На одном из последних "Код ИБ" (кстати, 5-го декабря в Москве будет заключительный "Код ИБ. Итоги") мне довелось модерировать пленарную секцию, посвященную такой непростой теме, как "ИБ без бюджета". И вот по ее итогам у меня сформировался список из возможных вариантов, которые позволяют заниматься ИБ в условиях урезания бюджета.
Этот кейс я слышал из нескольких источников, так что можно предположить, что он не такой уж и редкий. Вы заказываете пилот интересного вам решения и живете на нем в течение полугода, а то и года, по окончании отказываясь от продукта. Учитывая, что сегодня на рынке присутствует немало продуктов одного класса, такой подход позволяет не только жить в условиях отсутствия бюджета в течении 2-4 лет, но и прокачать свои навыки при работе с новыми продуктами, что позволяет составить неплохое резюме. Правда, на новом месте работы, "старые" поставщики уже не будут с легкостью организовывать для вас пилотные проекты :-) И да, данный вариант не очень подходит для госорганов, так как в процессе пилотирования не осуществляется передачи прав на средство защиты заказчику, на баланс оно не ставится и доказать, например, во время проверки, что организация себя защищает трудновато.
Про этот вариант я уже писал не раз. Вы можете разделить финансовое бремя со смежными подразделениями, которым может подойти функционал ваших решений. Например, средства защиты электронной почты могут пригодиться HR для своевременного обнаружения сотрудников, планирующих покинуть компанию. Средства мониторинга аномалий в сетевом трафике могут помочь сетевикам проводить траблшутинг. Сканеры безопасности могут помочь айтишникам реализовать процесс патч-менеджмента. Анализаторы кода могут помочь при реализации собственного DevOps и т.п. Главное в этом варианте выйти за рамки своей деятельности и посмотреть на то, чем занимаются коллеги из соседних подразделений, какие задачи перед ними стоят и можно ли решать их задачи вашими инструментами (и ваши задачи их инструментарием).
Ну с этим вариантом вроде все понятно - вы используете кем-то уже написанное и выложенное в открытый доступ защитное ПО, которое представлено сегодня огромным спектром вариантов - от SIEM до DLP, от антивируса до системы обнаружения атак, от реверс-инжиниринга вредоносного ПО до threat hunting. За лицензии платить не надо, что отлично укладывается в стратегию "ИБ без бюджета". Однако есть и обратная сторона у open source - у специалистов, работающих с ним, квалификация должна быть гораздо выше, чем при использовании коммерческих решений. А высокая квалификация означает большую зарплату, в среднем выше, чем у традиционного безопасника, знакомого только с лидерами магических квадратов Гартнера. И хотя это совсем иная статья затрат, она в целом тоже может лечь на бюджет службы ИБ, что может сделать этот вариант не таким уж и предпочтительным.
Предыдущий кейс подсказывает и еще один сценарий изменения затрат на ИБ - сервисная модель, которая позволяет перевести часть капитальных затрат в операционные, что в среднесрочной перспективе позволяет сэкономить на некоторых статьях бюджета. Кроме того, это совершенно иное движение денежных потоков, которое благоприятно воспринимается многими финансовыми директорами, нежелающими вешать на баланс дорогостоящие игрушки ИБшников. Правда, если компания готовится к IPO (таких в России не так уж и много), а также сам безопасник не готов выпускать контроль из своих рук, то аутсорсинг ИБ - это не вариант.
Не секрет, что часто безопасники вместо того, чтобы задействовать встроенные в ОС, приложения, СУБД, сетевое оборудование и др. механизмы защиты, стараются купить всяких новомодных штук, которые должны стать серебряной пулей и победить всех хакеров. Однако если мы вспомним Top4 защитных мер согласно австралийским лучшим практикам по ИБ, то к ним будут относиться:
Известный факт, что самым слабым звеном системы защиты является человек, через которого и реализуется около 95% всех атак. Многие технические меры призваны компенсировать человеческий фактор, но целиком нейтрализовать его они не могут. В условиях, когда бюджета на покупку новых игрушек ИБ нет, штат не расширяют и зарплата не растет, остается то, что не требует существенных финансовых затрат - повышение осведомленности персонала. Рассылки, небольшие конкурсы, напоминалки, плакаты в местах скопления народа, печенья судьбы, вебинары и очные семинары и т.п.
В выходные закончилась "Черная пятница", которую можно назвать седьмым сценарием обеспечения ИБ без бюджета. Разумеется, наш преимущественно корпоративный рынок с его циклами продаж и длительным процессом заключения договоров мало использует тему, столь привычную для сегмента B2C. Но и у нас бывают различные интересные кейсы. Например, розыгрыши антивирусов на различных конференциях. А недавно, на одной из конференций разыгрывали бессрочную лицензию на Secret Net Studio на 1000 пользователей, VPN-поддержку на АПКШ Континет и лицензию vGate на неограниченное количество CPU. Учитывая, что стоимость софта практически равна нулю (даже на флешку или CD тратиться не надо), то для вендора это ничего не стоит, а для заказчика - возможность получить хоть какое, но решение по ИБ (да еще и сертифицированное). Правда, тут тоже могут возникнуть сложности с оформлением выигрыша и постановкой его на баланс, но это уже второй вопрос.
Каждый из приведенных семи сценариев имеет право на существование и в разные периоды времени может быть применен на практике. Однако все они исходят из упаднической позиции - денег не дали, ьбудем выкручиваться. Лучше, как мне кажется, все-таки идти по другому пути - для бизнеса нужны такие-то ИБ-инициативы, вот их стоимость. Но каждому свое...
Пилоты
Этот кейс я слышал из нескольких источников, так что можно предположить, что он не такой уж и редкий. Вы заказываете пилот интересного вам решения и живете на нем в течение полугода, а то и года, по окончании отказываясь от продукта. Учитывая, что сегодня на рынке присутствует немало продуктов одного класса, такой подход позволяет не только жить в условиях отсутствия бюджета в течении 2-4 лет, но и прокачать свои навыки при работе с новыми продуктами, что позволяет составить неплохое резюме. Правда, на новом месте работы, "старые" поставщики уже не будут с легкостью организовывать для вас пилотные проекты :-) И да, данный вариант не очень подходит для госорганов, так как в процессе пилотирования не осуществляется передачи прав на средство защиты заказчику, на баланс оно не ставится и доказать, например, во время проверки, что организация себя защищает трудновато.
Разделение бюджета с другими подразделениями
Про этот вариант я уже писал не раз. Вы можете разделить финансовое бремя со смежными подразделениями, которым может подойти функционал ваших решений. Например, средства защиты электронной почты могут пригодиться HR для своевременного обнаружения сотрудников, планирующих покинуть компанию. Средства мониторинга аномалий в сетевом трафике могут помочь сетевикам проводить траблшутинг. Сканеры безопасности могут помочь айтишникам реализовать процесс патч-менеджмента. Анализаторы кода могут помочь при реализации собственного DevOps и т.п. Главное в этом варианте выйти за рамки своей деятельности и посмотреть на то, чем занимаются коллеги из соседних подразделений, какие задачи перед ними стоят и можно ли решать их задачи вашими инструментами (и ваши задачи их инструментарием).
Open source
Ну с этим вариантом вроде все понятно - вы используете кем-то уже написанное и выложенное в открытый доступ защитное ПО, которое представлено сегодня огромным спектром вариантов - от SIEM до DLP, от антивируса до системы обнаружения атак, от реверс-инжиниринга вредоносного ПО до threat hunting. За лицензии платить не надо, что отлично укладывается в стратегию "ИБ без бюджета". Однако есть и обратная сторона у open source - у специалистов, работающих с ним, квалификация должна быть гораздо выше, чем при использовании коммерческих решений. А высокая квалификация означает большую зарплату, в среднем выше, чем у традиционного безопасника, знакомого только с лидерами магических квадратов Гартнера. И хотя это совсем иная статья затрат, она в целом тоже может лечь на бюджет службы ИБ, что может сделать этот вариант не таким уж и предпочтительным.
Уход от CapEx в сторону OpEx
Предыдущий кейс подсказывает и еще один сценарий изменения затрат на ИБ - сервисная модель, которая позволяет перевести часть капитальных затрат в операционные, что в среднесрочной перспективе позволяет сэкономить на некоторых статьях бюджета. Кроме того, это совершенно иное движение денежных потоков, которое благоприятно воспринимается многими финансовыми директорами, нежелающими вешать на баланс дорогостоящие игрушки ИБшников. Правда, если компания готовится к IPO (таких в России не так уж и много), а также сам безопасник не готов выпускать контроль из своих рук, то аутсорсинг ИБ - это не вариант.
Встроенные механизмы
Не секрет, что часто безопасники вместо того, чтобы задействовать встроенные в ОС, приложения, СУБД, сетевое оборудование и др. механизмы защиты, стараются купить всяких новомодных штук, которые должны стать серебряной пулей и победить всех хакеров. Однако если мы вспомним Top4 защитных мер согласно австралийским лучшим практикам по ИБ, то к ним будут относиться:
- создание замкнутой программной среды - возможно реализовать через групповые политики
- обновление приложений - возможно настроить в самих приложениях
- обновление операционных систем - не требует отдельных решений, достаточно настроить встроенные возможности
- ограничение административных привилегий.
Если посмотреть на Топ8, то к упомянутым выше 4-м мерам, добавятся:
- конфигурация настроек макросов в MS Office
- включение защитных возможностей приложений (отключение Flash, Java Script и т.п.)
- ежедневное резервное копирование
- многофакторная аутентификация.
Работа с людьми
Известный факт, что самым слабым звеном системы защиты является человек, через которого и реализуется около 95% всех атак. Многие технические меры призваны компенсировать человеческий фактор, но целиком нейтрализовать его они не могут. В условиях, когда бюджета на покупку новых игрушек ИБ нет, штат не расширяют и зарплата не растет, остается то, что не требует существенных финансовых затрат - повышение осведомленности персонала. Рассылки, небольшие конкурсы, напоминалки, плакаты в местах скопления народа, печенья судьбы, вебинары и очные семинары и т.п.
Купоны / скидки / черные пятницы / розыгрыши призов
В выходные закончилась "Черная пятница", которую можно назвать седьмым сценарием обеспечения ИБ без бюджета. Разумеется, наш преимущественно корпоративный рынок с его циклами продаж и длительным процессом заключения договоров мало использует тему, столь привычную для сегмента B2C. Но и у нас бывают различные интересные кейсы. Например, розыгрыши антивирусов на различных конференциях. А недавно, на одной из конференций разыгрывали бессрочную лицензию на Secret Net Studio на 1000 пользователей, VPN-поддержку на АПКШ Континет и лицензию vGate на неограниченное количество CPU. Учитывая, что стоимость софта практически равна нулю (даже на флешку или CD тратиться не надо), то для вендора это ничего не стоит, а для заказчика - возможность получить хоть какое, но решение по ИБ (да еще и сертифицированное). Правда, тут тоже могут возникнуть сложности с оформлением выигрыша и постановкой его на баланс, но это уже второй вопрос.
Каждый из приведенных семи сценариев имеет право на существование и в разные периоды времени может быть применен на практике. Однако все они исходят из упаднической позиции - денег не дали, ьбудем выкручиваться. Лучше, как мне кажется, все-таки идти по другому пути - для бизнеса нужны такие-то ИБ-инициативы, вот их стоимость. Но каждому свое...
