Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог
«Маска» Розенбота
В рубрике «Под маской» мы публикуем откровения Розенбота об особенностях консалтига информационной безопасности, но сегодня он говорит от имени заказчика этих услуг.
Рынок информационной безопасности – уже не тот, каким он был пять-десять лет назад. Пресловутые «шашечки» все чаще сменяются действием «ехать», внедряются системы, выстраиваются соответствующие процессы и процедуры. И сейчас, как никогда раньше, актуальной становится область менеджмента информационной безопасности. Купить и внедрить систему уже недостаточно: для достижения установленных ключевых показателей эффективности требуется простроить процесс, а главное – обеспечить его работоспособность.
Однако уровень компетентности многих ИБ-специалистов и руководителей «на местах» нередко оставляет желать лучшего. Если специалист умеет настраивать антивирусное ПО (как мы помним, именно с этим навыком долгое время ассоциировалась деятельность в области информационной безопасности) и закрывать порты на сетевом оборудовании, то это вовсе не означает, что он сможет быть грамотным управленцем в сфере ИБ. Для выстраивания полноценной системы менеджмента информационной безопасности приходят на помощь те, кого принято называть консультантами.
Мальчики от консалтинга
Область консалтинга в ИБ-сфере с каждым днем становится все популярней. Теоретически, эти люди должны знать, как надо и как не надо что-либо делать, иметь реальный опыт внедрения ИБ-технологий и процедур, разбираться во всех тонкостях и нюансах того или иного проекта, наконец, в возможных проблемах. Но это – в идеале. На практике в команде консультантов обычно имеются лишь один-два сильных игрока, и вам повезло, если именно они будут участвовать в вашем проекте. А остальные, как правило, являются вчерашними студентами, мальчиками и девочками без какого-либо опыта реализации проектов в области ИБ.
При этом вполне допустимо, если сотрудники с небольшим опытом участвуют в проектах, но только если их работу полностью контролирует сильный «ментор». А если не контролирует? Тогда возможны два варианта развития событий. Первый – сам представитель компании-заказчика работ имеет опыт, достаточный для того, чтобы «вытянуть» проект и оправдать вложенные средства. Правда, возникает вполне справедливый вопрос: а зачем ему тогда консультирование? Второй вариант – неопытность команды консультантов приводит проект к провальным результатам или результатам «для галочки». Разработали, внедрили, отчитались, а то, что это не работает как следовало бы, – проблема специалистов заказчика.
Лучшее – враг хорошего
Другая проблема – «чрезмерное консультирование». В этом случае консалтинговые компании не решают конкретные проблемы и задачи заказчиков, а навязывают множество услуг, побольше и подороже, да еще с большим количеством недешевых средств защиты информации. Цель понятна – есть бюджет, и важно его застолбить.
Скоуп подобных консалтинговых проектов размывается на несколько лет, работы начинаются, но, как ремонт, не всегда заканчиваются. А что уж говорить о реальных результатах, ценность которых можно измерить! И если ИБ-сотрудники компаний-клиентов не обладают необходимым пониманием того, что и как должно делаться, всецело доверяясь консультантам, то очень часто их ожидает разочарование.
Дом без фундамента
Еще один пример – умышленно или по неопытности недооцененный ИБ-уровень компании-клиента. Предположим, в компании еще практически не выстроены базовые ИБ-процессы, а уже планируется внедрить что-то более высокоуровневое – тот же SIEM как крайне необходимое средство мониторинга и профилактики, чуть ли не панацею от всех ИБ-болезней. При этом отсутствуют процессы управления лог-файлами журналов регистрации событий, картина того, какие лог-файлы, как и из каких систем собираются, продолжительность хранения, сценарии использования и их полезные корреляции, отдельно выделенные роли и задачи офицеров мониторинга…
В результате установленная система выдает 100 500 событий и еще столько же различных корреляций. Цели ее использования далеко не прозрачны, полезность применения абсолютно не понятна, как и то, в чем и по каким индикаторам измерять эффективность работы процесса. И так происходит повсеместно.
Немного прагматики
Как в своих проектах избежать подобных проблем? Рекомендации достаточно банальны:
– необходимо осознавать, что установить «железку» или написать «бумажки», пусть и правильные, еще не достаточно. Требуется создать полноценный процесс;
– нужно больше внимания уделять планированию проекта, вместе с консультантами тщательно разрабатывать этапы, их цели, определять решаемые задачи, достигаемые результаты, критерии их оценки и способы измерения;
– наконец, следует регулярно повышать уровень своей ИБ-компетентности, и тогда многие вопросы (например, своевременность проводимых консалтинговых работ в соответствии с уровнем зрелости компании, их состав, продолжительность) отпадут сами собой.