Как сделать ИБ понятной для бизнеса?
Анна Костина
заместитель начальника отдела консалтинга
центра информационной безопасности
компании “Инфосистемы Джет"
Itsec.Ru
В последние годы информационная безопасность стремительно развивается. Столь же быстрыми темпами растет и зрелость руководителей подразделений ИБ. Многие из них сегодня сталкиваются с тем, что ИБ воспринимается как вспомогательный процесс, который не приносит прибыли, но требует дополнительных затрат и ресурсов, выделение которых продолжает происходить по остаточному принципу. При этом у подразделений ИБ отсутствуют механизмы, позволяющие регулярно демонстрировать бизнесу вклад ИБ и отдачу от вложенных в нее средств.
Особенную актуальность на сегодняшний день приобретает следующий вопрос: что может помочь руководителям подразделений ИБ сделать информационную безопасность понятной для бизнеса? Помочь ответить на него, сделать обеспечение ИБ соответствующим требованиям бизнеса и вывести значимость подразделений ИБ на должный уровень может система принятия решений в области ИБ, учитывающая как особенности управления конкретной компанией, так и специфику российского менталитета в целом.
В недавнем прошлом…
Долгое время в качестве такого механизма, позволяющего "развернуть ИБ лицом к бизнесу", рассматривался процесс управления рисками ИБ. И действительно, перспективы открывались многообещающие: появилась возможность говорить об угрозах ИБ и последствиях их реализации на понятном бизнесу языке финансов, демонстрировать, насколько и в какую сторону изменилась ситуация после внедрения мер обработки рисков, получать объективные и, самое важное, воспроизводимые результаты оценки.
Но на самом же деле большинство специалистов столкнулось со сложностями в создании или адаптации под собственные нужды методик анализа и оценки рисков ИБ, в получении количественных оценок и в их "привязке" к финансовым шкалам. А также с высокой трудоемкостью выполнения процесса, вопросами к детализации оценок и их объективности. В итоге многие организации ввиду перечисленных недостатков так и не стали использовать этот процесс.
…и в настоящее время
Сегодня достаточно много говорят о процессе оценки результативности и эффективности деятельности по управлению и обеспечению ИБ. По своей сути, он является инструментом, позволяющим взвешенно и объективно принимать управленческие решения по улучшению мероприятий по обеспечению ИБ. Отслеживание метрик на регулярной основе позволяет выявить реальные и потенциальные недостатки обеспечения ИБ и принять своевременные и обоснованные меры по улучшению ситуации и устранению коренных причин возникших отклонений. Также появляется возможность отследить, как вносимые изменения отражаются на работе системы ИБ в целом, и продемонстрировать, каким образом деятельность по обеспечению ИБ вносит вклад в достижение целей бизнеса.
Таким образом, процесс оценки результативности и эффективности управления и обеспечения ИБ можно и нужно использовать для общения с бизнесом.
Мониторинг эффективности ИБ и бизнес
Залогом успеха процесса оценки эффективности ИБ и достижения им поставленных целей являются непосредственно разработанные метрики. И тут очень важно помнить, для чего они разрабатываются и каким образом будут использоваться. Давайте рассмотрим этот момент более подробно. Для чего мы можем использовать оценку результативности и эффективности ИБ?
В первую очередь ее можно использовать в качестве оперативного и тактического инструмента руководителя подразделения ИБ для того, чтобы отслеживать текущее состояние ИБ, контролировать изменение состояния ИБ за отчетный период, определять узкие места и отклонения в функционировании мер по ИБ (в том числе и причины их возникновения). А также планировать мероприятия по их устранению, формировать отчеты о работе подразделения ИБ для заинтересованных сторон.
Во вторую очередь (а возможно, лучше говорить, что и в первую) этот процесс можно использовать для полноценного общения с бизнесом. Но для этого прежде всего необходимо вооружиться "Принципом земляники со сливками" Дейла Карнеги: "Лично я люблю землянику со сливками, но рыба почему-то предпочитает червяков. Вот почему, когда я иду на рыбалку, я думаю не о том, что люблю я, а о том, что любит рыба". Что имеется в виду?
Когда подразделение ИБ начинает разрабатывать метрики результативности и эффективности ИБ, то какие метрики приходят на ум первыми? Такие, например, как отношение количества устраненных в срок уязвимостей к выявленным уязвимостям и подлежащим устранению, время реагирования на инциденты ИБ (в сравнении с плановым), процент покрытия рабочих станций пользователей антивирусным ПО и т.д. Подобные "технические" показатели, безусловно, важны и нужны, для того, чтобы отслеживать текущее состояние ИБ и работу процессов обеспечения ИБ. Но что они дадут бизнесу? Скорее всего, ничего! Таким образом, показывая результаты мониторинга эффективности бизнесу в таком виде, мы опять столкнемся с непониманием и раздражением.
Но не стоит унывать. Нужно вспомнить вышеупомянутый принцип Карнеги и, вооружившись им, снова проанализировать ситуацию. С одной стороны, имеются технические метрики, отслеживать которые, безусловно, необходимо для оценки текущей ситуации в подразделении ИБ, а с другой – есть бизнес, которому, оценки технических метрик не интересны. Возникает закономерный вопрос: оценка каких метрик наиболее интересна бизнесу? Самые распространенные ответы, с которыми приходится сталкиваться, – степень клиентоориентированности мероприятий по обеспечению ИБ для пользователей, степень защищенности, которая должна выражаться в таких абстрактных величинах, как, к примеру, "насколько спокойно может спать по ночам бизнес-руководство". Финансы и финансовая отдача от внедряемых мероприятий, конечно, тоже часто упоминаются, но абстрактные величины все же занимают лидирующие позиции по количеству упоминаний. Причем, несмотря на общие тенденции, в формулировках этих самых абстрактных величин расстановка акцентов в разных организациях индивидуальна.
Как сделать ИБ понятной для бизнеса
Итак, принимая во внимание все вышеизложенные факты, можно приступать к созданию системы мониторинга эффективности ИБ.
Для того чтобы сделать мониторинг эффективности ИБ инструментом общения с бизнесом, необходимо прежде всего узнать, в какой конкретно информации, касающейся ИБ, нуждается бизнес, что для него является показателем эффективности ИБ, в каких величинах необходимо проводить измерения и какие результаты следует демонстрировать. Скорее всего, бизнес не сможет сформулировать четкие ответы на эти вопросы. Однако полученные исходные данные позволят более точно определить, на что стоит ориентироваться, и что действительно важно и интересно бизнесу.
Далее необходимо разобраться, как перевести на язык ИБ абстрактные пожелания, выраженные бизнесом, и измерения по каким метрикам, в том числе техническим, могут послужить основой для формирования интересных для бизнеса показателей деятельности по обеспечению ИБ.
Например, бизнесу интересно понимать, насколько ИБ в компании клиентоориентирована по отношению к конечным пользователям. В основу такой метрики могут лечь показатели, по которым можно оценить время, затрачиваемое пользователями на работу с теми или иными средствами ИБ или на выполнение требований по ИБ. В этом случае, очевидно, что чем больше времени затрачивается пользователями, тем менее "удобна" для них ИБ. Еще одним основанием для оценки клиентоориентированности ИБ может стать количество зарегистрированных инцидентов или запросов на изменение, связанных с некорректной работой мер по ИБ, и т.д. Подобным образом может быть проанализирована каждая из сфер интересов бизнес-руководства.
При формировании метрик необходимо помнить о следующих моментах:
- для метрик должны быть определены целевые (желаемые) значения и пороговые – при достижении которых необходимо корректировать ситуацию, – а также следует определить частоту измерения значений метрик;
- необходимо четко понимать, какую полезную информацию дает измерение той или иной метрики, действительно ли на основе получаемых измерений можно делать выводы о работе процессов и мер ИБ и достаточно ли этой информации для того, чтобы определить узкие места в обеспечении ИБ;
- следует точно определить, откуда будут браться исходные данные для расчета метрик и каким образом они формируются. Это требуется в том числе для того, чтобы обеспечить объективность получаемых данных и там, где возможно, снизить влияние человеческого фактора;
- должны быть определены способы автоматизации оценки значений показателей эффективности, что необходимо для обеспечения оперативности выполнения процесса и возможности получать (и демонстрировать) актуальную картину в любой момент времени.
Внедрение такой продуманной системы мониторинга эффективности ИБ позволяет: оценивать соответствие ИБ ожиданиям бизнеса, эффективность расходования средств на информационную безопасность, оценить и продемонстрировать деятельность подразделения ИБ в целом (в последнем случае система мониторинга позволяет наглядно и понятно продемонстрировать бизнесу деятельность по обеспечению ИБ). Также система мониторинга ИБ предоставляет возможность планировать развитие системы обеспечения информационной безопасности в краткосрочной и долгосрочной перспективе, отслеживать эффективность внедряемых мер по обеспечению ИБ и оценивать изменения уровня защищенности компании, контролировать состояние ИБ на регулярной основе. Иными словами, система мониторинга ИБ может помочь вывести значимость подразделений ИБ на должный уровень и обеспечить качественный диалог с бизнесом.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2012