Многие, наверное, помнят сказку о скорняке и его жадном клиенте. В ней скупой купец приходит к скорняку, приносит овечью шкуру и просит сшить из неё шапку. Когда мастер соглашается, клиент меняет задачу и требует уже не одну, а целых семь шапок. В результате купец получает свой заказ, но есть нюанс: готовые изделия по размеру напоминают скорее напёрстки, чем головные уборы.
Сейчас уже не узнать, когда именно родилась эта старая армянская сказка, которая и сегодня до неприличия правдива и актуальна. Она применима и к сфере информационной безопасности, бурлящей ситуациями, почти дословно повторяющими этот древний смешной сюжет.
«А что мы, собственно, хотим защищать?» — вот важнейший вопрос, который обязательно должен быть задан при построении системы безопасности. При этом типичное его обсуждение между сотрудником, ответственным за ИБ, и высшим руководством обычно проходит так:
— А что мы должны защищать?
— Всё!
— Хорошо. Для этого потребуется выделить много-много ресурсов и серьёзно поменять существующие бизнес-процессы.
— Нет, мы не можем себе такого позволить, это дорого. Готовы дать одну десятую часть от запрошенного бюджета и полтора землекопа в придачу. И то много будет.
— Тогда нам нужно пересмотреть стратегию, потому что на весь периметр этого не хватит.
— Нет, это неприемлемо, защищайте всё!
— Но тогда нужно больше ресурсов!
— Ресурсов не дадим.
— Тогда уменьшайте требования!
— Нет, защитить нужно всё.
Перед нами запущенный случай корпоративной шизофрении — распространённого заболевания, не позволяющего руководству принять тот факт, что наша сова на предложенный глобус ну никак не натягивается. Нужно либо купить птицу побольше, либо избрать меньший целевой диаметр сферы. И в выборе второго варианта нет ничего плохого или неестественного: мы ведь не ожидаем, что, купив автомобиль «Победа», сможем и по дорогам на нём ездить, и по пустыне, и даже небольшой океан переплыть. Нет — все ясно понимают, что для таких планов нужно совсем другое транспортное средство (а скорее всего, целый их парк).
То же самое и с информационной безопасностью: лишь обозначив адекватный выделенным ресурсам периметр, можно требовать от подразделений ИБ достижения поставленных целей. Это обязательно нужно учитывать при разработке стратегии защиты. Нет денег на собственный SOC в режиме 24/7? Значит, нужно рассматривать вариант закупки круглосуточного сервиса MDR или же организации работы по схеме 8/5, но с чётко осознаваемым риском не успеть вовремя среагировать на угрозу. Нет денег ни на что вообще, кроме одного специалиста ИБ? Значит, надо принять суровую реальность, что любая атака вряд ли вообще будет обнаружена, и уделить больше внимания стойкости ИT-инфраструктуры и резервному копированию.
К сожалению, внятная оценка рисков и адекватное планирование целей и задач подразделений ИБ всё ещё не входят в список самых популярных и распространённых компетенций высших эшелонов руководства компаний. Кто в этом виноват —вопрос сложный, эволюционный и, по сути, не такой уж и важный. А вот что делать — вопрос более практический: руководители направлений ИБ должны чётко понимать пределы возможностей своих подразделений и стараться сдерживать бесконтрольный рост зоны их ответственности. В идеале хорошо бы добиться того, чтобы каждая новая задача и новый объект защиты сразу закладывались в бюджет.
Будем же надеяться, что со временем корпоративная шизофрения излечится или хотя бы уйдёт в ремиссию и системы защиты перестанут наконец походить на группу странных меховых напёрстков на замерзающем теле компании.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных