CISO
Как выглядит кибербезопасность в глазах людей, работающих на позиции директора по информационной безопасности (CISO) и ее эквивалентах? Какие проблемы стоят перед ними и какие перспективы они для себя видят? Чтобы узнать ответ на эти вопросы, «Лаборатория Касперского» опросила 250 директоров по всему миру. Ответы местами очень интересны, хотя не могу сказать, что я во всем согласен со своими коллегами.
Взять, например, такой вопрос: в чем измерять эффективность работы CISO? Большинство склоняется к варианту, что главный показатель — это качество и скорость реагирования на инцидент. То, что этот вариант ответа стоит на первом месте, неудивительно. Вообще в современных компаниях все чаще уходят от практики считать киберинцидент каким-то провалом работы безопасников. Отрадно видеть, как растет понимание того, что инциденты неизбежны. Более того, — что они достаточно регулярны. Так что безопасность, в первую очередь, подразумевает выживание компании.
Под выживанием следует понимать гарантированный определенный уровень защиты компании. Обеспечение возможности при сложной целевой атаке, масштабной утечке или мощной DDoS-атаке без особых потерь восстановиться или потерять не больше определенного минимума. То есть CISO сегодня фокусируются на реагировании на инциденты.
С одной стороны, это хорошо. Потому что еще совсем недавно был другой перекос — в сторону превентивных технологий. Считалось, что они должны со стопроцентной вероятностью защищать инфраструктуру от инцидентов. С другой стороны, фокус исключительно на реактивные технологии — это тоже перегиб. На мой взгляд, важно соблюдать баланс. Важны все элементы адаптивной архитектуры — Prevent, Detect, Respond и Predict.
К вопросу о рисках
Очень показательны ответы на вопрос о рисках после киберинцидента. Большинство считает, что самые большие риски — репутационные. Тут я полностью согласен, я бы тоже ответил именно так. Это, по сути, первопричина большинства остальных последствий инцидента. Падение стоимости акций, потеря клиентского доверия, падение продаж — прямые последствия ущерба репутации.
Собственно, именно из-за этого о многих инцидентах публика так и не узнает. Если фирмы могут скрыть инцидент, они его скрывают. При том, что законы в некоторых странах напрямую обязывают сообщать хотя бы акционерам или клиентам о такого рода происшествиях.
Также очевидно, что CISO видят разницу в мотивах атакующих и разделяют, например, атаки организуемые государствами, и атаки, которые проводятся исключительно ради наживы. Хотя лично я бы на первое место ставил атаки инсайдеров. Просто потому, что исторически они самые опасные с точки зрения ущерба. Как показывает практика, недобросовестный сотрудник, воспользовавшийся своим служебным положением, может причинить куда больше неприятностей, чем какие-то внешние злоумышленники.
Влияние CISO на бизнес-решения
Интересно было посмотреть, насколько руководители по безопасности, по их мнению, вовлечены в принятие решений. Я даже удивлен, что всего 58% считают, что они в достаточной мере влияют на эти процессы. Тут можно было бы ожидать и все 100%. Впрочем, это все сильно зависит от того, что они считают «достаточным».
Если коротко, то есть два варианта. Служба безопасности может контролировать каждый шаг бизнеса: разрешать или запрещать. А может служить неким консультативным органом. То есть можно настроить процессы так, что бизнес будет приходить и спрашивать: «Мы делаем вот так, это нормально?».
На первый взгляд, вариант с тотальным контролем эффективнее. Но это было бы действительно так, если бы защита была самоцелью. На практике это увеличивает штат службы безопасности и может стать тормозом для развития, особенно если компания инновационная и устоявшихся практик для защиты ее бизнес-процессов еще нет. Так что тут тоже нужен баланс.
Обоснование бюджета
А вот ответ на вопрос «Какие аргументы вы применяете для защиты бюджета?» меня расстроил. На первых местах до сих пор «страшилки» — отчеты о киберинцидентах и оценки ущерба от прошлых атак. Да, это хорошо действует на психологию. Но проблема в том, что они разговаривают с бизнесом. Бизнес можно напугать один раз, от силы два. А на третий бизнес скажет: «Ну да, страшно. А как другие с этим живут?».
Бизнесу релевантнее узнать средние показатели по рынку. Но в списке популярности аргументов для защиты бюджета эта информация только на седьмом месте. А ведь такие данные можно найти, часто даже в открытом доступе. Вот и у нас есть полезный инструмент — IT Security Calculator.
Короче говоря, отчет об исследовании дает много пищи для размышлений. Ознакомиться с полным текстом отчета можно вот здесь (на английском).
Советы