Как снизить нагрузку на команду ИБ и CISO

«Безопасность» и «переработки» — почти синонимы. По результатам недавнего опроса, каждый пятый CISO работает 65 часов в неделю, а не 38 или 40, как написано в контракте. В среднем переработки составляют 16 часов в неделю. То же касается рядовых сотрудников ИБ-команды — примерно половина жалуется на выгорание из-за постоянного стресса и переработок. При этом кадровый дефицит и ограничения бюджета сильно затрудняют самое очевидное решение проблемы — нанять больше людей. Но есть и другие пути! Мы изучили, какие задачи занимают большую часть времени у ИБ-команд и что можно сделать для снижения этих затрат.

Оповещения безопасности

Уверенный победитель в номинации «за потраченное время» — оповещения, генерируемые ИБ- и IT-системами компании. Поскольку число систем часто исчисляется десятками, то требующих обработки событий — тысячи. В среднем ИБ-специалисту приходится проверять 23 оповещения в час, и это включает совершенно нерабочее время. 38% опрошенных признались, что им приходилось реагировать на оповещения ночью.

Что делать

1. Используйте больше решений одного производителя. Централизованная консоль управления и интегрированная система оповещений снижают количество этих сигналов и ускоряют их обработку.
2. Внедряйте автоматизацию. Например, решение XDR позволяет автоматизировать типовые сценарии анализа и реагирования, а также снижает число оповещений, соединяя разнородные события в один инцидент.
3. Привлеките MSSP, сервис MDR или коммерческий SoC. Это самый эффективный способ гибко масштабировать работу с оповещениями. Штатные сотрудники смогут сосредоточиться на построении общей системы безопасности и расследовании сложных ситуаций.

E-mail с предупреждениями

Рассылки от производителей IT/ИБ, письма от регуляторов, оповещения многих систем безопасности поступают в ИБ-команду по e-mail, зачастую на общий почтовый ящик. В итоге на один и тот же e-mail нередко тратят время сразу несколько сотрудников, включая самого CISO, а затраты времени легко достигают внушительных 5–10 часов в неделю.

Что делать

1. Переведите максимум оповещений в специализированные системы. Если ИБ-продукт может присылать оповещения в SIEM или какой-то дэшборд, это лучше, чем e-mail.
2. Используйте автоматизацию. Часть типовых e-mail можно анализировать несложными скриптами и трансформировать в оповещения в дэшборде. Те e-mail, которые для этого непригодны, желательно анализировать, оценивая их срочность и тематику, а затем перекладывать в определенную папку или назначать для чтения конкретному сотруднику. Для выполнения этой задачи не обязательно покупать AI-ботов, она тоже решаема правилами обработки почты или несложными скриптами.

Эти подходы кратно снижают число e-mail, требующих полностью ручной обработки и чтения несколькими специалистами.

E-mail с подозрениями сотрудников

Чтобы закончить с темой e-mail, отметим еще одну категорию «шумных» писем. Если в компании прошли ИБ-учения или ИБ-тренинги или же на фирму проводится массированная атака, многие сотрудники начинают пересылать в ИБ-службу письма, которые они считают подозрительными. Если в штате есть много бдительных коллег, такие письма приходят в ИБ на регулярной основе.

Что делать:

1. Используйте надежную защиту на уровне почтового шлюза — это значительно снижает число настоящих фишинговых писем. Специализированные механизмы защиты позволяют блокировать в том числе сложные целевые атаки. Разумеется, это напрямую не влияет на количество бдительных сотрудников.
2. Если ваш продукт по защите e-mail дает пользователям опцию «сообщить о подозрительном письме», обучите коллег пользоваться eю, чтобы не обрабатывать такие сигналы вручную.
3. Заведите отдельный адрес e-mail для приема сообщений с подозрениями сотрудников, чтобы не смешивать эту категорию писем с другими оповещениями безопасности.
4. Если пункт 2 неосуществим, сосредоточьте усилия на автоматическом поиске заведомо безопасных писем среди присланных на e-mail для подозрений. Они составляют значительный процент, поэтому ИБ-команде останется проверить только по-настоящему опасные.

Запреты, оценки рисков и переговоры о них

Работа CISO требует все время находить тонкий баланс между достаточным уровнем ИБ, эффективностью бизнес-процессов, соблюдением требований регуляторов и ресурсными ограничениями. Очень часто ради повышения безопасности команда запрещает в компании какие-то технологии, онлайн-сервисы, методы хранения данных и так далее. Хотя подобные запреты неизбежны и необходимы, важно регулярно анализировать, как они влияют на бизнес и как бизнес адаптируется к этим запретам. Может оказаться, например, что из-за избыточно жесткой политики обработки персональных данных этот процесс доверили субподрядчику. Или завели удобный сервис обмена файлами вместо безопасного. В результате ИБ-команда тратит время и силы несколько раз — сначала на переговоры с бизнесом по поводу того, «почему нельзя», потом на обнаружение «обходных путей», а затем на устранение неизбежных инцидентов и проблем.

Даже там, где подобные инциденты не возникают, процессы оценки рисков и ИБ-требований при запуске новых инициатив являются многоступенчатыми, вовлекают слишком много людей и в результате съедают много времени у CISO и его команды.

Что делать

1. Избегайте избыточных запретов. Чем больше запретов — тем больше времени на их поддержку.
2. Поддерживайте откровенный диалог с основными бизнес-заказчиками по поводу того, как меры ИБ влияют на их процессы и эффективность. Находите компромиссы по технологиям и процедурам, чтобы избежать вышеописанных проблем.
3. Создайте типовые документы и сценарии для повторяющихся запросов бизнеса («создать сайт», «собрать с клиентов новый тип информации» и тому подобное), чтобы ключевые подразделения имели простой и предсказуемый способ решения своих бизнес-задач с полным соблюдением ИБ-требований.
4. Обрабатывайте эти бизнес-запросы дифференцированно. Команды, демонстрирующие высокую ИБ-культуру, могут проходить проверки ИБ реже, только на самых важных фазах своего проекта. Это снизит затраты времени и бизнесу, и ИБ.

Работа с опросниками, отчетами и методическими документами

Значительное время уходит на разные формы «бумажной безопасности» — от заполнения документов для департаментов аудита и compliance до изучения регуляторных документов с оценкой их практической применимости. Также у ИБ-команды могут запрашивать информацию для бизнес-партнеров, которые все чаще обращают внимание на риски цепочки поставок и требуют от своих контрагентов должного уровня ИБ.

Что делать

1. Инвестируйте время и силы в создание «многоразовых» документов, например исчерпывающего security whitepaper, PCI Report on Compliance или отчета об аудите SOC2. Наличие подобного документа помогает не только соблюсти требования регуляторов, но и быстро отвечать на типовые запросы контрагентов.
2. Наймите узкого специалиста (или обучите кого-то из команды). Многие практики ИБ затрачивают непропорционально много времени, стараясь сформулировать мысли для официальных документов. Лучше они сосредоточатся на практических задачах, а документооборотом, опросниками и презентациями займутся специально обученные люди.
3. Автоматизируйте процессы — это помогает не только переложить рутинные операции контроля на машины, но и документировать их нужным образом. Например, если регулятор требует периодически отчитываться о результатах сканирования уязвимостей, имеет смысл одноразово вложить ресурсы в автоматическую процедуру генерации отчетов в нужном виде.

Анализ и выбор защитных технологий

Новые ИБ-инструменты появляются ежемесячно. Если стараться закупить как можно больше решений, то это не только раздует бюджет и число оповещений, но и приведет к необходимости создания отдельного трудоемкого процесса по оценке и закупке новых решений. Даже оставляя за скобками тендеры и документооборот, команде потребуется изучить рынок, затем оценить полуфиналистов детально, а потом еще и провести пилотное внедрение.

Что делать

1. Стараться минимизировать число производителей ИБ-решений. Моновендорный подход, как правило, повышает эффективность в долгосрочной перспективе.
2. Привлекать системных интеграторов, VAR или других партнеров для процедур оценки и тестирования решений при их закупке. Опыт партнера позволит сразу отфильтровать неподходящие решения, а затем снизит нагрузку на штатных ИБ-специалистов во время пилотного внедрения.

Тренинги по безопасности

Хотя разные формы ИБ-тренингов обязательны для всех сотрудников, их неэффективная реализация способна перегрузить команду ИБ. Типовые проблемы: тренинг целиком разрабатывают и проводят своими силами, симуляция фишинговой атаки провоцирует волну паники и обращений в ИБ, тренинг проводят без учета уровня сотрудников — вплоть до нелепой ситуации, когда сама ИБ-команда проходит простой базовый тренинг, потому что он обязателен для всех.

Что делать

Использовать для обучения сотрудников автоматизированную платформу. В ней легко настроить содержимое тренинга под нужную индустрию и специфику тренируемого отдела. Сложность материала и в обучении, и в тестах будет автоматически адаптироваться к уровню сотрудника, а геймификация повысит процент тех, кто прошел курс охотно и полностью.