Бизнес и ИБ: сотрудничество или противостояние?

Роман
Кобцев

Директор департамента развития и маркетингакомпании “ЭЛВИС ПЛЮС"

1. ИБ, с одной стороны, давно стала неотъемлемой частью деятельности любого предприятия, а с другой стороны, по-прежнему страдает от остаточного принципа внимания к ней со стороны руководства бизнеса. Однако если даже бизнес-процесс напрямую не генерирует денежные потоки, это не значит, что он не способствует росту бизнеса.

Пару лет назад компания Ernst & Young провела исследование, как компании-лидеры управляют рисками в целях повышения эффективности деятельности. Выяснилось, что компании-лидеры рассматривают конкурентоспособность как способность предприятия в заданных условиях добиться бизнес-показателей выше, чем у конкурентов. И были выделены три основных группы факторов, помогающих организации улучшить бизнес-показатели:

1. Снижение уровня риска.
2. Создание добавленной стоимости.
3. Сокращение затрат.

Таким образом, можно сделать смелое предположение, что через снижение уровня риска ИБ способствует росту бизнеса предприятия.

2. ИБ-специалистам нужно всегда помнить: что бы мы там о себе ни думали, бизнес всегда будет обращать первостепенное внимание исключительно только на бизнес-риски. Поэтому сложно доказать бизнесу, что риски реализации киберугроз так же важны, как риски доступа к кредитам или риски медленного восстановления экономики. Исследования той же Ernst & Young в сфере бизнес-рисков показывают, что риски, связанные с реализацией угроз безопасности информации, или IТ-риски редко попадают в ТОП-10 бизнес-рисков (из нескольких десятков отраслей только в трех такие риски попали в ТОП-10). Если я не ошибаюсь, это были телеком, банки и разработка новых технологий. Вот в этих отраслях, я думаю, и нет особых проблем с убеждением бизнеса в необходимости снижения IТ-рисков и принятия мер кибербезопасности. Во всех остальных отраслях безопасникам чаще всего придется доказывать связь киберугроз с ущербом бизнесу. И такие меры, как демонстрация наличия уязвимостей и вероятности возможных атак, могут повлиять только на уровень управленцев той же IТ или ИБ, а доказать топ-менеджеру, почему 10 лет у него ущерба от киберугроз не было, а сейчас вдруг произойдет, будет непросто. В любом случае, нужно попытаться максимально показать влияние современных вызовов ИБ на бизнес-риски организации, если есть карта рисков предприятия, или усредненно, на примере ТОП-10 бизнес-рисков отрасли, если управление рисками не формализовано. И не нужно бояться того, что не всегда можно применить количественные методики.

Если оценка качественная, это еще не значит, что она не дает объективной картины. К примеру, если мы видим дождь, выходя из дома, мы не рассчитываем количество воды, которая может проникнуть к нашему телу, процент снижения его температуры и сумму убытков в рублях от возможной неработоспособности, а также коэффициент вероятности всего этого – мы просто берем зонт. И незнание точных показателей совершенно не мешает нам жить в данной ситуации.

3. Такие вопросы, конечно, нужно детализировать: что имеется в виду? В любом случае за все риски несет ответственность генеральный директор. А дальше можно долго рассуждать, кто должен отвечать – IТ-директор или служба безопасности, – или должно быть создано специализированное подразделение. Все зависит от масштабов предприятия и особенностей его рода деятельности.

4. Производители средств безопасности, конечно, заинтересованы в первую очередь в сбыте своих продуктов, но сказать, что они только берут на испуг, нельзя. Таким способом долго на рынке не продержишься. В enterprise-сегменте такие номера вообще чреваты, потому что покупатель, как правило, очень хорошо разбирается в вопросе, кроме того, может заказать экспертизу у конкурирующей организации для проверки на объективность. В потребительском сегменте, может, и можно продвигать свои продукты страшилками, но, на мой взгляд, В2С рынок у нас пока еще только на стадии созревания, и потребители не особо заморачиваются безопасностью (антивирус есть – и ладно). Конечно, в отношениях производителей и потребителей в нашей отрасли, может, и не всегда все гладко, но пока все-таки отношения лежат в плоскости общения равных профессионалов по сути вопроса, а не "выстраивания позитивных отношений с брендом" и др. маркетинговым фоном из жизни потребительских рынков.

5. Требования регуляторов в этой сфере были, есть и будут всегда, и наш рынок не самый зарегулированный, это мировые практики. Кроме того тенденции последних лет – это стремление государственных структур (преимущественно силовых) к усилению регулирования частного сектора в сфере ИБ. И это и в США, и в Европе. Другое дело, как это делать… l

Павел
Головлев

Начальник управления безопасности информационных технологий ОАО “СМП Банк"

1. Риск – это неотъемлемый атрибут бизнеса. Оценить его может только сам бизнес. На эту тему замечательно высказались создатели CyberSecurity Index Mukul Pareek и Daniel Earl Geer, Jr.: "Для того, чтобы быть действительно полезным, любой показатель безопасности должен удовлетворять, по крайней мере, двум требованиям:

1. Риск-менеджеры должны быть в состоянии использовать эту цифру для хеджирования рисков;
2. Инвесторы должны иметь возможность принять измеренный риск и получить большую прибыль по сравнению с теми, кто отказывается от этого риска".

2. Вопрос не совсем корректный. Доказать необходимость защищаться вообще от всего невозможно. Необходимо определить цели бизнеса, объекты защиты и актуальные угрозы. А также выбрать из возможных защитных мер те, которые снижают риск до приемлемого уровня с наименьшими затратами. Для этого необходимо уметь отвечать на вопрос: "Почему?" – и задавать вопрос: "Зачем?"

3. Вообще-то – все сотрудники, но каждый по-своему. Одним достаточно знать и выполнять элементарные правила "компьютерной гигиены", другие должны заниматься стратегическим планированием и ресурсным обеспечением, третьи – быть специалистами в предметной области и решать конкретные прикладные задачи. При этом роль первых ничуть не менее значима, чем остальных.

4. Необходимо понимать, что каждый производитель средств безопасности в первую очередь решает свою бизнес-задачу – получение прибыли. К сожалению, в отношениях с "бизнесом на ИБ" все чаще приходится перефразировать известный тост: "Так выпьем же за то, чтобы наши желания совпадали с их возможностями!"

5. Скажем политкорректнее: "дополнительная операционная нагрузка". Из-за того, что часто подобные требования принимаются на основании "социального заказа", они не всегда соотносятся с реальными рисками.

Так, расходы на реализацию последних изменений в Положении Центрального банка 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" в части усиления мер безопасности для банкоматов и терминалов легко могут превысить годовой ущерб от карточного мошенничества. Но ИБ в этом контексте – достаточно циничная "псевдонаука". То, что является существенным для одного человека или организации, совершенно теряется на фоне общей статистики. Несомненным является одно: сложившееся стремление к чрезмерному регулированию процесса вместо спроса за результат является помехой для бизнеса, каковы бы ни были его явные и скрытые причины. l

Петр
Ляпин

Начальник службы информационной безопасности “НИИ Транснефть"

1. Не буду оригинален. Сложно. И в большинстве случаев индивидуально. Существуют методики и критерии в форме международных и национальных стандартов, рекомендаций и лучших практик. Более частным случаем являются отраслевые методики (как стандарт Банка России). В любом случае, реальные риски бизнес должен оценивать самостоятельно. Бизнес сам ставит себе главную цель – извлечение прибыли. Декомпозирует ее, выстраивая свою функциональную модель, формирует все те процессы, которые и позволяют достичь главной цели. И риски влияния киберугроз должны рассматриваться именно в этом контексте.

2. Не нужно ничего доказывать. Обосновать предложенные меры – да, но не доказывать необходимость. Начинать всегда следует с начала. А начало это, в соответствии с ГК РФ, "самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли…". То есть решение, как жить и жить ли вообще, бизнес принимает всегда самостоятельно. Вот подготовить максимально полную и объективную информацию (по киберугрозам в частности) для принятия решения – это задача ИБ. В том числе информацию о предлагаемых мерах защиты от киберугроз (читай – снижения соответствующих рисков).

3. Важно понимать, что в соответствии с ГК РФ в первую очередь за кибербезопасность предприятия отвечает лицо, которое в силу закона или учредительного документа юридического лица уполномочено выступать от его имени. Дальше по отдельным направлениям ответственность распределяется между подразделениями и работниками предприятия в соответствии с ТК РФ, правилами внутреннего трудового распорядка, трудовыми договорами и должностными инструкциями. Эффективным видится деление ответственности на организационную и обеспечительную части. Первая относится к специалистам в области ИБ, вторая – ко всем работникам, задействованным в бизнес-процессах, которым присущи риски, связанные с кибербезопасностью. Иными словами, как выстраивать управление ИБ в целом, знает только специалист, а выполнять установленные правила ИБ обязан уже каждый работник, так же, как правила пожарной безопасности и охраны труда.

4. И то, и другое, разумеется, присутствует. Соотношение бывает различное, но здесь важно понимать простое исходное положение: производители средств безопасности – это в большинстве своем предприниматели, главной целью которых является извлечение прибыли. И способ извлечения этой прибыли определяется уже не столько безопасностью целевого предприятия и подобными категориями, а, скорее, законами рынка и технологиями продаж.

5. На этот вопрос однозначно не ответить, отчасти верно и то, и другое. Есть объективная действительность, которой просто опасно пренебрегать. Есть и "синтетика". Так, к первой категории можно отнести объективно сложившиеся требования, игнорировать которые ни одному участнику системы нельзя, так как это с высокой степенью вероятности скажется негативно не только на нем, но и на всей системе. Не важно, как субъект выполняет требования, нести ответственность за последствия их нарушения он будет при любых обстоятельствах. Ко второй категории в качестве яркого примера можно отнести такой образец законотворчества, как Федеральный закон "О персональных данных", особенно в его последней редакции. Для понимания вопроса не лишним здесь будет вернуться к исходным положениям Конвенции Совета Европы № 108, где речь, например, идет о защите частных лиц, а не ПДн.