12 законов всамделишной безопасности
12 ЗАКОНОВ ВСАМДЕЛИШНОЙ КОРПОРАТИВНОЙ БЕЗОПАСНОСТИ
Недавно, прочитав онтологическое исследование общества «Россия - поместная федерация» от Симона Кордонского, я поразился, насколько точно там сформулированы мои ощущения от противоречивости корпоративной жизни в целом и корпоративных служб ИБ в частности. Симон противопоставляет «реальность» (политики и процедуры) и «на самом деле» (практику). В его трактовке политики и процедуры в России всегда противостоят практике, чтобы в образовавшейся «лакуне» (на языке переговорщиков «поляне для торга») было пространство для маневра, а значит и возможность торговаться, договариваться и извлекать финансовую или нефинансовую прибыль.
Источник нашей «лакуны» – практика корпоративной жизни, ведь даже в лучших компаниях противоречий полно. Почему так – сотрудники не знают, исполнители валят на менеджеров, те на топ-менеджеров, а те в свою очередь – на акционеров, т.е. как будто толком не выстроены процессы управления компанией (в клинических случаях я использую термин «корпоративная шизофрения»).
Однако «плохо» управляемые компании как-то растут, зарабатывают прибыль, выходят на новые рынки, и в общем чувствуют себя неплохо, а значит мы чего-то не знаем и есть пространство для исследования и эмпирических опытов.
С помощью концепций Симона Кордонского я обобщил личный и клиентский опыт корпоративных ситуаций – сформулировал 12 законов «всамделишной» корпоративной безопасности. О них не написано в ФГОСах, лучших практиках или security guides, но их понимание изрядно упрощает корпоративную жизнь безопаснику, позволяя достигать большего и легче переносить стресс.
- Безопасность по умолчанию непонятна бизнесу. Умелые безопасники держат непонятность на удобном для них уровне.
- Чем мутнее и толще пачка утвержденных документов по безопасности, тем меньше спорят с безопасником в целом и в частности по бюджетам и выполнению политик ИБ – много читать боятся практически все.
- Чем понятнее деятельность, тем меньше смысла ей заниматься безопасности. Ведь тогда есть риск, что безопасность станет сервисной прозрачной организацией и будет работать в «мыле» - в бэк-офисе.
- Если что-то работает как-либо (особенно если безопасность уже что-то делает), лучше этого не менять. Перемены – враг безопасности.
- Настоящая безопасность живет только под чьей-то «крышей». «Крышей» в зависимости от типа корпоративной культуры могут выступать CEO, регулятор, вышестоящая организация или лучшие практики. А лучше все вместе – «крыши» много не бывает.
- Никто не знает, чем должна заниматься безопасность. А значит, чтобы заниматься хоть чем-то, должна быть веская причина. Желательно в рамках выполнения обещаний «крыше».
- Никто не знает, сколько людей и денег нужно для обеспечения безопасности. А значит их количество ограничено только мощностью «крыши» и толщиной пачки обосновывающих документов.
- Никто не знает, как нужно измерять безопасность. А значит лучшее практически полезное измерение - удовлетворенность «крыши».
- Лучший способ повысить безопасность - ничего не делать. Рано или поздно произойдет аудит или инцидент, и сразу всем захочется повышать безопасность. А без аудита или инцидента никто не будет хотеть, и никакого толку от активности безопасности не будет.
- Дешевая безопасность - плохая безопасность. Так недалеко и до понимания сервисной роли безопасности и даже богомерзского SLA.
- Гибкая безопасность – не лучше дешевой. Для безопасности нет ничего хуже перемен.
- Нет ничего хуже структурированного подхода к безопасности, ведь тогда руководителя службы ИБ можно заменить - процессы-то налажены.
КАК Я ПРОИГРАЛ СДЕЛКУ НА 10 МЛН ИЛИ О СКОРОСТНОМ РЕЖИМЕ В КИБЕРБЕЗОПАСНОСТИ
Пару лет назад я вел пилот одного из ведущих мировых SIEM в B2C-банке ТОП-50 (SIEM A). В Банке уже был другой ведущий SIEM (SIEM B), но мой партнер был дешевле и лучше сочетался с архитектурой ИБ банка (у него было много технологий от того же вендора). За меня было много чего - банк купил у нас антифрод-проект, нас знали на уровнях CSO и CISO, и CSO и CISO были профи и не имели заоблачных требований к SIEM. Банк не хотел платить за поддержку дорогого SIEM B (как раз скакал доллар), у меня была поддержка директора бизнес-юнита ИБ и вендора SIEM A.
Против меня был только один фактор - скорость. Я и моя платформа (работодатель) просто не успевали за процессами Банка. Мы были медленнее во всем - выделении ресурсов, поставке пилотного оборудования, настройке коннекторов и правил, да даже в изьятии оборудования после пилота. В конце-концов, мой личный пайплайн тогда составлял 20 сделок и миллиард рублей - и отчитывался я за каждую.
Хотя определенные косяки были и у Банка (в силу скорости Банк уделял каждому проекту всего по чуть-чуть внимания - сильно разбрасывался), причина провала сделки все же оказалась в разной скорости бизнеса Интегратора и Банка. Банк непрерывно выводил новые сервисы и услуги, боролся за прибыльность, оптимизировал штат, ключевые заказчики генерировали больше половины бизнеса, госконтракты и госкомпании давали еще больше, сокращения были чисто ритуальные (отдали 1-2 человек в паническом декабре 2014).
А через год я закрыл несколько на порядок более крупных сделок - работал с клиентами, что жили на схожей с нами скорости. С B2B госкомпаниями всегда работать принципиально легче - Интегратор принципиально быстрее их, уже они не поспевают за нами, а затормозить всегда легче, чем набрать скорость.
Подобная история в последние пару лет наблюдается чуть ли не у всех бизнесов. Потребители живут на скорости Х, бизнес (так же как и киберпреступность) пытается выжать хотя бы Х-1, служба ИТИБ и игроки рынка ИБ – хотя бы Х-2. Может быть поэтому в последнее время крупные игроки рынка ИБ стали источником целого ряда spin-off’ов (например, Solar Security, Reaxoft, Ангара, Иридис) - новые игроки за счет компактности, большей управляемости и маневренности могут набрать большую скорость и отгрызают контракты у крупняка. А крупняк не больно и сопротивляется, ведь у него все хорошо и проблема скорее в управляемости - миллиардные обороты не всегда сопровождаются устойчивой диверсифицированной структурой бизнеса, непрерывным денежным потоком и «вкусной» маржинальностью (хотя бы на среднем уровне в индустрии).
Из этой истории я вынес простой урок - успех все-таки от слова успевать (например, в сумасшедшем режиме нарушая половину корпоративных регламентов удалось закрыть сделку по IDM за 3 месяца). А при выборе сотрудников / места работы / подрядчиков / клиентов обеим сторонам стоит подумать, совпадают ли ритмы работодателя и сотрудника.