Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

ИБ для бизнеса: как продать невидимку

Алексей Лукацкий, бизнес-консультант по безопасности Cisco Systems

Если бы меня спросили, каким словом можно определить секрет успешной «продажи» ИБ руководителям компании, я бы ответил: декомпозиция. Именно она дает возможность понять, из каких частей состоит основная задача предприятия, оценить затраты на любой, даже самый крупный, проект. И именно она позволяет выявить вклад ИБ в тот или иной бизнес-процесс, выпуск продуктов либо организацию услуг, которые и приносят компании доход. Однако безопасники зачастую не умеют «продавать» свои услуги, оценивая их эффективность в терминах, понятных бизнесу. Другими словами, они не умеют делать ИБ «видимой» для бизнеса.

 

Задним числом

История первая. Крупный банк решил предложить клиентам новые возможности системы дистанционного обслуживания. Ранним утром обновленный Интернет-банк начал работать. И что же увидели некоторые из клиентов после входа в систему? Почему-то вместо их счетов на экране демонстрировались данные совершенно других пользователей. Банк оперативно отреагировал на звонки раздосадованных клиентов, решив вернуть прежнюю систему ДБО на то время, пока специалисты будут разбираться в случившемся.

В банке были уверены, что эта история не станет причиной серьезных проблем, поскольку с доступом к чужому счету столкнулись лишь примерно полтора десятка человек из сотен тысяч клиентов. Однако на следующий день газета федерального масштаба вышла с заголовком на первой странице «Низкая защищенность вынудила банк уйти из Интернета». Следующие несколько дней показали, что репутационный ущерб банка может исчисляться вполне конкретными семизначными числами в долларовом эквиваленте. Только тогда прежние рекомендации ИБ-службы, твердившей, что следует уделить больше внимания безопасности ДБО, были услышаны, и банк выделил ресурсы на соответствующие меры.

История вторая. В декабре 2014 г. Сбербанк России пережил беспрецедентную атаку на его клиентов. Они получали сотни тысяч SMS с предупреждением о том, что выданные Сбербанком карты Visa скоро перестанут обслуживаться. Были вбросы и в социальных сетях: говорилось, что Сбербанк столкнулся с проблемами ликвидности и не в состоянии выдавать деньги. Клиенты, мгновенно сориентировавшись, побежали изымать свои депозиты. Около 300 млрд руб. – такой оказалась цена хорошо спланированной информационной атаки, следы которой, по заявлениям представителей Банка России, вели на украинские Интернет-ресурсы. И вновь бизнес вспомнил про безопасность пост-фактум, затеяв расследование произошедшего.

История третья. Мировой автогигант готовился поразить рынок своим инновационным автомобилем, напичканным самой современной электроникой. В стремлении первым выпустить такую машину и завоевать основную долю рынка производитель не уделил должного внимания ПО бортового компьютера и другой ИТ-начинке, обеспечивающей работу мультимедиа- и навигационной систем, а также взаимодействие с внешним миром с помощью специализированных датчиков (получение данных о трафике, движущихся впереди и сзади автомашинах и реагирование на динамично меняющуюся картину).

На выставке в Детройте новинка произвела фурор, и автогигант подписал множество договоров с дилерами, обязавшись поставить им в конкретные сроки определенное количество автомобилей. Потирая руки, топ-менеджер компании отмахнулся от паренька, который ошивался рядом со стареньким ноутбуком и говорил о каких-то дырах, эксплойтах, хакерах и прочей ерунде. И только когда пришлось отозвать за свой счет первую партию автомобилей (опять-таки за свой счет), выплатить дилерам компенсации за срыв сроков поставки и получить массу нелицеприятных высказываний от клиентов, журналистов и коллег, руководители компании поняли, что напрасно недооценивали риски ИБ.

 

Если бизнес не идет к ИБ, то…

Итак, мы рассмотрели три реальных случая, в которых задачи ИБ удостоились внимания бизнеса лишь после произошедшего и после многомиллионных потерь. Почему же руководители компаний не прислушались с самого начала к мнению ИБ-специалистов и не привлекли их к решению бизнес-задач?

На прошедшей недавно конференции в ответ на этот вопрос последовала «классическая» реплика безопасника: «Бизнес нас не понимает!». Да, это так – бизнес ничего не смыслит в безопасности. Впрочем, он не знает и тонкостей изготовления сортов кофе, но довольно легко тратит на него деньги, а ИБ финансирует по остаточному принципу.

Дело в том, что ИБ в случае хорошей работы никому не видна. Возникает парадокс. Служба информационной безопасности работает «на отлично», а руководство вопрошает: «Зачем мне ИБ, если у меня и так все хорошо?». Если же ИБ-подразделение работает спустя рукава, вирусы атакуют систему, данные утекают, серверы простаивают из-за DDoS-атак, то руководители опять-таки недоумевают: «Зачем мне ИБ, если от нее – никакого толку?».

А должен ли бизнес понимать задачи и методы информационной безопасности так же, как понимает, что такое – возврат инвестиций, инвестиционные портфели, расчет себестоимости и маржинальности? Хотелось бы, чтобы дело обстояло именно так, но на практике – все иначе. Бизнес относится к непрофильным функциям своего предприятия (таким как ИБ) немного свысока, не сильно погружаясь в их суть.

Однако сама по себе ситуация с мертвой точки не сдвинется. И если бизнес не идет к ИБ, то сама ИБ должна обратиться лицом к бизнесу.

Как служба информационной безопасности оценивает эффективность своей работы на предприятии? Фиксируются число обнаруженных вирусов, количество выявленных атак, уязвимостей, непропатченных узлов и неудачных попыток входа в систему, время простоя из-за DDoS-атак… Все это важно и нужно, но не бизнесу – он оперирует совершенно иными понятиями. Основу бизнес-лексикона составляют такие финансовые показатели, как ROI, NPV, PbP, Cash Flow, ставка дисконтирования, IRR, CapEx, OpEx, риск-аппетит, а еще – термины «лояльность», «доверие к бренду», «репутация», «себестоимость», «географическая экспансия» и пр. И именно в этих терминах необходимо описывать ИБ при взаимодействии с бизнес-руководителями.

Разумеется, службе информационной безопасности не надо отказываться от подсчета отраженных атак, предотвращенных утечек и пропатченных узлов, от определения того, насколько уменьшилось время реагирования на инциденты… Вот только с бизнесом нужно говорить не о том, что все плохо, а о том, что именно сделано для того, чтобы стало хорошо. Кого, например, интересует число обнаруженных атак, если всего одна из них, пробившись сквозь защиту, может нанести огромный ущерб компании? И гораздо важнее числа непропатченных узлов отношение количества таких узлов к числу всех узлов в сети организации. Если безопасник хочет поднять свой статус и получить необходимые ресурсы, ему надо научиться общаться с бизнесом на его языке и оценивать свою эффективность в терминах достижения бизнес-целей.

 

Примеры декомпозиции

Пример 1. Руководство компании ставит перед безопасником задачу уменьшения бюджета подразделения на 15%. В этом случае говорить на языке бизнеса достаточно просто: надо либо сократить людей, либо минимизировать закупку средств защиты информации, либо отказаться от каких-либо внешних ИБ-услуг. Цель достигнута? Да! Но не пострадала ли при этом защищенность предприятия?

Пример 2. В условиях сокращения предприятием издержек служба ИБ может перейти на лизинговую модель приобретения решений по обеспечению безопасности. Такие продукты ставятся на баланс лизинговой компании, а не покупателя, при их использовании улучшаются финансовые показатели, снижаются капитальные затраты (CapEx), переходя в операционные (OpEx), да еще и четко прогнозируемые. Все сформулировано в терминах бизнеса? Да! Изменения эффективны? Безусловно.

Пример 3. Одной из задач безопасника является борьба с внутренними и внешними угрозами. Эта задача малопонятна бизнесу, который занят другим – всеми силами пытается уменьшать свои потери. Но ведь потери могут возникать… вот неожиданность, именно из-за реализации внутренних или внешних угроз. Например, мошенники встречаются среди продавцов, клиентов и контрагентов. Если ИБ будет, опираясь на суммы предотвращенных или реальных потерь, ссылаться не на мифических хакеров, которых никто не может поймать, а на реальных мошенников, манипулирующих данными в информационных системах, то бизнесу станет понятна роль ИБ.

Пример 4. Компания предоставляет какие-то услуги. Задачами бизнеса в данном случае являются, в том числе, рост доверия клиентов, их лояльности и увеличение доходов с каждого из них. Способна ли ИБ-служба помочь в решении этих задач? Если бы речь шла о банке, действующем за пределами России, то служба ИБ могла бы предложить департаменту по работе с клиентами продавать дополнительные средства защиты – например, вместо обычных токенов с ключами электронной подписи, которые можно украсть, предлагать доверенные средства отображения подписываемых платежных поручений (в России такая деятельность банка запрещена законом). А в телекоммуникационной компании ARPU (среднемесячную выручку на одного абонента) можно увеличить, предложив клиентам услугу «чистого» Интернета или «родительского контроля».

Эти примеры показывают, что разбиение крупной задачи на составные части позволяет перейти от неопределенности к очевидным операциям, которые легко просчитываются.

Пример 5. Дает ли ИБ какой-то вклад в систему курьерской доставки товаров, заказываемых через Интернет? Несомненно. Достаточно понять, какие задачи стоят перед этой системой, и выделить те, которые имеют отношение к информационной безопасности:

- идентификация, аутентификация и авторизация клиентов;

- обеспечение доступности сайта на уровне «пяти девяток», в том числе защита от атак типа «отказ в обслуживании»;

- защищенный прием платежей по банковским картам (защита информации карты, защита от подмены данных о сумме платежа, получателе и отправителе при вводе сведений в формы сайта);

- защищенное хранение информации о доставке (кому, куда и что) и профиля клиента (особенно если он включает в себя данные платежных карт);

- гарантированное своевременное предоставление информации о заказе всем использующим ее сотрудникам предприятия и самому клиенту.

По отношению к системе Интернет-банкинга можно указать и такой подпроцесс, как проверка электронной подписи получаемых платежных поручений.

И все это – только «технический» вклад ИБ в процессы и задачи, которые, на первый взгляд, с информационной безопасностью связаны мало. А если сюда добавить столь любимые безопасниками, но не всегда понимаемые бизнесом требования законодательства (защита персональных данных, коммерческой и банковской тайны и т.п.), то вклад ИБ станет еще большим.

 

Контакт с бизнесом

Проведя декомпозицию, мы увидели, что информационная безопасность действительно влияет на бизнес-процессы и проекты, запускаемые на предприятии. А озвучивание этой информации означает 50–70% успеха при демонстрации своей нужности бизнесу.

Дальше надо оценить совокупную стоимость владения выявленными ИБ-компонентами, которая складывается из затрат на ПО и «железо», на персонал и услуги. Наконец, пора перейти к более тесному и доверительному контакту с бизнесом. Имея на руках описание своего места в бизнес-процессах и его стоимостных характеристик, можно предметно обсуждать с владельцами компании, намерены ли они платить за ИБ в полном объеме, урезать какие-либо из выявленных задач или вовсе отказаться от услуг ИБ. При этом в диалоге нелишне напомнить бизнесу, что предприятие и так платит за предоставляемые ему услуги (за электричество, воду, аренду помещения, курьеров, логистику, кофе, туалетную бумагу), но эти расходные статьи «размазываются» по всем «зарабатывающим» подразделениям.

Итак, при оценке эффективности какой-либо деятельности с точки зрения бизнеса самое главное – определить размер своего участия в том или ином бизнес-процессе, проекте или инициативе. Это – залог успеха. Решив данную задачу, можно приступать к измерению самой эффективности, которая является отношением результативности к оптимальности достижения цели. И если при определении эффективности ИБ с точки зрения ИБ-службы можно говорить об уменьшении числа утечек, простоев и т.п., то на уровне бизнеса следует оперировать именно бизнес-терминами и оценивать вклад ИБ в контексте высокоуровневых бизнес-задач.

 

Оцените материал:
Total votes: 124

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.