Когда заводишь разговор о том, что дает ИБ для бизнеса и как начать общаться с бизнесом про ИБ на его языке, я часто слышу просьбу, показать на примере, как можно трансформироваться от привычного восприятия ИБ в сторону бизнес-подхода. И тут вчера, внезапно, пришла в голову интересная аналогия, которая показывает не просто трансформацию, а целую модель зрелости бизнес-взгляда к ИБ. И сделаю это на примере подразделения по работе с персоналом (HR).
Итак, классический безопасник, находящийся на первом уровне модели зрелости, обычно не рассматривает бизнес-подразделения в своей организации как нечто самостоятельное и занимающееся какими-то своими процессами и решающее свои собственные задачи. Разницы между HR, АХО, СЭБ, секретариатом, службой АСУ или коммерческим департаментом никакой. Всем надо поставить антивирус, всех надо патчить, у всех надо искать уязвимости. Это и есть ИБ.
Второй уровень уже начинает как-то учитывать особенности подразделения, но в контексте ИБ, а не бизнеса. В случае с HR на этом уровне безопасник начинает задумываться о том, какую информацию обрабатывает HR и как ее защитить? Оказывается, что в отделе кадров есть персональные данные, требующие защиты согласно законодательству. Бинго! Безопасник начинает заниматься защитой ПДн. В отделе АСУ ТП он занимается (пытается) защитой технологических процессов и т.п. Но именно с точки зрения нормативки, а не реальных потребностей бизнеса (может ему нафиг не нужна защита ПДн).
Дальше мы уходим в сторону от compliance и технологического стека и начинаем думать о людях, которые совершают ошибки, которые приводят к ущербу для бизнеса (пока еще неизмеримому, но уже ущербу). И мы начинаем не защищать HR, а вместе с ним работать с людьми, внедряя программу повышения осведомленности. Это уже не защита информации, но это все еще информационная безопасность.
Четвертый уровень зрелости вроде как и не относится к защите информации, потому что мы начинаем думать совершенно иными категориями. Мы не защищаемся от атак на информационные активы. Мы используем информационные активы для защиты бизнеса от широкого спектра угроз. Например, в случае с HR мы начинаем использовать классический ИБшный инструментарий для того, что является одной из ключевых задач HR - удержание кадров. Это странно звучит, но на самом деле, HR должен заниматься именно удержанием персонала, а не его наймом (этим занимается рекрутинг) или увольнением. И чтобы удерживать персонал, среди прочего, надо иметь оперативную информацию о том, когда сотрудники начинает смотреть на сторону и искать работу, размещая резюме, просматривая вакансии или получая job offer по электронной почте. И отслеживать это можно с помощью DLP, прокси, NGFW, SIG (Secure Internet Gateway), E-mail Security и т.п. решений.
Стоп! Это же уже не ИБ. ИБ у нас борется с угрозами информации и информационным системам, предотвращая их или снижая время реагирования на них. Увы! Это однобокий, хотя и очень распространенный взгляд. Если посмотреть на чуть модифицированные определение термина "информационная безопасность" из прошлой редакции Доктрины ИБ, утвержденной Президентом РФ (термин в нынешней редакции убог), то оно гораздо шире: "состояние защищенности интересов заинтересованных лиц предприятия в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества, государства и бизнеса". Ключевое тут "интересы заинтересованных лиц в информационной сфере". То есть нам надо понять интересы бизнеса и посмотреть, как он преломляется на информационную сферу и чем может помочь информационная сфера соблюсти эти интересы. В последнем примере, на 4-м уровне зрелости, мы по-прежнему обеспечиваем интересы (удержание персонала) HR (заинтересованная сторона) в информационной сфере (контролируя информационные потоки).
А что у нас на 5-м уровне? А все тоже самое, только на более высоком уровне. Мы можем вовсе не использовать классический ИБ-инструментарий для того, чтобы обеспечивать интересы бизнеса, но мы обязательно должны задействовать информационную сферу, в которой мы будем искать следы нарушений или аномалии, которые могут нанести ущерб интересам бизнеса. Вот, например, интересный кейс был реализован в "Почте России". С помощью новой автоматизированной системы "1С" удалось выявить "мертвые души" в почтовых отделениях (их число достигало в отдельных отделениях 50%), выявив фальшивые трудовые книжки и выплаты несуществующим людям. Это угроза и угроза в большой и распределенной компании достаточно серьезная. И может быть даже более опасная, чем какая-нибудь DDoS-атака. Чья это епархия? HR? Безусловно. Но они и сами могут быть вовлечены в преступный сговор с целью незаконного обогащения за корпоративный счет. И вот тут вновь нам помогает ИБ, так как она может контролировать информационные потоки, отслеживать события, связанные с тем или иным процессом, анализировать отклонения от эталонного состояния и их допустимость и т.п. Да, это не МСЭ и не антивирус, не контроль Netflow и не разграничение сетевого доступа. Но это все равно информационная безопасность и именно такая ИБ максимально приближена к бизнесу.
PS. О пятом уровне зрелости рассказывал Рустем Хайретдинов на последнем, московском "Код ИБ. Профи" (правда, он не использовал аналогию с моделью зрелости). На сочинском "Код ИБ. Профи" Рустем разовьет эту идею и в рамках своего мастер-класса вместе со слушателями выберет несколько реальных бизнес-процессов и покажет, как выявлять в них аномалии и как увязать ИБ с бизнесом.
Второй уровень уже начинает как-то учитывать особенности подразделения, но в контексте ИБ, а не бизнеса. В случае с HR на этом уровне безопасник начинает задумываться о том, какую информацию обрабатывает HR и как ее защитить? Оказывается, что в отделе кадров есть персональные данные, требующие защиты согласно законодательству. Бинго! Безопасник начинает заниматься защитой ПДн. В отделе АСУ ТП он занимается (пытается) защитой технологических процессов и т.п. Но именно с точки зрения нормативки, а не реальных потребностей бизнеса (может ему нафиг не нужна защита ПДн).
Дальше мы уходим в сторону от compliance и технологического стека и начинаем думать о людях, которые совершают ошибки, которые приводят к ущербу для бизнеса (пока еще неизмеримому, но уже ущербу). И мы начинаем не защищать HR, а вместе с ним работать с людьми, внедряя программу повышения осведомленности. Это уже не защита информации, но это все еще информационная безопасность.
Четвертый уровень зрелости вроде как и не относится к защите информации, потому что мы начинаем думать совершенно иными категориями. Мы не защищаемся от атак на информационные активы. Мы используем информационные активы для защиты бизнеса от широкого спектра угроз. Например, в случае с HR мы начинаем использовать классический ИБшный инструментарий для того, что является одной из ключевых задач HR - удержание кадров. Это странно звучит, но на самом деле, HR должен заниматься именно удержанием персонала, а не его наймом (этим занимается рекрутинг) или увольнением. И чтобы удерживать персонал, среди прочего, надо иметь оперативную информацию о том, когда сотрудники начинает смотреть на сторону и искать работу, размещая резюме, просматривая вакансии или получая job offer по электронной почте. И отслеживать это можно с помощью DLP, прокси, NGFW, SIG (Secure Internet Gateway), E-mail Security и т.п. решений.
Стоп! Это же уже не ИБ. ИБ у нас борется с угрозами информации и информационным системам, предотвращая их или снижая время реагирования на них. Увы! Это однобокий, хотя и очень распространенный взгляд. Если посмотреть на чуть модифицированные определение термина "информационная безопасность" из прошлой редакции Доктрины ИБ, утвержденной Президентом РФ (термин в нынешней редакции убог), то оно гораздо шире: "состояние защищенности интересов заинтересованных лиц предприятия в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества, государства и бизнеса". Ключевое тут "интересы заинтересованных лиц в информационной сфере". То есть нам надо понять интересы бизнеса и посмотреть, как он преломляется на информационную сферу и чем может помочь информационная сфера соблюсти эти интересы. В последнем примере, на 4-м уровне зрелости, мы по-прежнему обеспечиваем интересы (удержание персонала) HR (заинтересованная сторона) в информационной сфере (контролируя информационные потоки).
А что у нас на 5-м уровне? А все тоже самое, только на более высоком уровне. Мы можем вовсе не использовать классический ИБ-инструментарий для того, чтобы обеспечивать интересы бизнеса, но мы обязательно должны задействовать информационную сферу, в которой мы будем искать следы нарушений или аномалии, которые могут нанести ущерб интересам бизнеса. Вот, например, интересный кейс был реализован в "Почте России". С помощью новой автоматизированной системы "1С" удалось выявить "мертвые души" в почтовых отделениях (их число достигало в отдельных отделениях 50%), выявив фальшивые трудовые книжки и выплаты несуществующим людям. Это угроза и угроза в большой и распределенной компании достаточно серьезная. И может быть даже более опасная, чем какая-нибудь DDoS-атака. Чья это епархия? HR? Безусловно. Но они и сами могут быть вовлечены в преступный сговор с целью незаконного обогащения за корпоративный счет. И вот тут вновь нам помогает ИБ, так как она может контролировать информационные потоки, отслеживать события, связанные с тем или иным процессом, анализировать отклонения от эталонного состояния и их допустимость и т.п. Да, это не МСЭ и не антивирус, не контроль Netflow и не разграничение сетевого доступа. Но это все равно информационная безопасность и именно такая ИБ максимально приближена к бизнесу.
PS. О пятом уровне зрелости рассказывал Рустем Хайретдинов на последнем, московском "Код ИБ. Профи" (правда, он не использовал аналогию с моделью зрелости). На сочинском "Код ИБ. Профи" Рустем разовьет эту идею и в рамках своего мастер-класса вместе со слушателями выберет несколько реальных бизнес-процессов и покажет, как выявлять в них аномалии и как увязать ИБ с бизнесом.
2 коммент.:
В представленном кейсе от Почты России служба ИБ будет в итоге где-то сбоку. Даже если она обнаружила факт нарушения, вклад ИБ будет “размыт” основными исполнителями - экономической (или внутренней) безопасностью банка - по принципу: “вы нам дайте фактуру, а дальше мы уже сами как-нибудь справимся”. А лавры результативности (“снятие сливок”) достанутся тем, кто был “на финише” и докладывал об этом бизнесу. Хорошо, если службу ИБ вообще вспомнят в итоге. Такова жизнь :(
А это уже зависит от того, как служба ИБ себя позиционирует внутри организации, куда она стремится и чего хочет
Отправить комментарий