ИБ-консалтинг 2.0

В рубрике «Под маской» мы публикуем откровения Розенбота об особенностях консалтига информационной безопасности, но сегодня он говорит от имени заказчика этих услуг.

Рынок информационной безопасности – уже не тот, каким он был пять-десять лет назад. Пресловутые «шашечки» все чаще сменяются действием «ехать», внедряются системы, выстраиваются соответствующие процессы и процедуры. И сейчас, как никогда раньше, актуальной становится область менеджмента информационной безопасности. Купить и внедрить систему уже недостаточно: для достижения установленных ключевых показателей эффективности требуется простроить процесс, а главное – обеспечить его работоспособность.

Однако уровень компетентности многих ИБ-специалистов и руководителей «на местах» нередко оставляет желать лучшего. Если специалист умеет настраивать антивирусное ПО (как мы помним, именно с этим навыком долгое время ассоциировалась деятельность в области информационной безопасности) и закрывать порты на сетевом оборудовании, то это вовсе не означает, что он сможет быть грамотным управленцем в сфере ИБ. Для выстраивания полноценной системы менеджмента информационной безопасности приходят на помощь те, кого принято называть консультантами.

Мальчики от консалтинга

Область консалтинга в ИБ-сфере с каждым днем становится все популярней. Теоретически, эти люди должны знать, как надо и как не надо что-либо делать, иметь реальный опыт внедрения ИБ-технологий и процедур, разбираться во всех тонкостях и нюансах того или иного проекта, наконец, в возможных проблемах. Но это – в идеале. На практике в команде консультантов обычно имеются лишь один-два сильных игрока, и вам повезло, если именно они будут участвовать в вашем проекте. А остальные, как правило, являются вчерашними студентами, мальчиками и девочками без какого-либо опыта реализации проектов в области ИБ.

При этом вполне допустимо, если сотрудники с небольшим опытом участвуют в проектах, но только если их работу полностью контролирует сильный «ментор». А если не контролирует? Тогда возможны два варианта развития событий. Первый – сам представитель компании-заказчика работ имеет опыт, достаточный для того, чтобы «вытянуть» проект и оправдать вложенные средства. Правда, возникает вполне справедливый вопрос: а зачем ему тогда консультирование? Второй вариант – неопытность команды консультантов приводит проект к провальным результатам или результатам «для галочки». Разработали, внедрили, отчитались, а то, что это не работает как следовало бы, – проблема специалистов заказчика.

Лучшее – враг хорошего

Другая проблема – «чрезмерное консультирование». В этом случае консалтинговые компании не решают конкретные проблемы и задачи заказчиков, а навязывают множество  услуг, побольше и подороже, да еще с большим количеством недешевых средств защиты информации. Цель понятна – есть бюджет, и важно его застолбить.

Скоуп подобных консалтинговых проектов размывается на несколько лет, работы начинаются, но, как ремонт, не всегда заканчиваются. А что уж говорить о реальных результатах, ценность которых можно измерить! И если ИБ-сотрудники компаний-клиентов не обладают необходимым пониманием того, что и как должно делаться, всецело доверяясь консультантам, то очень часто их ожидает разочарование.

Дом без фундамента

Еще один пример – умышленно или по неопытности недооцененный ИБ-уровень компании-клиента. Предположим, в компании еще практически не выстроены базовые ИБ-процессы, а уже планируется внедрить что-то более высокоуровневое – тот же SIEM как крайне необходимое средство мониторинга и профилактики, чуть ли не панацею от всех ИБ-болезней. При этом отсутствуют процессы управления лог-файлами журналов регистрации событий, картина того, какие лог-файлы, как и из каких систем собираются, продолжительность хранения, сценарии использования и их полезные корреляции, отдельно выделенные роли и задачи офицеров мониторинга…

В результате установленная система выдает 100 500 событий и еще столько же различных корреляций. Цели ее использования далеко не прозрачны, полезность применения абсолютно не понятна, как и то, в чем и по каким индикаторам измерять эффективность работы процесса. И так происходит повсеместно.

Немного прагматики

Как в своих проектах избежать подобных проблем? Рекомендации достаточно банальны:

– необходимо осознавать, что установить «железку» или написать «бумажки», пусть и правильные, еще не достаточно. Требуется создать полноценный процесс;

 – нужно больше внимания уделять планированию проекта, вместе с консультантами  тщательно разрабатывать этапы, их цели, определять решаемые задачи, достигаемые результаты, критерии их оценки и способы измерения;

 – наконец, следует регулярно повышать уровень своей ИБ-компетентности, и тогда многие вопросы (например, своевременность проводимых консалтинговых работ в соответствии с уровнем зрелости компании, их состав, продолжительность) отпадут сами собой.