CIO новый лидер. Постановка задач и достижение целей
Шрифт:
«Со временем управление рисками для нас изменилось», – говорит Дане. «С переходом к электронному ведению бизнеса появился новый источник риска. Вы открываете свою компанию новым рискам в виде кибер-атак, которые могут повлиять на ваш бизнес. При этом вы не можете вообразить, когда, откуда и в какой форме произойдет эта атака».
Отделу оптовой торговли ВТ предстояло разработать сложные решения, поскольку противостоять новым угрозам было все сложнее. Вместо того чтобы следовать традиционным путем, компания оценила возможные ответы на каждый тип риска. Например, отдел оптовой торговли ВТ тщательно изучил все возможные ответы на атаки сетевых вирусов. Поскольку никто не знает, когда и где начнется подобная атака, отдел оптовой торговли ВТ решил исходить из того, что вирус уже проник в сеть и надо действовать, чтобы ограничить вред от него.
Один из способов, примененных компанией, это сегментирование IP-сетей (Internet Protocol) в соответствии с приложениями, которые работают в этих сетях. Обработка данных, происходящая в сети, отделяется от программ, управляющих оборудованием (маршрутизаторами, переключателями), на котором работает сеть. Это позволило компании держать отключенную сеть в безопасном состоянии и существенно снизило риск проникновения извне в эту сеть. Естественно, по сути своей IP-сеть должна быть единой. Но с точки зрения управления рисками, это было бы опасно. В некоторых известных
Разработайте формальную сетевую политику
Вашим первым шагом в обеспечении управления рисками информационной безопасности должна стать разработка формальной политики безопасности. Политика безопасности – это набор правил ведения бизнеса, который определяет отношение компании к риску и меры безопасности, которые повышают эту безопасность. Политика определяет то, как надо себя вести в сложных ситуациях и при переменах. Она определяет процессы контроля, отчетности и намечает стратегию будущих действий (таких, как доступ к внутренним ресурсам или внешним Интернет-сайтам). Политики должны базироваться на индустриальных стандартах, таких как COBIT (Control Objectives for IT) или ISO 17799, поскольку они закладывают критерии программы безопасности и основу для оценки и управления безопасностью.
Стартовой точкой для политики безопасности должно стать отношение вашей компании к риску. Например, определить момент внедрения новых технологий – это часть обсуждения управления риском. Что больше беспокоит вашу компанию – инновации или потенциальная уязвимость информационной безопасности (которую новые технологии неизбежно несут с собой)? Вы можете ответить на этот вопрос только в том случае, если вы знакомы со всеми подробностями управления рисками в вашей компании.
При помощи четкого и адекватного руководства безопасностью вы должны понять, кто отвечает за принятие ключевых решений и кто отчитывается за все проблемы, относящиеся к информационной безопасности. Точно так же, как вы установили набор решений для ИТ-руководства (максимы, архитектура, инвестиции, приоритеты и прочее), вашей компании необходимы системы руководства для обеспечения безопасности. Они должны включать как минимум стратегию риска, политику безопасности, архитектуру безопасности и бизнес-приложения для безопасности (таблица 9.1).
Используя решения о стратегии риска, определите, какое поведение приемлемо в данном конкретном случае и отразите ваши решения в вашей корпоративной политике безопасности. Политика, конечно, не многого будет стоить, если вы не определите ответственность ваших сотрудников за внедрение этой политики и не убедитесь, что они следуют вашим предписаниям. Наконец, вы должны выбрать, какие технологии и процессы, основанные на решениях вашей политики, будут использоваться для обеспечения корпоративной безопасности, и управлять этими технологиями постоянно.
Управляйте процессами безопасности постоянно
Управление безопасностью должно основываться на фактах. Как говорит народная мудрость: «Что можно измерить, должно управляться». Убедитесь в том, что вы можете измерить свою безопасность, исходя из своей политики. Первым шагом должна стать централизация безопасности ИТ с полной отчетностью CIO (что может быть специальной работой). Многие компании не ведут статистику атак на них, откликов на эти атаки и эффективности этих откликов. Почти половина руководителей, ответственных за безопасность (CSO – chief security officer), отвечая на вопросы CSO Magazine, сказали, что не отслеживали все атаки и не сообщали о кибер-криминале в полицию [50] . Без четких оценок корпоративная информационная безопасность становится слепой и беззубой. В эти оценки должны входить типы атак (как успешных, так и безуспешных), характеристики атакующих (если они известны), мишени атак, эффективность, стоимость защиты от каждой конкретной атаки, а также потери, связанные с атаками. (См. главу 10, чтобы узнать больше о создании эффективных табло, которые позволят контролировать ваш прогресс.)
Давайте сформулируем некоторые вопросы, которые позволят провести оценку процессов вашей безопасности:
• анализируете ли вы архитектуру безопасности новых приложений, чтобы убедиться в том уязвимости не строятся извне?
• постоянно ли вы следите за доступом пользователей и конфигурацией ПО, чтобы предотвратить уязвимость, которая может стать брешью в защите?
• успеваете ли вы отвечать на вторжение в реальном времени?
• каков статус вашей системы архивирования, восстановления и постоянного бизнес-планирования?
Таблица 9.1. Матрица организации руководства безопасностью
Источник: Таблица разработана на основе «Матрицы ИТ-руководства» из рабочего доклада Питера Вайля и Ричарда Вудхэма «Не только командуйте, но и руководите. Методы эффективного ИТ-руководства» под номером 326, издание Центра МТИ по исследованию информационных систем, апрель 2002 г. Используется с разрешения авторов.
В обеспечении вашей ИТ-безопасности не забывайте об инсайдерах
Многие CIO попадают в простую ловушку, когда пытаются обеспечить эффективное управление риском для информационной безопасности: ужесточая защиту своей компании от атак извне, они даже не рассматривают угрозы, исходящие изнутри. Отдел оптовой торговли ВТ, о котором мы уже говорили раньше, предпринимал важные шаги против внешних атак, но кроме этого, компания разработала специальные подходы для контроля внутренних целенаправленных атак. Как показывает статистика, наиболее успешные атаки совершаются самими сотрудниками компании или происходят при их поддержке. Хотя есть масса внешних рисков для вашей компании, вы должны больше внимания уделять угрозам, исходящих от самих сотрудников вашей компании, включая и высокопоставленных сотрудников.
От таких рисков нельзя избавиться, но их можно ограничить. Если несколько простых шагов для того, чтобы ограничить риск от сотрудников. Первый и основной – это четкий контроль всех новичков и оснований для продвижения. Если вам не удастся сделать это, то провал неминуем. Например, Американское раковое общество штата Огайо (США) приняло в свой штат трех сотрудников с непроверенными анкетами и двух осужденных за кражу и жульничество. К 2000 году они продвинулись по карьерной лестнице ИТ-департамента до руководящих постов и украли около 7 млн долларов [51] .
Вы должны готовить своих сотрудников так, чтобы они подробно знали политику безопасности и сферу своей ответственности. Многие бреши возникают из-за незлонамеренных ошибок персонала компании. Министерство обороны США сообщает, например, что чаще всего злоумышленники получают секретную информацию просто звоня
Развивайте архитектуру вашей безопасности
Кроме организации политики и процессов, вы должны смотреть на архитектуру безопасности и более стратегически. Корпоративная безопасность исторически была связана с моделью крепости: статической и не различающей атакующих, неприспособленной к переменам, зависящей от местоположения и полагающейся на очень ограниченный набор решений (крепкие стены и запертые ворота). Очень прочные и большие внешние стены защищали мягкую и непрочную внутренность. Любой человек за воротами – подозрителен, каждый внутри – друг. После того, как вы прошли сквозь ворота, вы можете делать все, что захотите.
Возникающая сегодня новая архитектура безопасности гораздо лучше ориентирована на возникающие риски – не забывайте, что информационная безопасность вся связана с управлением рисками. Возникающую архитектуру иногда называют моделью аэропорта. Она гораздо более гибкая и способна приспосабливаться к ситуации, с большим числом зон безопасности, основанных на различных ролях. «Ворота» в эти зоны могут использовать несколько разных видов идентификации, аутентификации и контроля доступа, в зависимости от роли проникающей личности и предназначения зоны. В результате получается несколько крепостей внутри одной большой крепости.
Модель аэропорта очень хорошо работает сегодня на основе стратегий современных компаний и существующей технологии. Однако в нынешнем сетевом мире предпочтительнее модель динамического доверия, которая строится между двумя любыми точками в компании. Динамическое доверие подразумевает аутентификацию и наличие доверия между двумя любыми участниками контакта в сети. Модель использует целый комплекс перекрывающихся или дополняющих друг друга технологий и предполагает, что все участники транзакции должны идентифицировать и аутентифицировать себя, а также доказать свое право на участие в процессе. Безопасность на основе определенных правил в модели динамического доверия относится как к личностям, так и к окружающим условиям, истории и текущему состоянию сети плюс некоторые дополнительные уровни защиты на основе приложений. Эта модель гораздо лучше соответствует современному миру, населенному идентифицируемыми беспроводными устройствами.
Все три модели отвечают специфическим рискам и эрам. Модель крепости работала в эру мейнфреймов. Модель аэропорта работает в большинстве компаний сейчас. Модель взаимодействия точка-точка будет востребована в мире, в котором доступ к информации и ее передача регулярно происходит беспроводным образом в любом месте и в любое время.
Убедитесь, что вы предпринимаете тактические шаги
Итак, мы обсуждаем стратегию управления риском в информационной безопасности. Непростительно с нашей стороны будет не упомянуть некоторые специальные действия, которые следует предпринять. Вот некоторые из них:
• убедитесь, что все аудиторские проверки, включая и те, что связаны с доступом к документам и их модификации, безопасны от манипуляций и уклонений;
• требуйте, чтобы сотрудники ИТ следовали определенному коду поведения, который определяется высокой степенью доступа и ответственностью, возложенной на ИТ;
• контролируйте доступ к системам, которые содержат важную информацию и оповещайте всех о том, что такой контроль производится; уделяйте специальное внимание сотрудникам, входящим в системы, доступ к которым не предусмотрен их непосредственной деятельностью;
• связывайте права доступа с определенными ролями или позициями; устанавливайте четкие и известные всем ограничения; контролируйте их и обнародуйте результаты расследования, когда эти ограничения нарушены;
• тщательно обсуждайте с руководством своей компании все новые нормирующие акты, которые влияют на ваш бизнес; в современный набор входит закон Сарбанеса-Оксли и ШРАА(США), закон Турнбула (Turn-bull – Великобритания) и требования Basel II (Европа);
• введите у себя регулярные проверки; неформальные обсуждения проблемы с CIO разных компаний. У большинства компаний есть план действий в случае обнаружения прорехи в безопасности, но очень немногие из этих компаний тестируют его регулярно;
• установите четкие правила для хранения и управления электронными документами, включая объявления, электронные письма, документы в формате Word и многое другое, что относится к принятию решений и составлению отчетов.
В этот момент вы имеет полное право задать вопрос о том, где взять деньги для реализации всех перечисленных задач. Не забывайте о том, что вы должны обеспечить баланс между угрозами и защитой. Поэтому, прежде всего, расставьте приоритеты для всех уже упомянутых проблем и определите их связь с вашей компанией. Во-вторых, запомните, что все проблемы управления риском – это не только проблемы ИТ; это проблемы всей компании и они должны трактоваться именно таким образом. Вы должны убедиться в том, что ваши коллеги по руководству компанией и совет директоров понимают все риски и необходимые меры, для их снижения в соответствии с корпоративными стандартами управления рисками. Затем надо принять решение на корпоративном уровне о том, как найти средства и ресурсы для снижения рисков и какой уровень риска считать приемлемым. Припомните, что многие возможные источники финансирования мы уже обсуждали. Многие из них вполне подходят для изыскания средств на проекты в сфере обеспечения безопасности.Постоянно контролируйте мероприятия по безопасности и их стоимость
В заключение, мы хотим еще раз повторить, что безопасность – это процесс, а не состояние. Безопасность – это не цель, которую вы можете достичь. Это нечто такое, к чему вы можете стремиться в постоянно изменяющемся окружении.
Контролируйте все ваши меры в области обеспечения безопасности, прежде всего, для того, чтобы убедиться в том, что они сохранили свою эффективность, а, во-вторых, чтобы убедить себя и всю компанию в том, что они стоят вложенных в них средств. Вам также надо повторять весь процесс регулярно, поскольку риски и цена их снижения быстро меняется. Вы должны быть уверены в том, что вы по-прежнему защищены от самых серьезных рисков самым надежным и эффективным способом. Мы считаем, что очень скоро от большинства компаний правительственные агентства будут требовать информации о статусе своей безопасности. Меры по обеспечению безопасности в компаниях будут становиться все более серьезными и начнут потреблять до 15 % бюджета.
Применяя методы анализа, разработанные в компании Gartner, мы пришли к выводу, что стоимость снижения потерь от успешной атаки по крайне мере на 50 % выше, чем стоимость ее предотвращения. Компании, которые концентрируют внимание на реальных рисках и контролируют программы эффективности снижения рисков, получат самый высокий процент возврата от своих вложений в сферу безопасности. Лучше всего и дешевле всего в долгосрочной перспективе разработать работоспособную программу вместо того, чтобы в один прекрасный момент стать жертвой настоящей атаки.