Связь безопасности компании с ее бизнесом

Безопасность способствует или мешает? Как обычно говорят окружающие: отдел информационной безопасности — люди? «Что они от нас хотят? Мы занимаемся делом, а тут они… Только тратят заработанные нами деньги и занимаются непонятно чем.

Еще придумывают новые и незапоминающиеся пароли, читают мою почту, запрещают мне работать в Интернете и делают мою жизнь только сложнее». Так уж сложилось на протяжении последних лет. Но мы вынуждены жить… и мириться с этим. Но… давайте сломаем эти стереотипы и покажем всем, что такое информационная безопасность (ИБ) на самом деле.

Нередко на Западе безопасность называют «Business Prevention», т.е. блокирующей, а не способствующей бизнесу и такое отношение не случайно — оно формировалось годами. Вышедшая из недр государственной и военной машины информационная безопасность изначально была ориентирована совсем на другое – «закрыть», «запретить», «не дать», «блокировать» и т.п. И перейдя на службу бизнеса, она во многом осталась такой же. Однако бизнес требует от безопасности совершенно иного.

Будучи одним из внутренних процессов компании, она, как и все другие, должна быть направлена на достижение поставленных бизнесом целей. Если же мы не можем сказать, что мы даем бизнесу, то зачем мы вообще сидим на своем рабочем месте. Может стоит заняться чем-то более понятным и адекватным? Даже уборщица делает для бизнеса больше, чем типичный безопасник. Она чистит офис, делая работу в нем приятной, что благотворно влияет и на климат в коллективе и на бизнес-показатели. А безопасник? Достаточно провести мини-опрос среди сотрудников или хотя бы руководителей бизнес-подразделений и все сразу встанет на свои места – службу ИБ все считают только мешающей бизнес-процессам. И она будет помехой, пока мы не покажем ее преимущества тем, кто считает ее препятствием. Как это сделать? [1]

Целью статьи является наглядный показ связи безопасности компании с ее бизнесом для руководителей компаний.

Существует классическая дорожная карта, насчитывающая всего 5 шагов, которые помогут вывести безопасность на качественно новый уровень. Сразу надо отметить, что эти шаги применимы практически к любой деятельности, которую надо привести в соответствие с бизнес-стратегией предприятия. Итак, эти шаги следующие:
1. Оценка текущей ситуации. На этом этапе мы составляем картину состояния информационной безопасности в компании. Иными словами, мы отвечаем на вопрос «Как есть сейчас?» или «Где мы находимся?».
2. Анализ потребностей бизнеса. Второй шаг помогает нам определить, ради чего существует компания, какие стратегические и тактические задачи стоят перед различными подразделениями, какова бизнес-среда и т.д.
3. Планирование будущей архитектуры ИБ. Результатом этого шага мы отвечаем на вопрос «Как должно быть?»; при этом мы учитываем имеющиеся потребности бизнеса.
4. Анализ разрыва. На этом этапе мы оцениваем различия между текущим и планируемым состоянием.
5. Способы сокращения разрыва. Заключительный этап позволяет нам определить конкретные мероприятия по достижению будущей архитектуры ИБ, их стоимость и временные затраты.

Разумеется, для того, чтобы движение по этой дорожной карте было не только результативным, но и оптимальным, мы должны учитывать ключевые факторы успеха, которых в нашем случае тоже пять:
 Отказ от птичьего и использование общего с бизнесом языка
 Эффективный процесс взаимодействия со всеми бизнес-подразделениями
 Внедрение системы внутреннего маркетинга ИБ
 Выход на руководство
 Измерение эффективности процесса ИБ.

Вспомним басню Крылова про лебедя, рака и щуку. Информационная безопасность сегодня находится именно в такой ситуации – цели ИБ не совпадают с целями бизнеса. Безопасность думает о криптографии, межсетевых экранах, антивирусах, восстановлении после катастроф, защите от хостов и т.д. Думает ли об этом бизнес? Вряд ли. У него совершенно иные заботы. Управление рисками, обеспечение непрерывности бизнеса, соответствие регулятивным требованиям (compliance), внутренний контроль, корпоративное поведение, рост лояльности клиентов, слияния и поглощения, географическая экспансия и многое другое. Мы видим, что совпадений нет. Это как общение англичанина с китайцем – каждый общается на своем языке и не понимает другого. Но есть одно, что объединяет безопасника с сотрудником бизнес-подразделений. Речь идет о бизнес-целях, которые у них общие.

Не всегда безопасность может быть связана напрямую с целью всей компании. Но это и не всегда требуется. Мы можем увязать ИБ с целями отдельного подразделения, проекта, инициативы или человека-«спонсора». При этом вопреки распространенному мнению, что цель коммерческого предприятия всегда завязана на финансы, надо отметить, что это не всегда так. Помимо роста доходов, снижения издержек, роста рентабельности и других монетарных целей, бизнес может ставить перед собой и другие задачи – рост лояльности и снижение текучести клиентов, географическая экспансия, ускорение сроков вывода продуктов на рынок, выполнение требований стандарта (например, пресловутого SOX) и т.п. Главное, чтобы мы смогли связать ИБ с этими целями. Можно ли это сделать? Да, можно. Разумеется, только в том случае, если мы понимаем бизнес, которым занимается компания. В качестве примера и в условиях ограниченного объема для статьи возьмем только одну поставленную бизнесом задачу — рост продуктивности сотрудников [1].

Эта задача может быть решена по разному; один из вариантов – внедрение концепции Network Virtual Organization, которая гласит, что «офис там, где сотрудник», а не «сотрудник там, где офис». Эта концепция подразумевает, что сотрудник находится все время «в поле», как можно ближе к своим проектам, клиентам, партнерам и т.п. Но чтобы быть эффективным, он должен быть не только все время на связи, но и иметь доступ к корпоративным информационным ресурсам. При такой постановке задаче каждый сотрудник оснащается лэптопом или КПК с различными интерфейсами подключения к сети (CDMA, GPRS, UMTS, Wi-Fi и т.п.), встроенным клиентом IP-телефонии, почтовым клиентом и другими полезными приложениями.

В итоге, сотрудник становится мобильным, но для всех он как будто по-прежнему находится на своем рабочем месте. По разным оценкам рост продуктивности сотрудника при использовании этой концепции может составлять от 10 до 40 процентов. А это в свою очередь говорит об экономической целесообразности внедрения таких решений. Помимо финансовой стороны вопроса, существует еще и психологические моменты. Учитывая темп жизни современного человека, он всегда стоит перед дилеммой – работа или семья? И он вынужден разрываться между домом и офисом. А это в свою очередь стресс, что влияет на все стороны жизни человека, в т.ч. и работу. Концепция NVO является компромиссом, т.к. она дает возможность подключаться к корпоративной сети в любое удобное время и в любом удобном месте. Но мобильность несет с собой и угрозу, т.к. сотрудник уже не находится под защитой корпоративных систем защиты. В этом случае мы должны оснастить персональными средствами безопасности лэптопы сотрудников, а также модернизировать периметр сети для поддержки концепции NVO. И такая связь с безопасностью может быть прослежена во многих бизнес-задачах.

Процесс взаимодействия. Безопасность – это не задача не только одноименной службы, но и всех сотрудников предприятия. И для того, чтобы они поняли это требуется активное взаимодействие между службой ИБ и остальными подразделениями. Внедрение правильного подхода к ИБ — это всегда движение в обе стороны. Поэтому пора уходить от запретительной практики, так распространенной в нашей сфере. Любой запрет вызывает отрицательную реакцию, которая негативно сказывается на отношении к безопасности в целом. Достаточно вспомнить старую поговорку «будьте добрее и люди потянутся к вам».

В безопасности все тоже самое.
Система внутреннего маркетинга. Когда все хорошо, то часто можно слышать такие вопросы со стороны руководства или других подразделений: «Что вы сделали для меня в последнее время?» или «У нас давно не было атак. Зачем вы нам нужны?» Отсутствие видимых проблем – это тоже проблема! Наградой за эффективную и высококачественную, но незаметную работу будет отрицательная оценка со стороны руководства и бизнес-подразделений. Информационная безопасность – одна из важных задач любого предприятия. И при этом одна из малопонятных, «нерыночных» и нерекламируемых [2].

Наличие коммуникативного разрыва между службой ИБ и всем остальным миром привело к большому числу стереотипов в отношении безопасности, часть из которых мы уже упомянули ранее:
 «Они (т.е. безопасники) являются помехой на пути к успеху»
 «Говорят на птичьем языке»
 «Они живут в изолированном мире»
 «Они сосредоточены на деталях и не могут окинуть бизнес общим взглядом»
 «У них слишком развито чувство превосходства»
 «Они не заинтересованы в масштабных проектах»

Аналогичные стереотипы существуют и со стороны специалистов по ИБ в сторону всего остального мира:
 «Мы непонятые гении»
 «Мы люди второго сорта»
 «Мы жертвы обстоятельств»
 «Мы перегружены работой, нас не ценят, нам недоплачивают»
 «Нас нельзя винить в сбое «железа» и софта или потому что сеть «медленно работает»
Причина такого числа стереотипов том, что большинство людей измеряет ИБ «своим аршином» и «с высоты своей колокольни». Но безопасность очень сильно отличается от того, к чему привык бизнес:
 Она сосредоточена на деталях.
 Скорость изменения технологий не всегда оставляет времени, чтобы остановиться и посмотреть на картину в целом.
 ИБ находится в стадии становления.
 Многие стандартные практики не получили должного развития.

Именно поэтому необходимо ломать сложившиеся стереотипы — без этого проблемы и недоверие с обоих сторон будут только накапливаться. Чтобы сделать это, надо внедрять в компании коммуникативную практику в отношении ИБ. Иными словами мы должны заниматься маркетингом и рекламой безопасности внутри компании, которые нужны не только производителям или поставщикам каких-либо товаров и услуг. К слову сказать, хороший маркетинг и коммуникации могут компенсировать отсутствие достаточной синхронизации ИБ с бизнесом (но злоупотреблять им не надо). Что такое внутренний маркетинг ИБ? Это искусство добиваться такого восприятия ИБ клиентом, при котором у него формируются приемлемые ожидания к деятельности поставщика услуг ИБ и отношения клиента и ИБ были взаимовыгодными. Клиент в данном случае – это собственные сотрудники.

Выход на руководство. Сами по себе проекты по информационной безопасности не защищаются и деньги на них не выдаются – независимо от используемых метрик, привязки к бизнесу, коммуникативной практики и т.д. По-прежнему важен человеческий фактор – отсутствие умения «взаимодействовать» на уровне топ-менеджмента сводит «на нет» все предыдущие усилия и работу. Слово «взаимодействовать» не случайно вынесено в кавычки – за ним скрывается очень много оттенков и нюансов. Взаимодействие включает в себя три составляющие:
 Сила и влияние
 Репутация
 Знание психологии.

Сила и влияние – это всегда комбинация множества факторов, про каждый из которых можно написать целую статью:
 Знаний и информации
 Привилегий
 Доступных ресурсов
 Уровня иерархии
 Харизмы
 Эмоций.

Коснемся только одного – уровня иерархии, как наиболее острого и дискуссионного. Сегодня все специалисты сходятся во мнении, что руководитель службы ИБ (Chief Information Security Officer, CISO) не может и не должен находиться в подчинении у CIO. Нельзя быть зависимым от CIO и оставаться эффективным. И не из-за желания стать выше, а из-за природы безопасности, как функции контроля, которая должна быть независимой от контролируемых. Не случайно службы внутреннего контроля (внутреннего аудита) являются независимыми и контролируются непосредственно советом директоров. Информационная безопасность должна быть также независимой.

Другая причина, почему CISO должен быть выведен из под CIO — широкий спектр не ИТ-задач:
 Безопасность информации, представленной на бумаге или устно.
 Взаимодействие с HR.
 Взаимодействие с юристами.
 Взаимодействие с правоохранительными органами.

Такой спектр задач выходит за рамки деятельности CIO и ставя приоритеты в своей работе он будет решать их в самую последнюю очередь.
Но если не под CIO, то где? В настоящий момент наиболее правильным считается нахождение CISO на том же уровне иерархии, что и другой топ-менеджмент. Это обусловлено рядом причин. Во-первых, понижение в уровне приводит к невозможности эффективного решения многих задач — управление рисками, юридические вопросы и обеспечение непрерывности бизнеса и т.д. А во-вторых, из 80% внутренних атак только малая часть наносит большой ущерб и часто они исходят от руководства высокого уровня. Иными словами, борьба с инсайдерами должна вестись и на самом верхнем уровне компании, а это требует, чтобы CISO находился на том же уровне, что и топ-менеджмент.

Что касается психологии, то достаточно вспомнить слова Дейла Карнеги, сказанные им еще пару десятков лет назад: «Единственный способ влиять на кого-либо – выяснить, что нужно этому человеку, и показать, как он этого может добиться». Они имеют отношения в т.ч. и к безопасности.

Измерение эффективности. Очень часто мы занимаемся безопасностью, не задумываясь, что и зачем мы делаем. Мы устанавливаем межсетевые экраны, обновляем антивирусы, проводим обучение сотрудников, повышаем осведомленность персонала, заказываем аудит, сертифицируемся на соответствие ISO 27001 и т.д. Но хороши ли мы выполняем эти задачи? Как нам не только внешней (по отношению к нам) аудитории, но и самим себе продемонстрировать результативность своей работы? Нам не обойтись без измерения информационной безопасности с различных точек зрения. Однако измерение или демонстрация результатов своей работы – это не единственная причина задуматься об оценке процесса ИБ. Среди других целей можно назвать:
• Следование бизнес-ориентированному толкованию термина «информационная безопасность»
• Выполнение требований стандартов
• Обоснование инвестиций.

Как говорится «безопасность стоит дорого, но она того стоит». Однако, чтобы доказать выделение немалых инвестиций мы должны идти по пути борьбы с другими подразделениями, проектами и инициативами, которые тоже остро нуждаются в деньгах для своего существования. Выигрывает не тот, кто сильнее, а тот, кто более приспособлен. Этот закон эволюции применим и к финансированию.

В условиях борьбы за презренный металл побеждает тот, кто сможет лучше обосновать запрашиваемые ресурсы и доказать, что они не утекут, как вода из крана, а принесут определенную отдачу. Как мы посмотрели ранее, такая отдача может выражаться не только в деньгах, но и в достижении бизнес-целей инвестора, в качестве которого может выступать компания в целом, бизнес-подразделение или владелец проекта/инициативы. И мы не можем уйти от измерений, которые и послужат необходимым доказательством. Причем, измерений, как с точки зрения запрашиваемых денег, так и с точки зрения оценки отдачи [2].

Если вспомнить про описанную выше дорожную карту, то любой из пяти этапов подразумевает те или иные измерения безопасности, ее эффективности, оптимальности и т.д. Но можно ли ее измерить? Бытует распространенное мнение, что это невозможно. Но вопреки ему необходимо отметить, что это совершенно не так. Безопасность – это процесс, который мы внедряем для того, чтобы наступило улучшение в данной области. Если что-то лучше, то есть признаки этого улучшения.

Конечно, внедрение процесса обеспечения информационной безопасности может и негативно сказаться на деятельности предприятия, но в любом случае, у нас будут присутствовать признаки ухудшения. Отсутствие признаков говорит скорее о неумении их идентифицировать, чем о том, что их нет на самом деле. Присутствие признаков говорит о том, что их можно наблюдать, а наблюдаемое улучшение (или ухудшение) – посчитать и измерить. А уж коли мы можем измерить изменение состояния того или иного процесса, то мы можем и оценить его. А отсюда всего один шаг до демонстрации улучшений нужным людям, о которых мы говорили выше.

Методов измерения безопасности существует множество (вплоть до применения системы сбалансированных показателей или системы ключевых показателей деятельности) и мы их не будем рассматривать в данной статье по причине нехватки места.

Сделаем вывод, что пришла пора менять отношение к безопасности, как к чисто технологической задаче. Это совершенно не так. Она не только может осуществляться в контексте развития бизнеса, но и положительно влиять на многие бизнес-показатели развития предприятия. Надо только уметь отслеживать это влияние.

Литература:
1. http://www.ischool.berkeley.edu/~rachna/security_usability.html — набор ссылок на различные публикации об удобстве и безопасности.
2. Security and Usability. Lorrie Faith Cranor, Simson Garfinkel. O’Reilly. 2005

Опубликовать в twitter.com

Обсуждения закрыты для данной страницы