Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Дашборды по ИБ для руководства: КТО, ЧТО и КАКОЕ

Аватар пользователя alukatsk
Автор: Лукацкий Алексей,
(13)
()
Достаточно часто сталкиваюсь с вопросом, который звучит "Как должен выглядеть отчет/дашбоард по ИБ для руководства?" Это немного другая сторона медали, связанной с выходом ИБ на уровень бизнеса, о которой я достаточно часто говорю в последние годы (хотя и не так часто как хотелось бы). Многие вопрошающие считают, что существует некий магический пример отчета или дашборда (разница между этими понятиями не столь большая), который можно скопировать и наступит счастье в общении с руководством, которое сразу должно понять, что безопасность не зря ест свой хлеб и не зря на нее тратят десятки и сотни миллионов рублей. Нередко заданный в начале вопрос сопровождается дополнением - "У нас уже есть SIEM/SOC и нам осталось только правильно расположить виджеты, чтобы получить нужный результат. У вас же в Cisco это сделано. Покажите как?"

Вот об этой проблеме мы сегодня поговорим, но как это часто бывает - никакой серебряной пули не существует и никакого магического отчета нет. Все ситуации уникальны, а потому уникальны будут и дашборды/отчеты, которые могут показать эффективность (или неэффективность) работы службы ИБ или отдельных ее подразделений. Но это не значит, что нет общих рецептов, которым надо следовать, чтобы добиться нужного результата. Для начала стоит понять, в чем корень проблем с визуализацией бизнес-представления ИБ? В разном восприятии. Человек, готовящий отчет (предположим, что он понимает, чем он занимается), слишком погружен в детали. Он считает все данные в отчете или на дашборде важными. Еще бы - он ведь их сам собирал по крупицам и поэтому не может отказаться от чего-то, на что он, возможно, потратил не одну неделю. Руководителю (и не важно какого уровня), в отличие от аналитика, нужны не детали, а общая картина, наглядность. Аналитика волнуют ответы на вопросы классической игры "Что? Где? Когда?", а руководителю нужны ответы на вопросы "Что будет? Что делать?" Отсюда и все проблемы, для устранения которых надо ответить на ряд простых на первый взгляд вопросов, а точнее просто произвести декомпозицию исходной задачи.


Первое с чего стоит начать, с ответа на вопрос "КТО?", который разбивается на две составные части - кто вы и кто ваша целевая аудитория? Первая часть не столь актуальна в небольших организациях, в которых вся ИБ - это 2-5 человек без жесткой иерархии подчинения. В такой ситуации совсем не важно, кто вы; главное, что вы занимаетесь ИБ и вам поручили подготовить отчет или сделать дашборд для руководства. В крупных организациях, в которых служба ИБ насчитывает сотни или даже тысячи человек эта часть вопросам становится уже гораздо важнее. Врядли руководитель отдела СКЗИ или антифрода сможет адекватно подготовить дашборд по деятельности всей службы ИБ - у него своей фронт работ, по которому он и может говорить предметно. Поэтому если вам поручили задачу сделать отчет/дашборд "обо всем" лучше сразу расставить все точки над i. В противном случае вы точно окажетесь виноватым.


Вот вторая часть вопроса "КТО" гораздо важнее. Кто ваш заказчик? Кто будет смотреть на ваш отчет или дашборд? CISO? CSO? CEO? COO? CFO? Иной CxO? С CISO ситуация не так просто как кажется на первый взгляд. Это в небольших организациях руководитель ИБ обычно в курсе всего, что творится у его подчиненных. В крупных, уровня Газпрома или РЖД или Сбербанка, сложно ожидать, что CISO знает все, что находится на 2-3-4 уровня иерархии ниже. Это физически невозможно. Поэтому, получая задачу подготовки дашборда или отчета от своего руководителя ИБ все-таки уточните задачу и получите как можно больше деталей. Мне доводилось слышать такую постановку задачу "Сделайте мне красиво, понятно и чтобы я мог перед предправления отчитаться". Или вот такую: "Вы сами должны знать, что мне надо, я же не зря вам плачу зарплату". Увы, в последних двух случаях вероятность сделать что-то устраивающее вашего "рукамиводителя" невысока. При столь нечеткой постановке задачи это равносильно "пойди туда, не знаю куда, принеси то, не знаю что".

Второй важнейший вопрос - ЧТО. Что нужно вашей целевой аудитории? Какие ключевые показатели ей необходимо показать? Ответ на этот вопрос зависит от ответов на предыдущий вопрос. Понятно, что финансовому директору не интересно число уязвимостей в Web-сайте компании (да и никому не интересно). И среднее время реагирования на инциденты (кстати, среднее арифметическое или медианное?) тоже неинтересно. И эффективность источников Threat Intelligence тоже. Все это внутренняя кухня ИБ, которая в лучшем случае интересна CISO.

Для ответа на вопрос ЧТО, вы должны ответить на третий вопрос - КАКОЕ решение должна принять ваша целевая аудитория? Запустить проект по повышению осведомленности сотрудников? Увеличить инвестиции в проект по приведению себя в соответствие с PCI DSS или 382-П? Инвестировать в защиту Web-сайта от прикладных атак? Обратиться к аутсорсингу ИБ вместо содержания собственной службы ИБ? Увы. Все эти решения не имеют никакого отношения к бизнесу. Это в лучшем случае уровень CISO. Бизнес волнуют совершенно иные вещи и вопросы. Какой канал лучше позволяет привлекать клиентов? Какие регионы/города России наиболее перспективны для географической экспансии? Как снизить издержки и повысить доходность? Как поднять лояльность сотрудников/клиентов/партнеров? Как снизить регулятивные риски? Могут ли ваши дашборды/отчеты помочь ответить на эти вопросы? Скорее всего нет. Но это не значит, что вам не надо общаться с бизнесом и пытаться понять его чаяния. Именно о том, что нужно бизнесу в контексте ИБ и как ИБ влиться в общие бизнес-процессы, будет посвящено два мастер-класса на Магнитогорском форуме по банковской ИБ, которые буду вести я и Дмитрий Мананников уже в следующий вторник. Это важнейшая часть работы ИБ (общение с бизнесом), но выходящая за рамки сегодняшней заметки. В любом случае, независимо от уровня вашей целевой аудитории (CEO или CISO) вы должны понимать, какое решение она должна принять. Отсюда вы поймете, что ей нужно для принятия решения и какие данные вам помогут облегчить принятие решения.

Например, перед вашим CISO стоит задача - искать ли новые источники Threat Intelligence или оставить используемые сейчас? Чтобы принять решение ему нужно ответить на ряд вопросов:
  • Какое соотношение получаемых извне IoC с теми, которые применялись в компании за отчетный период? Ответ на этот вопрос помогает понять, насколько вообще внешние источники помогают вашей организации в обнаружении атак и инцидентов?
  • Какие источники TI наиболее релевантны для организации? Это предыдущий показатель применительно к каждому внешнему источнику.
  • Число индикаторов, полученных от внешнего источника TI с учетом их полезности для организации (полезно при принятии финансовых решений о продлении контракта на TI). 
  • Соотношение количества угроз, пришедших по каналам TI, и не обнаруженных за счет внутренних возможностей (фишинговые сайты, украденные логины/пароли, сайты-клоны и т.п.).
  • Какое количество получаемых извне IoC применялось в компании? Может оказаться вообще, что индикаторы компрометации вы получаете, но не используете, потому что руки не доходят или не знаете, как автоматизировать процесс интеграции внешних источников с вашими средствами защиты/анализа.
Кстати, при оценке деятельности подразделения Threat Intelligence с точки зрения руководителя ИБ, было бы неплохо задать следующие вопросы:
  • Сколько IoC, сформированных службой TI, помогло отразить инциденты в организации (например, на МСЭ, IPS, рутерах и т.п.)?
  • Сколько playbook было создано/обновлено и использовано группой по реагированию на инциденты на основе IoC, сформированных службой TI? 
  • Распределение полученных IoC по типам и соотношение их с типами угроз внутри организации.
  • Динамика снижения числа ложных срабатываний средств защиты после обогащения сигналов тревоги данными от службы TI.
  • Снижение времени (ускорение) на расследование инцидента и реагирование на него за счет обогащения данных об инцидентах данными от службы TI.
  • Соотношение количества обнаруженных угроз средствами защиты организации с данными от службы TI и без них (например, голый IDS в сравнении с IDS + TI или IDS + TI + SIEM).
  • Количество самостоятельно обнаруженных и отреверсенных вредоносов по сравнению с традиционными антивирусными программами (если это функция TI).
  • Количество подготовленных бюллетеней по акторам/угрозам/кампаниям, которые имели отношение к предприятию; особенно тех бюллетеней, которые описывают угрозы, направленные именно на само предприятие, а не веерные угрозы.
  • Количество подготовленных бюллетеней, направленных в ФинЦЕРТ/ГосСОПКУ/иным внешним лицам (если стоит задача awareness и обучения отрасли/индустрии).
  • Участие в стандартизации вопросов обмена информацией об угрозах (если такая тема актуальна для организации).
Ответив на эти три вопроса - КТО ваша целевая аудитория, ЧТО им нужно и КАКОЕ решение они должны принять - вы решите, нет, не 50%, а 80% задачи по созданию правильного дашборда/отчета по ИБ. Про остальные 20% мы поговорим уже завтра.

Кстати, по поводу отличий между дашбордами и отчетами. Дашборд - это регулярно обновляемое визуальное представление наиболее важной информации, сгруппированной на одном экране по смыслу так, чтобы ее можно было легко понимать и принимать на ее основе правильные решения. Я выделил ключевые элементы, присущие именно дашборду:
  • регулярное обновление (поэтому так важна автоматизация)
  • группировка ключевых показателей, позволяющая фокусироваться на нужных данных
  • не единократное действие (принять), а встраивание в процесс (принимать)
  • не визуализация сама по себе, а помощь в принятии решения.
Отсюда, собственно, и видна разница. Дашборд - это почти всегда отчет, но не каждый отчет - это дашборд. Для превращения отчета в дашборд необходимо приложить немало усилий, отвечая на три вопроса, которые описаны в данной заметке. 

ЗЫ. Когда писал заметку, думал нашпиговать ее красивыми примерами дашбордов, но уже в процесс написания отказался от этой идеи. Правильные примеры явяются таковыми только в конкретной ситуации, в конкретной организации, после ответа на поставленные вопросы. Они могут не копироваться в других компаниях при других условиях ункционирования службы ИБ. Да и, положа руку на сердце, таких примеров-то и немного. А вот дурацких примеров в Интернете полно - достаточно ввести в Гугле поиск картинка по ключевым словам report|dashboard security|cybersecurity и вы получили красивые, но абсолютно бесполезные в реальной жизни диаграммы, графики, светофоры, индикаторы и т.п. 
Оцените материал:
Total votes: 114
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя riskmn

Отличная иллюстрация того, что мало кто реально понимает, что такое ИБ для бизнеса! Почему в статье нет конкретики? Да потому, что автор понимает, что практически все, что он может изложить будет тематика ИТ (не ИБ!!!), а что не будет этой тематикой, то будет плодами "больного воодражения по представлению ИБ глазами ИТ - об этом в крайнем абзаче про Гугл).

Разберем по сути:

Абзац 1 - Цель прописана - дашборд для руководителя бизнеса!!! Посмотрим о чем далле

Абзац 2 - Уже начинаются неточности. Не "что делать" интерес топа или владельца, а как получить деньги! остальное - вторично и не интересно!

Абзац 3 - Ни о чем!!! Про аудиторию - смешно, про 2 - 5 человек в ИБ - это позволить могут немногие (думаю, что менее 20 % от всего бизнеса страны), про СКЗИ и фрод - в приличном доме это не проблма ИБ))).... остаются только точки над i ..

Абзац 4 - Если CISO не знает все до "дна" - гнать такого стоит без промедления - чел явно уже занят не тем, чем надо для компании

Абзац 5 - проходной, ни о чем конкретном - можно не читая перейти к шестому.

Жаль, что по теме (дашбоард для топов) пока ничего :-((((((

(окончание далее из-за ограниченй по объему)

up
10 users have voted.
Аватар пользователя riskmn

продолжение

Абзац 6 - просто реклама мастер-классов. А вопрос - что нужно бизнесу - просто наивен (если кто не знает ответ сейчас, то никакие мастер-классы уже не помогут).

Абзац 7 и 8 - "старые песно о главном" - хорошее пособие дл CISO, который не знает что такое ИБ, вышел из ИТ и думает чем оправдать свою ЗП. Все отлично, только какое отношение сие вирши имеют к теме статьи (....дашборды для топов!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!).

Абзац 9 - остальное не требует комментов... особенно изящный перевод темы на завтра)))

З.Ы. - мы вернулись к ссылке на Гугл, что напомнило известнеое выражение - "есть ли жизнь на Марсе, нет ли жизни на Марсе - науку это не интересует.  Ас-са...." в исполнении С, Филиппова в "Карнавальной ночи"

Подождем вторую серию......

up
7 users have voted.
Аватар пользователя alukatsk

Безусловно жалко, Михаил, что вы не делитесь своими знаниями с широкой общественностью и не поворачиваете их вспять с неверного пути, на котором находится 99% специалистов, считающих, что они занимаются ИБ. Так и останутся они в шорах своей предубежденности в правильности того, что они делают.

up
9 users have voted.
Аватар пользователя riskmn

Алексей, если мои слова прозвучали резко - приношу извинения. Мы не первый день знакомы и я к тебе отношусь с уважением. Видимо меня сильно эмоции захлестнули, да и привычка говорить прямо еще осталась...

Ты же знаешь, что не только я занимаю подобную позицию, но это меньшинство и никто его слушать не будет. Пока на Иб будут смотреть как на бизнес (ларек для зарабатывания денег любой ценой) - ничего позитивного не произойдет.

Подскажи, как повернуть 99% если 20 из них - агрессивная часть, кормящаяся с этого "бизнеса", а остальные 80 - идут за первыми в желании заработать денег. Я пытаюсь высказать то, как я думаю и какие проблемы вижу, но этого оказывается МАЛО!!!! Им надо рецепты готовые получить, чтобы не утруждая себя сразу можно было бы считаться Мастером.

Более 10 лет надо "побегать в подмастерьях" чтобы начать хоть что-то понимать в нашей отрасли((( И это будет только 5 уровень из 10!!!!!!! А у нас что, пару коробок с ПО или железок продал - ура - и уже Эксперт по ИБ. Ты же осторожен и разумен - не называешь себя экспертом по ИБ!!! Потому, что понимаешь разницу ИТ и ИБ!!! И Cisco не направление ИБ, но не все это догоняют.

Все кто со мной работал, такие ошибки не допускают. Кто приходит за консультацими - их получают, а с халявщиками - я просто дело не имею (каюсь, что пытался и с ними - думал, что справлюсь) - есть горький опыт....

Я пытаюсь объяснить это не работникам, а владельцам бизнеса и топам. Это их больше должно интересовать. Если они будут верно ориентированы - внизу проблемы исчезнут сами собой.

up
8 users have voted.
Аватар пользователя alukatsk

Да я и не обиделся :-) Просто нет не просто рецептов (хотя было бы неплохо), но и направлений, куда копать. Ведь подмастерье должен смотреть на мастера или Мастера и учиться у него. Но в виртуальном мире это не работает - поэтому нужны разъяснения, рецепты, пошаговые инструкции и т.п. Чтобы человек начал копать...

up
10 users have voted.
Аватар пользователя riskmn

Ты говоришь о школе! Правильно. И только рядом с Мастером можно чему-то научиться. А виртуальность ничего в природе передачи знаний не изменила!!! Хочешь стсать спецом - ищи у кого учиться - езжай и упрашивай принять в ученики - выдеержи испытания - и тогда перед тобой откроют тайны професии. Ничего нового.Так сейчас высшее образование получают (те, кто хочет).

Кто первый догадается из заинтересованных в рельном развитии отрасли - создаст некую "песочницу" для обучения жаждущих - соберет туда спецов (настоящих 9 уровня) - и даст возможность молодежи вытягивать из них Знания и опыт. Для этого ресурс нужен - затраты (поясняю). А учиться у самозванцев - плодить таких же самлозванцев, только еще более низкого уровня.

Почему можно будет собрать только 9 уровня - просто Мастера 10-го не поедут. К ним продется ехать (тем, кто захочет из Знания получить) и жить на их условиях, терпеть и вкалывать..... Как в древности ехали к настоящим Мастерам (от производства оружия или уникальных предметов до владения саблей,копьем или тайными знаниями).

Ничего не меняется.....

up
13 users have voted.
Аватар пользователя alukatsk

Так не бывает :-) Большинство людей - ремесленники, если вспомнить диалог из "Покровских ворот". Им нужен средний уровень знаний и навыков для дальнейшего обучения (или продолжения нахождения на среднем уровне). Ехать и учиться к Мастерам никто не будет. Селяви...

up
8 users have voted.
Аватар пользователя riskmn

Тут я не спорю о том, кто будет ехать и искать, а кто не возьмется. К сожалению сейчас это так (в большинстве случаев). В этом частьобъяснения существующего болота, именн это и определяет низкий уровень подавляющего числа самоназначенных экспертов в ИБ. Получить Знания на халяву, не напрягаясь и ничего не тратя - так не бывает. Так развивается Серость. и да, "таков жизнь"...

Я так никогда не считал (про примат ремесленников или подмастерьев). Не они нужны стране и бизнесу - это не может быть стратегической задачей. Из них Мастера должны появляться, но только рельные, а не ряженные.

Понятно, что большинству это слушать ..... некомфортно,  но это тоже - "такова жизнь".

up
10 users have voted.
Аватар пользователя Александр Германович

А мне вот стало интересно, как это Михаилу с его эмоциональностью удавалось заниматься ИБ в бизнесе, да еще и поднабраться там опыта, которым он никак не может с кем-либо поделиться. Может, это и есть главный секрет "эксперта" по ИБ? "Все знаю, но ничего не скажу!"

up
11 users have voted.
Аватар пользователя riskmn

К сожаления автор на эти вопросы не сможет ответить. Оставлять в воздухе - дерной тон. Пожалуй, возьму на себя смелость дать некоторые комментарии меня касающиеся (это совсем не секретно):

1. Знаете, сам удивляюсь. Но, оказывается эмоциональность несколько раз помогла в трудных ситуациях - когда пытались из сотрудников моего ДКБ сделать "стрелочников". В отличии от "ботаников" это поймет только тот, кто реально создавал с нуля и руководил подразделением ИБ, например, более 40 человке (реальный Департамент Компьютерной Безопасности в реальной компании). О, это не по чужим бумажкам лекции за бабки пересказывать... Хуже, когда кто не попадя от моряков до строителий, от "заклепачников" любых отраслей до программистов - "учат" направо и налево как заниматься ИБ:-(((( И им даже стыдно не бывает.... Чему они могут научить? Как гайки крутить в двигателе или как бумажки по реестру передавать? Таким трудно что-то объяснить. Жаль их, но....

2. А кто сказал, что у меня проблема с "кем-то опытом поделиться?". И близко нет, и я принципиально не отвечаю на вопросы слабопонимающих и незнаек, которые таким образом хотят пополнить свой скудный богаж знанаий (не терплю халявы во всех проявлениях).  

3. "Все знаю, но ничего не сакжу"!!!!! Отличный слоган - возьму на вооружение. Это не позиция эксперта по ИБ - берите выше - это верная позиция Мастера от ИБ, причем  реального 10 уровня. Да, я ее разделяю полностью! Слишком специфическая отрасль в которой мести языком, как помелом, дурная наследственность.

up
7 users have voted.
Аватар пользователя Александр Германович

Слоган дарю, мне не жалко.

Если делиться опытом (и чем бы то ни было) в ваши планы не входит, тогда непонятен смысл ваших опусов. Плакальщиков и "всёпропальщиков" хватает и без вас.  Говроить как все кругом плохо умеет каждый.

А сами опусы еще и удивительно безграмотны чисто грамматически: очень много в них ошибок. Среднюю школу не осилили?

up
10 users have voted.
Аватар пользователя riskmn

А вы не ищите смысл - если он недоступен, то совсем не значет, что его нет. Не утруждайтесь, вам это не догнать, не ваше это поле.

Я не говорю, что все плохо. Плохо то, что подобные вам несут в массы - только это и плохо. Кроме абстракций (словоблудия ни о чем) и эмоций - оот вас, к сожалению,  болше ничего не исходит. Мы таких называли как в "Тайне третьей планеты" - "птица говорун отличается умом и сообразительностью"(@). Злились они очень....))))

Остальное - уход от темы. "Огрызнитесь" что-нибудь в ответ и закроем тему. Пусть крайнее слово будет за вами)))).

up
7 users have voted.
Аватар пользователя Атаманов Геннадий

Александр, на счёт «умеет каждый», по-моему, Вы очень даже погорячились. «Может» и то далеко не каждый. Чтобы увидеть, что всё кругом плохо, нужно иметь: 1) хорошее зрение и 2) правильно работающие мозги. Таких единицы. А, самое главное, нужно иметь смелость это сказать. Обладающих всеми тремя качествами в сфере ИБ – по пальцам одной руки пересчитать. По мне, так вообще только двое. :))

up
7 users have voted.

Рассылка BISA

Подпишитесь на новости информационной безопасности и актуальные статьи экспертов

Ищите нас также:
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.