Язык общения бизнеса и ИТ не всегда способствует полному взаимопониманию по насущным проблемам. Даже если дело касается столь очевидной на первый взгляд проблемы, как информационная безопасность.
Язык общения бизнеса и ИТ не всегда способствует полному взаимопониманию по насущным проблемам. Даже если дело касается столь очевидной на первый взгляд проблемы, как информационная безопасность.
С точки зрения руководства компании, существуют подразделения, которые приносят прибыль, и затратные структуры. Ко второй категории зачастую относят не только ИТ-службы, но и всех, кто обеспечивает информационную безопасность. Как правило, позиция руководства проста: если обеспечивается необходимый уровень безопасности, то зачем тратить дополнительные деньги?
Изменить такую позицию несложно. Реальная угроза в сфере информационной безопасности осознается руководством и специалистами в этой области тогда, когда происходят негативные события, влекущие резкое падение доходов компании. «В одной из крупных телекоммуникационных компаний, которую довелось исследовать нашим специалистам, мысль по-новому взглянуть на информационную безопасность, возникла у руководства, - рассказывает президент ассоциации «РусКрипто» Алексей Волчков. - В ходе бесед выяснилось, что здесь обнаружили прохождение трафика, в том числе международного, за который не заплатил никто из клиентов. Другими словами, в компании стали возникать инциденты, чреватые потерей денег».
Тем не менее, едва ли следует начинать разговор с финансовым директором (от которого зависят инвестиции в информационную безопасность) рассказом о том, как ИТ-специалисты обнаружили в системе уязвимость, давшую возможность перехвата части корпоративного трафика. В лучшем случае придется прийти к руководству еще раз, а в худшем оно отмахнется от «ходока», заявив, что система информационной безопасности уже налажена и незачем этим заниматься.
Едва ли справедливо винить бизнес-руководство в том, что оно не осознает самой проблемы информационной безопасности. Но многие директора компаний просто не представляют, насколько это важно для бизнеса. Руководитель может элементарно не «увидеть» очевидной связи между потерей доходов и незакрытой «дыркой» в системе информационной безопасности.
Поэтому в первую очередь необходимо представить проблему в понятном для бизнеса виде. И эта задача ложится не на руководство, которое выделяет деньги, а на сотрудника, который готовит обоснование бюджета мероприятий по информационной безопасности.
Первый шаг
Говоря об информационной безопасности, прежде всего следует задать вопрос: где в бизнес-процесс может вмешаться злоумышленник? Отвечая на этот вопрос, непременно стоит рассмотреть как внешних, так и внутренних противников (инсайдеров). Статистика в области безопасности свидетельствует, что около 80% злоумышленников принадлежит к числу последних. В компаниях телекоммуникационной отрасли на их действия приходится около 90% финансовых потерь.
«Злоумышленник, имеющий доступ к внутренней информации, может сообщать конкурентам о характере маркетинговых акций, направленных на продвижение определенной модели сотового телефона. Это дает возможность конкурентам предложить аналогичную акцию, но с более выгодными условиями», - отмечает Волчков.
В первую очередь следует защитить бизнес-процессы, заведомо приносящие компании прибыль. Их перечень помогут составить сотрудники экономического отдела. «По нашему опыту, к бесспорно доходным следует отнести процессы, которые обеспечивают профильную деятельность компании, - уверен Волчков. - Анализ уязвимых мест каждого процесса специалисту по безопасности придется выполнить самостоятельно». Следует встать на позицию злоумышленника и «проиграть» вероятный сценарий атаки. Кроме того, часть информации можно получить в подразделениях, ответственных за бизнес. Например, сотрудники договорного отдела могут рассказать, что случится, если пропадет документ, относящийся к тому или иному контракту, какие потери это повлечет и кого накажут.
Наверняка большинство бизнес-процессов каким-то образом уже автоматизировано. Необходимо изучить, как злоумышленник может нарушить тот или иной бизнес-процесс, используя для реализации своих замыслов ИТ-инфраструктуру, а также сотрудников и ИТ-специалистов, которые с ней работают. Выявление технических возможностей нарушения бизнес-процессов и фактов вмешательства в информационную систему предприятия, скорее всего, придется поручить специалистам по ИТ и информационной безопасности. Им следует не только внимательно проанализировать слабые места системы, но также изучить особенности взаимодействия с ней сотрудников бизнес-подразделений, представителей партнеров и клиентов. Наверняка подобное исследование позволит выявить дыры в информационной защите, о которых ИТ-специалисты даже не догадываются.
Положительный ответ
Каждая брешь в системе защиты может привести к нарушениям одного или нескольких бизнес-процессов. Необходимо выявить, как образуется «дырка» в защите, которая позволяет злоумышленнику нарушать определенные бизнес-процессы, что ведет к снижению доходов или убыткам компании.
Вот пример. На одной из российских торговых площадок имеется система, посредством которой брокеры обмениваются информацией. Согласно договору, клиенту гарантируется, что его заявка на покупку или продажу акций будет акцептована в течение часа (время проведения сделки). В противном случае вступают штрафные санкции. Располагая сведениями о количестве покупателей, продавцов и средних объемах торгов на этой площадке, несложно оценить размер штрафных санкций в случае, если злоумышленник организует атаку на систему, которая приведет к замедлению ее работы.
Теперь необходимо определить последовательность действий, направленных на защиту от злоумышленников. От данного выбора будет зависеть объем затрат на организацию защиты. Между тем, защита от разных категорий злоумышленников может потребовать применения различных средств. Сравнив стоимость организации информационной безопасности с суммой возможного ущерба, скорее всего, обнаружим, что затраты на защиту ниже. Это хороший аргумент, подвигающий руководство компании выделить средства под инициативы, связанные с информационной безопасностью.
Отрицательный ответ
Если окажется, что стоимость средств защиты выше вероятных потерь компании от действий злоумышленника, то следует пересмотреть свой подход к защите.
«Обычно, когда мы строим систему защиты, около 70% затрат «закрывают» 90-95% возможных опасностей, - считает Волчков. - Оставшиеся 5-10% «дырочек» можно защитить, потратив очень большие деньги, поэтому от части мер приходится отказываться».
Если уязвимость в системе грозит тем, что в десяти бизнес-процессах могут возникнуть потери, то необходимо выделить тот процесс, нарушение которого принесет наибольший ущерб компании. Целесообразно сохранить в первую очередь ту защиту, которая обеспечивает безопасность самого значимого процесса. Сознательно убирая из системы часть средств защиты (хотя возможность для нанесения потерь злоумышленником осталась), удается защитить наиболее доходные бизнес-процессы, жертвуя менее доходными. От существенных затрат на малодоходные бизнес-процессы вообще можно отказаться. Так удается ощутимо снизить стоимость затрат на безопасность, несколько увеличив, однако, объем возможных потерь.
Государство не жалеет денег на сохранность своих тайн, потому что их невозможно измерить в деньгах - они бесценны. Бизнесмены, конечно, считают деньги, но они же могут себе позволить рисковать. Разумеется, этот риск должен быть продуманным и взвешенным, а система защиты - незаметной, простой в эксплуатации, элегантной и не очень дорогой. Универсальных решений в области безопасности не бывает, всякий раз приходится искать разумный компромисс.