You are hereЗамкнутый круг (не)безопасности / Ответить на комментарий
Ответить на комментарий
Замкнутый круг (не)безопасности
За последние годы серьезные усилия специалистов по информационной безопасности были направлены на то, чтобы улучшить состояние безопасности информационных активов, принадлежащих организациям, их работникам, клиентам и партнерам. Но за все это время, надо честно признать, ситуация вряд ли стала лучше. Появились и исчезли производители различных средств безопасности, была запущена и завершена масса проектов, поработали и ушли множество консультантов, а мы по-прежнему не можем достоверно ответить на вопрос, в каком состоянии с точки зрения реальной безопасности находятся наши системы. Я не хочу сказать, что вся та инфраструктура безопасности, которая была создана за эти годы, не повысила уровень защиты, дело в другом. Каждый раз когда мы поднимаем планку защиты, киберпреступники находят способ ее преодолеть.
Проблема в этой ситуации, как и в случае гонки вооружений в период "холодной войны", в том, что никто не выигрывает,... кроме тех, кто продает бомбы . Более того, серьезно повышается шанс проиграть, истратив все имеющиеся средства и другие доступные ресурсы. Это как раз и стало причиной окончания "холодной войны". Ни одна из сторон не хотела продолжать тратить деньги на бессмысленную гонку. Проводя параллели с текущей ситуацией, в которой оказывается большинство менеджеров по информационной безопасности, хочу сказать - "Вы проиграете!". Вы это знаете, я это знаю и киберпреступники тоже это знают.
Не у многих организацией бюджеты на безопасность растут год от года в условиях текущей нестабильной экономической ситуации, более того могу с уверенностью сказать, что у большинства они сокращаются в том числе из-за слабого понимания руководством аспектов обеспечения информационной безопасности.
Информационная безопасность, хотим мы себе в этом признаться или нет, похожа на страхование жизни. Организации, пока все идет хорошо, слишком заняты зарабатыванием денег, чтобы заниматься этим вопросом, а когда случаются неприятности, становится уже слишком поздно.
Существует не так много людей (как в целом в отрасли, так внутри организаций), способных пропагандировать понимание того, какую бизнес-ценность способна дать информационная безопасность. И это плохо, потому что чем меньше мы можем объяснить руководству нашу ценность для бизнеса, тем меньшую долю инвестиций мы получаем, и все это в конечном итоге приводит к тому состоянию, в котором мы находимся в настоящий момент.
Вот как это выглядит:
• руководство организаций не видит безопасность как функцию, дающую бизнес-ценность
• в связи не делаются усилия для поиска и наем нужных специалистов на критические роли
• это приводит к тому, что практически ничего не делается для того, чтобы улучшить информационную безопасность как функцию от риск-менеджмента
• происходит серьезный инцидент информационной безопасности
• на разбор и устранение последствий инцидента уходит огромное количество времени, денег и человеческих ресурсов
• руководство задает вопрос "Почему наша служба информационной безопасности не смогла это предотвратить?"
• ценность безопасности для бизнеса становится еще меньше
• ... теперь возвращаемся в начало списка (круг замкнулся)...
Этот депрессивный взгляд на проблему может вызвать вполне резонный вопрос - "И как же выйти из этого замкнутого круга ? По моему мнению выход есть и он не потребует десятикратного увеличения бюджета на информационную безопасность. Он потребует только объединения усилий ваших поставщиков средств и сервисов по информационной безопасности, вашего руководства и вас как менеджеров по информационной безопасности. Давайте я поясню, что я имею ввиду.
Во-первых мне кажется, что мы должны изменить свой взгляд на информационную безопасность. В настоящий момент инфобезопасность - это инструмент для решения отдельных проблем. Многие руководители служб информационной безопасности, с которыми мне довелось общаться, указывали на то, что им приходится иметь дело с огромным количеством производителей средств защиты, каждый из которых решает некую узкую задачу и при этом практически никак не интегрируется с другими механизмами безопасности с целью практического снижения существующих рисков.
Возьмем к примеру антивирус. Как это решение взаимодействует с другими средствами защиты, используемым в вашей организации ?
Настало время производителям средств защиты выступить с цельными, комплексными решениями, способными обеспечить потребность в минимизации возросших рисков. Точечные решения - это уже прошлый век, они не работают. Более того, следует обеспечить возможность осознанного принятия решений в отношении имеющихся рисков на основе аналитики, предоставляемой как существующими техническими решениями, так и взятой из внешних источников. Если вы не получаете никакой риск-ориентированной аналитики от используемых технических решений настало время задать вопрос производителям этих средств защиты, либо задуматься над тем, как обеспечить себя необходимой аналитикой.
Во-вторых мне кажется настал момент подумать иначе над тем, что мы делаем с точки зрения информационной безопасности. Мы больше не стражники крепостных стен (а может быть никогда ими и не были), за которыми спрятаны ценные активы нашей компании. Настало время сесть с бизнесом за стол переговоров и выяснить наконец как безопасность может интегрироваться с бизнес-целями организации. В этой идее нет ничего революционного, я согласен, но до настоящего времени этого никто так и не делает. Функция безопасности по-прежнему слабо связана с общими целями организаций, а специалисты по информационной безопасности по-прежнему слишком ориентированы на технологии, вместо того, чтобы сконцентрироваться на той ценности, которую они могут дать бизнесу.
Мне кажется, что специалистам по информационной безопасности требуется стать в определенном смысле бизнес-аналитиками, изучить различные аспекты корпоративного управления, а уже потом переходить к вопросам применения технологии информационной безопасности. Разобраться в технологии - легко, применить ее в реальном бизнесе - не просто.
Нужно начать думать не над тем, какую еще "передовую" технологию закупить, а над тем, что нужно сделать для решения проблем безопасности в контексте имеющихся бизнес-задач.
© xakepy.cc