Природа ИБ

Рассуждая о том, кто должен отвечать за ИБ-риски на предприятиях, я вспоминаю статью Р. Г. Коуза «Природа фирмы». В ней рассматривается, почему экономическая модель не сведется к существованию одного предприятия или, наоборот, каждая операция внутри фирмы не будет представлена как независимый бизнес. Казалось бы, при чем здесь ИБ? Очень даже при чем, поскольку речь идет о построении экономической модели проекта внедрения ИБ в компании.

Создание модели угроз всегда «стоит денег». А добираясь до конкретных мер, регламентов и технических средств, используемых для снижения рисков, мы, как правило, получаем весьма существенные бюджеты. Как же мы прежде жили без всех этих мер и регламентов? Мне кажется, самый правильный ответ на этот вопрос – нужно воспринимать проект обеспечения ИБ в компании как самостоятельный бизнес, способный продемонстрировать свои состоятельность и рентабельность.

Проектами внедрения ИБ-проектов в компаниях занимаются «айтишники» (администратор, ИТ-директор и его команда) и «безопасники» (сотрудники, отвечающие за взаимодействие с госрегуляторами и за внутренний аудит). Рассмотрим, каковы их задачи и особенности работы.

Забывчивые «айтишники»

Основными заботами ИТ-специалиста являются внедрение/поддержание информационных систем, настройка доступа к ним, аудит действующих систем, настройка сетевого оборудования и др. Вся деятельность «айтишника» имеет прямое отношение к информационной безопасности, и он, как никто другой, разбирается в технических аспектах ИБ внедренных систем.

Понятно, что рано или поздно у среднестатистического «айтишника» возникают желания карьерного роста, расширения зоны влияния в компании, освоения новых технологий или получения дополнительного заработка за счет внедрения тех или иных решений. Тогда он рассказывает страшилки бизнесу и при благоприятном развитии событий получает бюджет.

В таких случаях сложно ожидать экономической целесообразности проекта ИБ и полноты покрытия проблем, связанных с ИБ. «Айтишник», как правило, сфокусирован на безопасности информационных систем и «забывает» о том, что ИБ – более широкое понятие.

Упомяну один случай. Крупнейший вендор, который фокусируется на обеспечении безопасности, был вынужден приобрести зарубежную компанию по завышенной цене. Почему? Его эксперты, приехав в другую страну для оценки технологий, размещали в соцсетях сообщения с геотегами. В этой стране была лишь одна компания, интересовавшая вендора с точки зрения покупки. То, что в стране собрались сразу несколько экспертов вендора, позволило инвесторам этой компании предположить – вендор очень хочет ее приобрести. Инвесторы вздули цену продажи, и вендору пришлось согласиться с их условиями.

Эту ситуацию можно определить как нарушение информационной безопасности, повлекшее за собой значительную потерю в деньгах. И то, что эксперты-«айтишники» не учли рисков, связанных с социальными факторами, говорит о многом: как правило, ИТ-специалисты увлечены технологиями и не учитывают другие обстоятельства.

Как-то мне довелось побывать в офисе ИТ-компании, разрабатывающей ПО в области ИБ. Двери там открываются по пропуску, на проходной – охранник… Но, пройдя по коридору 5 метров, вы увидите открытую дверь в серверную комнату, где хранятся все наработки предприятия. Физический доступ к сердцу компании позволяет временно парализовать ее работу, а то и вовсе вытеснить с рынка, но офицеры безопасности почему-то не расценивают этот риск как существенный.

Вогнутое зеркало «безопасника»

Как правило, классический ИБ-специалист не может похвастать глубокой технической экспертизой в ИТ-технологиях, но имеет более комплексный подход к обеспечению ИБ. Он убедит руководство том, что дверь в серверную комнату должна постоянно оставаться закрытой, озаботится внедрением в компании регламентов, тщательно описанных в документации, и введением профилактических мер.

Мой друг был владельцем довольно крупной компании. В разговоре с ним выяснилось, что, увольняясь из этой компании, сотрудник-продавец обычно уносит с собой клиентскую базу. В ответ на мое удивление друг пояснил, что хотя кража клиентской базы и наносит урон бизнесу, гораздо важнее обеспечить сотруднику комфорт в работе. И такое решение мог принять только владелец бизнеса!

В средние века бизнес обычно строился на основе секрета, который строго охранялся и передавался только избранным. А недавно я узнал о старом секрете рисования «фотографических» портретов: с помощью вогнутого зеркала изображение проецировалось на холст, а художник его просто обводил. Тайна метода тщательно охранялась гильдией художников, и этот бизнес сошел на нет лишь после изобретения фотоаппарата. Уверен, классический «безопасник» идеально вписывается в такую модель бизнеса, и его регламенты позволяли бы минимизировать риски и в прежние годы.

ИБ-проект как бизнес

Можно приводить в пример много сценариев, однако общее между «айтишником» и «безопасником» – их сфокусированность исключительно на внутренней безопасности. Но ведь информационная безопасность этим не ограничивается, нужно ориентироваться на более широкий спектр задач!

Предположим, ваша компания торгует модулями памяти для компьютеров – они закупаются в Китае и продаются в России. Маржа продаж ничтожна мала, и любые ценовые колебания могут повлиять на бизнес. Поступает информация о том, что на заводе в Китае произошло ЧП, и поставки модулей сократятся, а цены вырастут. Как поступить – приобрести память по текущей цене? Но если, на самом деле, на заводе не было ЧП, а, наоборот, открылась новая линия? Значит, память подешевеет, и, купив модули сейчас, вы прогадаете. Получается, что бизнес зависит от информации, и эта часть ИБ не подпадает под компетенции ни «айтишника», ни «безопасника».

В отличие от прошлых веков бизнес стал гораздо динамичнее и подвижнее. Бизнес-модели быстро меняются под влиянием новых технологий и глобализации экономики. Основатель бизнеса находит свою нишу, и только он является в ней экспертом и знает, что для него критично, а что нет. Следовательно, только он может принимать на себя риски.

Отметим, в определенном смысле меры по обеспечению информационной безопасности тормозят бизнес. Я позволяю сотрудникам иметь доступ к почте с мобильных устройств, чтобы они работали эффективнее, или обеспечиваю развитие бизнеса неординарными способами, но с точки зрения безопасности все это – риски.

Еще один пример. За последнее время компания Tesla Motors и ее модель конфиденциальности сильно изменились. От средневекового подхода «скрой свои знания для обеспечения успеха бизнеса» Tesla Motors перешла к модели открытого доступа к патентам. Ее основатель заявил, что компания хочет увеличить конкуренцию с электромобилями, а за счет этого снизить конкуренцию с бензиновыми автомобилями. Результат себя ждать не заставил, и цена акций Tesla Motors за 1,5 месяца выросла на 5%. К слову, решение основателя компании неизбежно должно было шокировать ее офицеров безопасности.

На мой взгляд, классические подходы к оценке рисков и построению модели ИБ подходят для медленно меняющегося бизнеса или компаний со средневековой моделью ведения дел. Смогли бы мы достигнуть нынешнего уровня прогресса, если бы ученые не делились друг с другом знаниями? То же справедливо и для бизнеса. Потребитель получит высокое качество продуктов и услуг лишь в том случае, если информация о них будет открытой. А такие подходы требуют от бизнеса построения новых ИБ-моделей.

Мы часто забываем, что информационные технологии и ИБ являются инструментами эффективного ведения бизнеса, и не больше. Потому-то мне и нравится идея воспринимать ИБ-проект как бизнес, чей «основатель» отвечает за его ведение и должен доказать состоятельность проекта – заранее показать компании, как, потратив на внедрение некую сумму, можно заработать бОльшую.


Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.