Как обосновать необходимость информационной безопасности бизнесу?

31 октября 2016
6

Как обосновать необходимость ИБ бизнесу? Как-то одиозный глава «Евросети», господин Чичваркин, так высказался об общении со своим ИТ-департаментом: «Кстати, с айтишниками я не мог вообще никогда вести переговоры. Мне казалось, что я говорю на русском, а они – на козьем. Надо иметь человека в компании, который переводит с козьего, а нам с этим не везло абсолютно. А переводчика с их стороны практически никогда не бывало».

Ровно тоже и даже хуже обычно происходит при общении сотрудников отдела защиты информации (информационной безопасности) со своим руководством. Оно еще меньше понимает, что делает подразделение, которое вводит множество препон на пути бизнеса, борется с мифическими угрозами и заставляет выполнять «дурацкие законы». Объясняют свои нужды безопасники достаточно банально: «Если мы этого не сделаем, нас взломают» или «Если мы этого не сделаем, нас накажут регуляторы». Но стоит задать встречный вопрос: «И что?» – дискуссия затухает.

Не так часто безопасник может на понятном бизнесу языке объяснить, к чему приведет та или иная проблема. Например, если вспомнить уязвимость Heartbleed в OpenSSL, то на вопрос: «И в чем ее опасность?», часто приходилось видеть обычный copy-past из Википедии: «Heartbleed – ошибка переполнения буфера в криптографическом программном обеспечении OpenSSL, позволяющая несанкционированно читать память на сервере или на клиенте, в том числе для извлечения закрытого ключа сервера». На логичный вопрос: «И что?» следует обычно недоуменный взгляд, который как бы говорит: «Ну ты что, совсем ничего не понимаешь? Это же очевидные вещи!». Куда как сложнее ответить более понятно для несведущего в информационной безопасности человека: «Уязвимость Heartbleed была обнаружена в понедельник ночью, и она может иметь негативное воздействие на наши Web-сервера. Эта ошибка позволяет украсть такие приватные данные как имена пользователей, пароли, номера кредитных карт и т.п. Наша команда по безопасности немедленно начала сканировать нашу сеть для оценки потенциального воздействия на нее. В настоящий момент нет никаких признаков того, что нам угрожает этот риск, или мы были скомпрометированы ранее».

Если говорить об инцидентах, то руководство интересует, как инцидент относится к его компании, что произошло, каков ущерб и что было предпринято для устранения последствий и отсутствия повторов в будущем? Если говорить о новых ИБ-проектах, то руководство интересует, как проект относится к его компании, что он дает и как этого достичь/получить? И поскольку сам бизнес не будет вникать в то, что делает ИБ, шаг навстречу должны сделать именно безопасники, пытаясь понять, чем они могут помочь своему работодателю. Нужно посмотреть на безопасность с точки зрения именно бизнеса, а не торговли страхом (то есть борьбы с угрозами) или copmpliance.

Чем занимается бизнес? Куда он стремится? Какие задачи перед собой ставит? Есть ли в них место информационной безопасности? Дабы не быть голословным и больше не растекаться мыслью по древу, давайте посмотрим на три примера, в которых информационная безопасность играет роль, но непривычную, не связанную с нейтрализацией угроз или выполнением требований какого-либо нормативного акта.

Итак, возьмем процесс заказа любого товара в Интернет-магазине. На этапе запроса товара перед нами стоит задача обеспечить бесперебойное функционирование системы регистрации заявок и уменьшение времени ее регистрации. Что может помешать этому? Среди прочего – DDoS-атаки, отсутствие проверки ввода в поля формы заявки на заказ товара. И бороться с ними нам помогают различные защитные технологии. Обратите внимание – мы «продаем» не средство борьбы от DDoS, а говорим о средстве обеспечения бесперебойного функционирования процесса приема заявок, так как в противном случае мы эти заявки начинает терять (или обрабатывать меньшее их число), что прямым образом влияет на доходы предприятия. То есть вроде и говорим о том же, но позиционируем совершенно по-иному, с точки зрения, понятной бизнесу.

На этапе проверки остатков на складе наша задача предоставить системе корректные данные. Если данные будут меньше реальных, то мы теряем деньги, а если больше, то снижается лояльность клиентов, которых придется уведомлять о том, что заказанный (и, возможно, уже оплаченный) товар отсутствует. С формированием предложения случай иной. Мы не должны раскрывать детали предложения никому, кроме клиента. Нередки ситуации, когда разные клиенты имеют разные условия обслуживания, разные скидки. Никто не хочет, чтобы об этом узнали другие клиенты. Опять начнется снижение лояльности, недовольство, уход к конкурентам. И безопасность тут как нельзя кстати; и вновь она нам помогает не бороться с угрозами или выполнять какие-либо законы, а решает вполне конкретную и понятную бизнесу задачу.

Идем дальше. Выставление счета должно быть не только бесперебойным, но и в счете должны быть указаны правильные реквизиты и сумма, чтобы клиент заплатил ровно столько, сколько нужно, и туда, куда нужно. Никакой подмены реквизитов быть не должно. И вновь решить это можно с помощью технологий ИБ. Наконец, оплата товара должны быть безопасной. И дело не в только требованиях стандарта PCI DSS, но и в том, что клиенты не хотят, чтобы информация об их покупках или их кредитных картах стала достоянием гласности.

А почему нельзя торговать страхом, то есть продвигать борьбу с угрозами? Ведь об угрозах ИБ сегодня слышали все. Утечки, DDoS, программы-вымогатели, APT… Знакомые многим понятия. Что же с ними не так? Почему они плохо «продаются» сегодня? Причин тому две. Во-первых, в непростую экономическую ситуацию перед бизнесом встают в полный рост совершенно иные проблемы, имеющие больший приоритет. Речь идет о росте кредитных ставок, банкротстве контрагентов, сокращении персонала, изменении курса валюты, кассовом разрыве и других более важных угрозах. Вторая причина связана с тем, что приводя статистику об угрозах, мы забываем указать, как она относится к вашей компании и не является ли она средней температурой по больнице. А если статистика релевантна, то бизнес хочет знать масштаб ущерба от этих угроз, а не просто их перечисление. А считаем ли мы ущерб? 

Рассмотрим второй пример. Оформление заявки на кредит на банковском сайте. Обычно этот процесс интересен безопасникам только в контексте обработки персональных данных в анкете заемщика, то есть мы рассматриваем его с точки зрения выполнения требований законодательства (compliance). Но давайте отвлечемся и посмотрим, как еще кибербезопасность может помочь в этом деле? Первый шаг совпадает с предыдущим кейсом – регистрация заявки, и мы хотим обеспечить бесперебойность процесса регистрация заявок заемщиков на получение кредита. В противном случае мы начинаем терять клиентов и их деньги.

Одним из показателей эффективности этапа проверки достоверности информации о заемщике может служить скорость проверки. Может ли безопасность увеличить этот показатель? Почему бы и нет, если использовать технологии анализа социальных сетей и применять методики OSINT (Open Source INTelligence – разведка по открытым источникам). Они позволяют нам быстро вычислить мошенников или неплательщиков или существенно сократить их число, дошедшее до этапа получения денег у банка. Вновь мы видим, что безопасность нам помогает не традиционным путем (нейтрализовывать угрозы или выполнять нормативные требования), а с учетом стоящих перед бизнесом задач – ускорение обработки заявок на выдачу кредитов и снижение числа невозвратных кредитов, выданных мошенникам.  

А почему compliance малоинтересен бизнесу? Ведь во всех умных книжках говорится, что именно compliance – это епархия генерального директора (или председателя правления). Все просто. Compliance compliance’у рознь. Одно дело говорить о выполнении требований налогового законодательства и совсем другое о некоем 21-м приказе ФСТЭК по защите персональных данных. Ведь что мешает бизнесу задать два простых вопроса на требование выделить средства на выполнение того или иного нормативно-правового акта? Какова средняя сумма штрафа за невыполнение НПА и сколько наказаний уже было приведено в исполнение (в стране, в регионе, в отрасли)? И окажется, что с точки зрения кибербезопасности оба этих показатели выглядят смешно, а точнее практически равны нулю. Да, следуя старой советской поговорке, строгость наших законов компенсируется необязательностью их исполнения. Даже максимальные штрафы по статьям, связанным с невыполнением мер по защите информации, не превышают пары десятков тысяч рублей, а уж про число успешно выигранных по данным статьям дел и вовсе можно пересчитать по пальцам одной руки. В итоге много болтовни и полный пшик на практике. Зачем же бизнесу платить за то, за что не наказывают или размер наказания на порядке меньше суммы затрат?

Но обратимся к третьему кейсу. Увольнение сотрудника. Как тут может помочь безопасность и может ли? На удивление, да. И это, пожалуй, тот хороший пример, который показывает роль ИБ в ситуациях, когда нет ни угроз, ни требований законодательства. Однако увольнение – это всегда проблема для бизнеса. Уволившийся человек не приносит денег, а простаивающая вакансия – это ухудшение KPI для службы управления персоналом. Вот именно о помощи HR мы сейчас и поговорим. Одной из задач хорошего HR является уменьшение времени простаивания вакансий в компании с традиционных для России 2-3 месяцев до нуля. Правда, это только там, где задача HR – удерживать персонал (а именно этим должен заниматься HR в компании), а не заниматься только увольнениями и наймом сотрудников. Так вот в нормальных компаниях HR хочет иметь информацию о том, кто из сотрудников «навострил лыжи» и планирует покинуть «отчий дом». И кто может ему дать такую информацию? Только служба ИБ, которая может с легкостью получить данную информацию. Ведь нередко люди ищут себе работу не только из дома и не только с личных мобильных устройств, но и на работе. Они ходят по рекрутинговым сайтам, размещают резюме, читают вакансии. А еще они рассылают резюме по электронной почте и, реже, получают предложения о новой работе (job offer). И все это элементарно отслеживается с помощью систем анализа Интернет и e-mail трафика, которые помимо ловли спама и утечек данных, могут и иной контент в информационных потоках выуживать. А с помощью Netflow можно увидеть выкачку больших объемов данных с внутренних серверов предприятия, что часто является признаком готовящегося увольнения, когда сотрудник готов унести все ценное, до чего сможет дотянуться со своего компьютера.

Получив данные сведения, HR может провести воспитательную беседу с готовящимся к увольнению работником и уговорить его остаться или, поняв тщетность своих бесед, начать заранее искать замену. В идеале к моменту подачи заявления об увольнении служба персонала уже находит кандидата на замещение вакантной должности, который выходит в день увольнения своего предшественника или даже заранее, чтобы иметь возможность принять дела. И вновь безопасность смогла учесть интересы бизнеса и улучшить его отдельные показатели.

Мы рассмотрели только три примера, когда информационная безопасность может помочь бизнесу, не продавая ему страх и не пытаясь бороться с ветряными мельницами в виде необязательных нормативных документов. Но на этом вклад ИБ в бизнес не ограничивается. Она может также помочь:

  • При географической экспансии
  • Вынести точки продаж «в поля» (ближе к клиенту)
  • Создать новый или более дешевый канал продаж
  • Снизить арендную плату
  • Оптимизировать складские запасы и ускорить вывод продукта на рынок
  • Оптимизировать финансовые показатели (EBITDA, CapEx/OpEx, лизинг, амортизация…)
  • Поднять продуктивность сотрудников
  • Уменьшить число командировок и снизить риски путешествий
  • Сократить затраты на Интернет
  • Снизить ИТ-издержки на внутренний helpdesk
  • Повысить лояльность заказчиков
  • Обеспечить стандартизацию ИТ-платформы
  • Обнаруживать сговоры и конфликты интересов
  • Снизить простои.

Вот небольшой список того, что бизнес может получить от информационной безопасности при ее правильном обосновании, отталкивающемся от целей бизнеса, а не целей самой ИБ, как это нередко бывает. Только в условиях, когда служба ИБ следует за бизнесом, а не вставляет ему палки в колеса, возможно успешное существование этих, часто воспринимаемых как антагонистов, сущностей. Главное – смотреть на ИБ через призму бизнес-задач.


7716
Поделиться
Коментарии: 6
  • Андрей Миронов
    Рейтинг: 10
    "Объединенная двигателестроительная корпорация", ОАО
    Бизнес-аналитик
    13.01.2017 16:47

    В последнее время очень часто слышу про разговор с бизнесом на одном языке. Хорошо что айтишники (в тч и я сам) пришли к пониманию данной проблемы.
    Всю статью пронизывает одна мысль, с волками жить, по волчьи выть с бизнесом нужно работать так, как он привык работать, а именно вести бизнес. Тут уже вопрос о том, сколько потенциальных денег теряется в случае, если по различным причинам клиенты не могут оформить заказ на сайте или выписываются штрафы за невыполнение соответствующих приказов.
    А что если большому начальству показать матрицу того, что компания может потерять в случае если не реализовать тот или иной проект и попросить ее подписать. По результатам анализа бизнес выделяет для себя риски, которые можно минимизировать выполнив соответствующий проект с соответствующим бюджетом, так же выявляются те угрозы, которые по мнению руководства не критичны и бюджет на некоторые проекты не выделяется.
    Вопрос в том, подпишется ли руководство под таким документом...

  • Александр Громцев
    Рейтинг: 61
    ССЗ " Вымпел", ОАО
    Начальник управления по ИТ
    14.02.2017 12:04

    Руководству необходимо показывать и рассказывать языком цифр и неплохо бы иметь союзников в СБ. Вот тогда проще - у меня большой опыт работы на НПО " Сатурн" кстати. 12 лет как там не работаю ИБшником - а семена то растут и деревья уже!!!

  • Анатолий Курочкин
    Рейтинг: 20
    Научно-производственное объединение
    Старший инженер, аналитик.
    03.03.2017 18:21

    Прекрасная статья, прочитал с большим удовольствием! Но думаю, что автор ничуть не приблизил козий язык к человеческому.
    Могу ошибаться, в безопасности информации работал довольно давно, но в данной статье всё-таки речь идёт не столько о ИБ, а больше - о дополнительных услугах, которые могло бы дать обеспечение безопасности информации. Но даже пример с увольнением сотрудника меня не убедил, так как подобные проблемы в хорошей службе персонала решаются другими методами.
    А как убедить руководство в необходимости иметь защищаемые ресурсы - ни слова.

  • 11.04.2017 06:25

    По опыту проведения аудита ИБ и ИТ могу поддержать автора, любой аудит начинается с анализа бизнес-процессов (мой опыт). Это позволит создать понятное для Бизнеса ТЗ, выдать специалистам указания "где рыть". По окончании исследования выдать - анализ рисков (именно финансовых), рекомендации по их минимизации. Бизнес понимает только язык денег.

  • Евгений Черкасов
    Рейтинг: 30
    Орматек
    Директор департамента инновационных технологий
    12.04.2017 10:06

    Самое интересное, что зачастую после тирады "Эта ошибка позволяет украсть такие приватные данные как имена пользователей, пароли, номера кредитных карт и т.п." руководство опять смотрит на тебя и задаёт вопрос: "И что?"

    И вот что тогда делать? :)

    Сложные пароли на офисном wifi и постоянно меняющиеся сложные пароли на гостевом wifi. На вопрос "зачем?" руководства отвечаем - "чтобы злоумышленник не пробрался внутрь нашей сети, подобрав пароль, не стал сканировать внутренние ресурсы и не унёс важные документы компании, хранящиеся на файловых серверах или не устроил коллапс в сети, который может привести к остановке работы офиса". Они морщатся и говорят "да кому это больно надо, гораздо дешевле и проще подкупить сотрудника." И в какой-то степени они правы.

  • Игорь Сотников
    Рейтинг: 10
    Независимый ИТ эксперт
    22.04.2017 07:05

    Очень часто, в таком вопросе как ИБ помогает белый "взлом", когда наглядно бизнесу демонстрируют возможности эксплуатации уязвимостей и риски для бизнеса.

Предметная область
Отрасль
Управление