Главная задача при построении эффективной системы информационной безопасности на предприятии — это найти баланс между бизнес-задачами компании и целями, стоящими перед ИБ-отделом. Эта проблема гораздо глубже, чем может показаться на первый взгляд. Несмотря на кажущееся преследование одних и тех же целей, задачи перед бизнесом и ИБ стоят разные. Основная функция, выполняемая специалистами по информационной безопасности, — это обеспечение полной сохранности пользовательских и корпоративных данных. Преследуя эту цель, специалисты по ИБ могут недооценить влияние принимаемых ими мер на бизнес-процессы.
При таком подходе идеальным решением проблемы информационной безопасности окажется доступ в интернет по «белым спискам» в десяток сайтов и тотальный запрет на все приложения, кроме офисного пакета. Но это больно ударит по рабочим процессам — если бы сотрудники работали только по какому-то заданному сценарию, то их давно можно было бы заменить алгоритмами. К счастью, работа, требующая человеческого внимания, гораздой сложнее и комплекснее, и чем больше ИБ-департамент «улучшает» безопасность, тем сложнее сотрудникам выполнять задачи, хотя бы минимально выходящие за пределы их стандартных обязанностей. Частым эффектом от внедрения различных политик безопасности становится нежелание сотрудников переучиваться и работать по новой схеме, насколько бы безопасной она ни была. Поиск компромисса между рабочими процессами и вопросами безопасности отличает опытного специалиста — умение выстроить инфраструктуру безопасности и не стать для коллектива врагом навеки дорогого стоит.
В мире безопасности сегодня мы часто видим, как те, кто управляет безопасностью в организациях, часто вступают в противоречие со структурными руководителями. Безопасники хотят сделать защиту информации максимально возможной. Руководители же хотят минимизировать нарушения бизнес-процессов из-за мер безопасности. По понятным причинам первые чаще всего проигрывают вторым. Умение договариваться здесь сыграет хорошую службу специалистам по безопасности. Деловая сфера и сфера безопасности не обязаны находиться в конфронтации — вместе обе стороны могут эффективно двигать дело вперед.
Нужно оценивать выгоду от инвестиций в безопасность, в том числе в денежном эквиваленте, и уметь обозначать актуальные риски. Обычно недопонимание возникает на этапе согласования бюджета ИБ — компания не готова вкладывать большие деньги в абстрактные риски. Оценка вероятности риска и его стоимости — одна из важнейших задач, стоящих перед ИБ-специалистом. Большинство руководителей желают видеть понятные цифры, а не «воду». В этом проблема ИБ-инфраструктуры — для нее бывает сложно найти понятные метрики, а специалисты зачастую «оторваны» от бизнес-процессов и не понимают, что действительно требуется организации. Учитывая, что большинство компаний считают ИБ-отдел непрофильным активом (так же как, например, маркетинг), так как он не принимает непосредственное участие в «зарабатывании денег», специалисту следует доказывать и показывать свой вклад в общее дело.
Следует видеть разницу между рисками и уязвимостями. Уязвимость — это потенциальная угроза, в случае использования которой будет нарушена конфиденциальность данных или произойдет иной инцидент безопасности. С уязвимостями, безусловно, нужно бороться, однако необходимо учитывать вероятность того, что данная уязвимость будет использована злоумышленниками, то, насколько существенным будет полученный ущерб, и как дорого обойдется устранение уязвимости. А все эти факторы в совокупности как раз и образуют риск.
Чаще всего ИБ вообще невозможно измерить в финансовых показателях. Поэтому под каждый продукт и проект в сфере информационной безопасности стоит подстраивать логическую базу, отвечающую на вопрос: «Какую задачу он решает?». Кроме того, подход к оценке ИБ должен быть системным, внедрение какого-либо решения не только должно повышать эффективность системы защиты, но и избавлять от реальных рисков и угроз, иначе это «безопасность ради безопасности». Для этого нужно верно оценить два параметра: потенциальный ущерб и вероятность реализации угрозы. К сожалению, эффективность инвестиций в безопасность можно оценить только постфактум, поэтому обоснование выделения ресурсов это всегда напряженная борьба бизнеса и ИБ. Но если вы сделали правильный выбор с учетом всех рисков, а после сможете продемонстрировать с помощью хороших показателей, что ваш выбор окупился, то в будущем будет намного легче убедить руководство в необходимости расходов на безопасность.
ИБ-департаменты не существуют автономно. Они являются частью компании и должны работать на ее благо, функционируя слаженно с остальными ветвями бизнеса. Несмотря на все противоречия, если рассматривать ИБ именно в таком контексте, то бизнес и безопасность станут компаньонами, а не противниками.