, так как злоумышленники не стоят на месте и каждый раз преподносят что-то новое в своей деятельности. Учитывая же профиль Group-IB, у них всегда интересный контент (у нас такая ). Да и докладчики незаезженные на российских мероприятиях, что тоже привлекает аудиторию.

Мне довелось выступать с темой "Как создать свой SOC?", которая с одной стороны, после трех SOC Forum, уже вроде и заезжена, а с другой, обычно не освещает ряд вопросов, касающихся численных значений, связанных с центрами мониторинга, - стоимость технологического стека, стоимость персонала, стоимость обучения персонала, численность персонала и т.д. Вот это и я попробовал вместить в 30 минут. Ну и помимо этого, добавил несколько важных моментов из нашего опыта строительства нескольких десятков SOCов по всему миру. Рассказал не все, что хотел, но все-таки задачу свою выполнил. Более полный вариант презентации (на полторы сотни слайдов) планирую рассказать на одном из наших мероприятий по SOC, которое мы будем проводить до конца этого года.



ЗЫ. А еще на CyberCrimeCon раздавали классную сувенирку - экранирующие чехлы для смартфонов и банковских карт.

10.10.18

Говорите на бизнес-языке?.. А что это?

И у меня в блоге, да и вообще, часто используется фраза "говорите на языке бизнеса", которую вроде все понимают, но не все и не всегда и не так :-) Собственно, когда я сам себе попробовал ответить на этот вопрос, то я сначала спасовал. А потом я вспомнил как учил иностранный язык, когда, среди прочего, помимо правил грамматики, я заучивал распространенные слова, которые должны позволить поддерживать беседу с иностранцами. Собственно в случае с изучением бизнес-языка, помимо умения правильно использовать нужные слова (в нужное время и в нужном месте), нужно знать, как минимум, сами слова. В итоге составил список бизнес-терминов, которые неплохо понимать любому безопаснику, который хочет, чтобы его понимал бизнес.



На полноту не претендую. К тому же я планирую его дополнять; а если хватит времени, то еще и добавлю толкование этих терминов применительно к кибербезопасности. Большая часть терминов есть в Википедии и там они достаточно неплохо описаны. Помимо указанных, общих для всех бизнесов, терминов, есть еще и сугубо отраслевая специфика, список терминов которой каждый должен составить уже себе сам.

Ну и если уж начали говорить про бизнес-язык, то могу посоветовать еще и книжку "Сам себе MBA", которая является неплохим руководством для тех, кто хочет понимать основы бизнеса, но не может потратить 2 года на программу MBA.


9.10.18

А вы можете назвать все вектора атак на свою организацию?

Давал я тут в рамках одних киберучений простое упражнение для участников из одной организации. Надо было за 20 минут набросать возможные вектора атак на свою организацию. Задание оказалось занятным. Одно дело считать, что знаешь все способы проникновения внутрь своей сети, и другое дело - попробовать их реально перечислить на бумаге. Кстати, вы знаете, почему так важно для детей младших классов заниматься прописями, а для старших - черчением? Эти занятия, при всей кажущейся бестолковости и ненужности, влияют на особые мозговые доли, которые раскрывают определенные навыки, например, пространственное мышление, языковые способности, внимание, память, оттачивается мелкая моторика рук. В любом случае, когда что-то записываешь своими руками, мозг работает совсем по-другому, чем когда думаешь о той же проблеме или проговариваешь ее. Вот поэтому во время мозговых штурмов или вот таких киберучений так важно записывать все, что приходит в голову или озвучивается членами команды (при командной игре).

В итоге достаточно легкого на первый взгляд задания большинство участников составило следущий перечень векторов атак:
  • E-mail
  • Web
  • USB
  • Личные устройства (например, руководства)
  • Подрядчики
  • Общие ресурсы (shared resources)
  • Корпоративные мобильные устройства.


После окончания этого задания мы стали обсуждать полученные ответы и в процессе дискуссии удалось набрать еще в два раза больше векторов, о которых все знали, но в голову сразу они не пришли. Можно предположить, что и в реальной жизни какие-то из этих векторов/каналов оказались тоже бесконтрольны :-( Итак, что же мы еще нашли в процессе киберучений? Список такой:
  • Site-to-Site VPN (то есть проникновение из удаленных филиалов и допофисов по доверенному каналу)
  • Remote Access VPN (то есть проникновение от домашних и мобильных работников, которые могли что-то подцепить за пределами компании)
  • Wi-Fi
  • Warez (сайты с пиратским ПО, откуда нередко скачиваются обновления, если заканчивается договор с производителем)
  • Waterhole (заражение сайта производителя ПО, как доверенного источника, и получение вредоноса с него)
  • DevOps (сопряжение тестовой сети и рабочей)
  • Инкапсуляция (проникновение через разрешенный на МСЭ протокол). Вроде бы и E-mail с Web сюда же ложатся, - ведь внутри них может быть все, что угодно. Но это ловушка сознания - с Web и E-mail мы постоянно имеем дело, а вот про другие протоколы, в которые можно что-то инкапсулировать, забываем.
  • DNS (частный случай предыдущего варианта), но учитывая как часто его использует вредоносное ПО, стоило выделить отдельно.
  • Внедренный на этапе поставки вредоносный код в ПО или "железо". О, это замечательный вектор, о котором вообще мало кто думает и о котором я уже писал.
  • Уязвимости на портале, через которые проникает злоумышленник внутрь (как в кейсе с Equifax)
  • Шифрованный клиент-сервер (представьте, что клиент, за пределами периметра, отправил вам зараженный файл через шифрованный канал, предоставленный клиент-серверным приложением типа ДБО или госуслуг).
Вот такое упражнение, которое можно провести в любом месте и в любое время. И никакого фасилитатора не надо - достаточно просто собрать отдел по ИБ и ИТ вместе и дать им такое задание. А потом просто все записывать на листок бумаги или флипчарт. Кстати, интересное наблюдение. Во время учений, которые я проводил, почти никто из безопасников не использует флипчарт (если он есть на площадке) - нет привычки.

8.10.18

Возрастающая роль OSINT

На прошлой неделе голландская разведка "раскрыла" миру очередные проделки "русских хакеров", которые пытались через Wi-Fi взломать Организацию по запрещению химического оружия (ОЗХО). А до этого в течение полугода мы наблюдаем за историей с разоблачением "сотрудников ГРУ", которые поехали смотреть шпили Солсберийского собора. А до этого было расследование крушения малазийского Боинга. Все эти истории объединяет одно - возросшая роль OSINT (Open Source Intelligence), позволяющей по открытым источникам собирать информацию и делать выводы в пользу той или иной версии.

Например, вот три слайда из презентации разведки Нидерландов, которые должны доказать связь пойманных и выдворенных россиян с ГРУ. Первый слайд показывает место активации мобильного телефона, изъятого у подозреваемых (определеяется по базовой станции). На втором слайде показано местоположение ближайшей к общежитию ГРУ базовой станции и оно совпадает с местом активации мобильника. На еще одном из слайдов презентации был показан чек на такси, на котором подозреваемые добирались до Шереметьево в начале своей поездки в Голландию. А третий слайд на картинке показывает применение Google Maps для идентификации места, куда было вызвано такси. Оно оказывается находится аккурат там, где проживают сотрудники ГРУ и выход из общежития ГРУ находится как раз на том переулке, куда было вызвано такси.


А вот еще пример. По фотографии из СМИ на исследовательском судне "Янтарь" обнаружены какие-то установки для проведения спецопераций.


Или вот. Более сложный пример. Использование спутниковых снимков (это уже частная разведка) для получения разведывательной информации. Потом эта информация, выложенная в Интернет, уже может быть использована и в OSINT. На первом скриншоте показан Twitter сообщества, которое отслеживает перемещения американских военных судов и субмарин. На втором - фотографии российских учений "Восток 2018".



Очень интересным оказалось расследование Bellingcat и The Insider двух фитнес-бизнесменов Петрова и Боширова, которых называют сотрудниками ГРУ. Очень яркий пример того, как можно использовать открытые источники (вплоть до фотографий с сайтов военных ВУЗов, где на досках почета оказываются лица, "похожие на") для сбора разведывательной информации. Вообще таких источников много. Например, недавно была выпущена вот такая карта инструментов для OSINT, одним из авторов которой является как раз Bellingcat.


Я не планировал писать большую заметку про OSINT. Сначала вообще хотел ограничиться репликой в Facebook и все. Но так сложилось, что на выходных я посмотрел фильм "Поиск" ("Searching"), который, случайно, оказался посвящен ровно той же теме - использованию открытых источников для проведения расследования. По сюжету отец разыскивает свою дочь и для этого он использует различные Интернет-ресурсы - от Google Maps до соцсетей.


После фильма мне и захотелось написать чуть больше про OSINT, который может и должен применяться и в деятельности служб ИБ.

4.10.18

Сказка про трех хакерят

Жили-были в России три поросенка хакера. Три друга. Все одинаковые - молодые, активные, розовощекие. Даже имена у них были похожи - исконно русские, - Емеля, Ерема и Евлампий. Все свое отрочество они дурачились в банковских сетях, куролесили в Интернет, пользовались украденными у рядовых граждан деньгами, бахвались размерами своего стека, мерялись числом имеющихся у них "зеродеев", мнили себя мировыми звездами, ездили на всякие европейские тусовки - себя показать, да и других почморить. Но вот наступила ненастная пора.

Усилился интерес к трем хакерам с разных сторон. И правоохранительные органы стали обращать внимание на их доходы, полученные незаконным путем. И спецслужбы стали пристально следить за их деятельностью. И на заграничных конференциях незнакомые люди в штатском, но с военной выправкой, стали подходить к ним и вести с ними душещипательные беседы.

- Пора нам подумать о будущем, - сказал как-то Евлампий своим друзьям, сидючи после беcсонной ночи за банкой "Adrenalin Rush". - Неровен час загремим мы в места не столь отдаленные и будем валить лес мачтовый на благо своей Родины. Может пора завязывать?

Но друзьям его не хотелось думать о плохом. Они как и прежде хотели ездить по заграницам, иметь прокаченные тачки, покупать навороченную технику, обладать симпатичными чиками.

- Успеется, - говорили они. - Слабы наши "кашники" поймать нас. И фсбшники слабы. Они пока десять бумажек напишут, да согласуют, мы уже давно все следы подотрем и будем и дальше радоваться жизни.
- Когда нужно будет, я выйду из дела и никто ничего не докажет, - говорил Ерема.
- И я, - вторил ему Емеля.
- Лучше поедем на Black Hat европейский и опять надерем задницу этим америкосам и бритым бритам. Пусть знают наших, - зазывали Евлампия его товарищи по ту сторону баррикад.
- Ну как хотите. Тогда я сам пойду и сдамся, чтобы потом не жалеть, - сказал Евлампий. Не буду ждать, когда вы одумаетесь. Как бы поздно не было.

С каждым днем ситуация накалялась все больше и больше. Но Емеля и Ерема не торопились. Им и думать не хотелось о прекращении своих темных делишек. Они хакерили от рассвета до заката и сот заката до рассвета.

Ближе к осени ситуация стала развиваться стремительно. Емеля был приглашен в США на августовкий Black Hat, где и был задержан сотрудниками американской Фемиды. И долго Емеля бил он себя пяткой в грудь доказывая, что он белый и пушистый. Но объяснили ему агенты USSS и ФБР, что срок давности по таким делам большой и ответить всем равно придется. И грозил Емеле тюремный срок. И даже красивая оранжевая роба американского заключенного не радовала привыкшего к хорошему хакера. И сел этот мегаизвестный в узких кругах хакер-безопасник на много-много лет, жалея, что поехал в эту Америку себя показать вместо спокойного отдыха на Баренцевом море. А через год согласился он сотрудничать; и сдал он всех своих знакомых и незнакомых. И умер он внезапно от передозировки.

А Ерема никуда не поехал. Взяли его сотрудники ЦИБа во время отдыха на курортах Краснодарского края и мягкими уговорами заставили сотрудничать на благо национальной безопасности. И выдали Ереме форму; не такую красивую как у Емели, и непривычно жмущую в плечах. Да и одевать ее особо не доводилось. И радовало Ерему только одно - он по-прежнему числился в списке самых разыскиваемых ФБР киберпреступников. А через год Ерема сорвался с обрыва на горном серпантине, не вписавшись в крутой поворот.

А Евлампию не повезло еще раньше. В него ударила молния!


ЗЫ. Это старая заметка, которая с 2012-го года пылилась в черновиках блога. Решил "чего добру пропадать" и опубликовал, немного подредактировав.

3.10.18

С гендиректором в лифте один на один

- Подождите, подождите, подержите лифт, пожалуйста...
- Спасибо. Ой, Степан Петрович.
- Привет, Сергей! Что-то рано ты сегодня?!..
- Да вот, запускаем с утра программу повышения осведомленности сотрудников. Хотел все проверить еще раз.
- Это хорошо. Тебе ведь пятый? А скажи-ка мне.
- Да, Степан Петрович...
- Мы защищены?
- ... (Вот ведь блин. Скажешь "да", сразу напомнит про историю с SOCом, который ничего не видит. Скажешь "нет", это скажется на мне и повлияет на бюджет управления. Что же делать, что делать? Ой, к моему этажу уже подходит..)

Описанный выше диалог отражает вполне реальную ситуацию, с которой может столкнуться любой руководитель ИБ, который регулярно пересекается с топ-менеджментом своей компании и слышит примерно одни и те же вопросы. И ответы на них надо дать короткие, но емкие. И желательно без жаргонизмов. По моему опыту могу сказать, что это проблема. Безопасник знает много и хочет свое знание выплеснуть все и сразу, не боясь в них утопить своих визави. А топов все эти детали не нужны - они оперируют другим языком. Да и тем, помимо ИБ, у них тоже немало. Поэтому в отличие от общения с коллегами-безопасниками, к разговору с руководством надо готовиться заранее.

Я бы выделил пять типичных вопросов, которые вам могут быть заданы генеральным директоров, правлением или иными большими начальниками:

  1. Мы защищены?
  2. Как мы узнаем, что нас взломали?
  3. Как мы соотносимся с конкурентами?
  4. Мы тратим достаточно на обеспечение нашей безопасности?
  5. Насколько эффективно мы инвестируем в безопасность?


Ответ на первый вопрос зависит от контекста и предыстории. Были ли у вас недавно инциденты? Что уже генеральный директор знает про ИБ? Главное заранее донести до руководства мысль, что ИБ - это не состояние, а процесс (это как получение прибыли :-), у которого бывают взлеты и падения. Но про это мы еще поговорим отдельно.

Второй вопрос на самом деле просто отличный. Он означает, что руководство понимает, что 100% безопасности не бывает и у вас тоже могут быть проколы. Но оно же хочет знать, насколько вы готовы к нештатным ситуациям и, самое главное, каков ущерб может быть нанесен компании в случае инцидента. У вас классная команда (я надеюсь) и вы можете оперативно реагировать на угрозы. Покажите это (но кратко) руководству. Упомяните про наличие готовых планов, проведенных киберучений, вложенные в правильный инструментарий инвестиции, наличие опыта борьбы с инцидентами в прошлом, наличие контактов с внешними ИБ-компаниями и т.п.

Третий вопрос, при всей своей "дурацкости", очень важен именно для топ-менеджмента, так как они любят оценивать каждый вложенный рубль в сравнении с другими компаниями в том же сегмента рынка. В России не очень развит security benchmarking и поэтому ответить на этот вопрос будет непросто. Тем более, что сумма расходов на ИБ ничего не говорит о качестве вашей системы защиты. Но интерес руководства есть интерес и к нему надо быть готовым. Поэтому так важен так называемый networking, общение с коллегами по цеху на различных мероприятиях, особенно в неформальной обстановке. Если не получится узнать бюджеты коллег (а многие их завышают для придания себе значимости), то можно попробовать "меряться" уровнями зрелости. Но тут тоже есть засада - свою зрелость считают не все, а если считают, то завышают, не имея внешней, независимой оценки. Да и что считать точки отсчета для измерения зрелости? ISO 27001? ГОСТ 57580.1/2? NIST CSF? О том как измеряет себя служба ИБ Cisco я надеюсь написать на этой неделе.

Четвертый вопрос такой же "дурацкий", но такой же важный, что и предыдущий. С одной стороны ответить на вопрос "Сколько денег на ИБ надо тратить?" однозначно невозможно. А с другой никто и не ждет такого ответа. Замените "ИБ" на "маркетинг", "развитие", "кадры" и вы поймете, что схожий вопрос будет задаваться любой бизнес-единице вашей компании. А следовательно можно попробовать поговорить с коллегами и получить ответ на этот сакраментальный вопрос. Но могу заранее сказать, что бизнес интересует, куда вы уже потратили выделенные ранее деньги и насколько эти траты связаны с бизнес-целями. Готовясь к ответу на этот вопрос, стоит подготовить и запрос и на новые инвестиции с указанием, куда они будут потрачены с точки зрения бизнеса.

Финальный вопрос является квинтесенцией всех предыдущих. В ответе на него вы должны описать все свои проекты и инициативы, указать их связь с бизнес-целями. Также необходимо показать позитивную динамику в реализации ваших задач и проблемные места, которые надо улучшать. Ну и не обойтись без ваших планов, которые должны показать, что вы четко понимаете, куда движется бизнес.

А причем тут лифт? А это из области менеджмента. Есть такое упражнение, которое заключается в том, что вы должны себе представить, как будто вы попали со своим руководителем в лифт и у вас есть всего 1 минута, чтобы донести до него свои нужды и чаяния. Поэтому вам нужно уметь говорить быстро, четко и по делу. А для этого надо знать примерные вопросы, которые вам могут задать.

2.10.18

ИБ и зона комфорта

Читал я тут книжку про тренинги, как их проводить, как вовлекать людей и заставлять их менять свое поведение. И подумал я, что большинство тренингов (если это не обучение продуктам, хотя и оно тоже) сродни тому, что происходит с информационной безопасностью, которую многие готовы воспринимать, но не следовать ее советам и рекомендациям.

Почему ИБ обычно плохо воспринимается в организациях? Собственно и сами безопасники не очень горят желанием что-то менять в своей размеренной жизни между борьбой с мифическими угрозами и требованиями compliance. Все прозаично. ИБ мешает и выводит человека из зоны комфорта. Для сторонних от ИБ людей она заставляет делать то, что люди не привыкли, - думать прежде чем что-то сделать. Думать, прежде чем кликнуть по ссылке. Думать, прежде чем открыть аттач. Думать, прежде чем зайти на сайт. Думать, прежде чем устанавливать мобильное приложений. Думать... Для классических безопасников сегодня тоже наступают непривычные времена - необходимо выходить из зоны комфорта и начинать думать с позиций бизнеса, чему мало где учат (вообще нигде, если честно).

И в этом тоже, кстати, проблема. Одно дело пойти на какой-нибудь курс и в течение двух-пяти дней получить знания и отработать навыки их использования применительно к своему бизнесу. И совсем другое дело без отрыва от производства по крупицам выуживать знания и пытаться без ментора применить их в реальном бизнесе.

И тут встает вопрос - зачем мне выходить из зоны комфорта? Рядовой пользователь и руководитель ИБ находятся в одинаковой ситуации. Первый должен понимать, зачем ему следовать практикам ИБ (до того момента, когда она прочно укоренится в мозгу). Это либо кнут, либо пряник. Кнутом могут быть наказания - выговоры, лишения премий, увольнения, вывешивания на корпоративную виртуальную доску позора и т.п. Пряником может стать премия, похвала руководителя, получение новых "разрядов" и статусов в компании, виртуальная доска почета и т.п. А можно попробовать объяснить это интересами самого пользователя, который подспудно, но все-таки хочет чувствовать себя в информационной безопасности от различных киберугроз (тут впору вспомнить пирамиду Маслоу, но эта теория подвергается сомнению, да и сам автор не был в ней до конца уверен) - потери личных файлов, вторжения в личную жизнь и т.п.

У безопасника тоже есть свои кнут и пряник для выхода из зоны комфорта. Но насколько они желанны (или опасны), чтобы выходить из нее? Ведь по сути и рядового пользователя никто не наказывает (и не награждает) за соблюдение или несоблюдение правил ИБ. Поэтому их никто и не соблюдает. У безопасника тоже самое - его не наказывают за инциденты (ну кроме, разве, что пожурят) и особо не награждают за выполнение должностных обязанностей. Так и зачем напрягаться? 


Тут поможет только внутренняя мотивация. Как и во многих других сферах жизни, в которых мы хотим улучшения, - бросить курить, похудеть, начать бегать, выучить иностранный язык и т.п. А без нее все эти разговоры о самосовершенствовании ни к чему не приведут. Поэтому и бесплатные мероприятия по ИБ посещают не ради контента (даже если он хороший), а ради обеда или возможности пообщаться с коллегами. Бесплатный контент не мотивирует ни к чему. Оплаченное работой участие тоже не мотивирует, если нет самомотивации.

Выводов не будет :-)

ЗЫ. Импортозамещение буксует ровно по той же причине - у потребителей нет явных бенефитов от перехода от привычного к новому. На патриотизме долго не продержишься, хотя и его в импортозамещении немного.