Журнал "Information Security/ Информационная безопасность" #4, 2020

чтобы предсказать риски от их исполь- зования. 1. Следует избегать посредников в вопросах информационной безопасности Топ-менеджмент должен знать непо- средственно от руководителя службы ИБ о гипотетической возможности взло- ма компании, о требованиях и рекомен- дациях регуляторов, которые позволили бы избежать взлома с нанесением ущер- ба компании. Принципиальность – качество, которое необходимо руководителям служб ИБ. Либо докажи свою правоту, любо уходи из компании. При этом руководитель должен, помимо знаний, обладать ком- муникативными навыками, чтобы влиять на других. 2. Снизить зависимости киберустойчивости компании от знаний и навыков людей, обеспечивающих эту киберустойчивость У компаний много структурных про- блем. К сожалению, пока не получается создавать цифровые сервисы и автома- тизированные системы, полностью защи- щенные от человеческого вмешатель- ства. А те системы, которые работают сейчас и в которых человеческий фактор сведен, казалось бы, к минимуму, уязви- мы из-за своих размеров, сложности применяемых технологий и необходи- мости постоянных обновлений этих систем, то есть внесения изменений. Безопасность должна стать внутрен- ней культурой бизнеса. Когда получается интегрировать безопасное использова- ние цифровых технологий с существую- щими навыками сотрудников (как при- мер – двухфакторная аутентификация), тогда это влияет на ИБ компании силь- нее любого курса повышения осведом- ленности в вопросах ИБ (хотя с обучения, то есть с узнавания нового, все и начи- нается). Для обнаружения новых угроз службе ИБ нужны автоматизированные инстру- менты. Усилия ИБ должны подкреплять- ся технологическими решениями, кото- рые способны самостоятельно расстав- лять приоритеты при выстраивании защиты от внешних и внутренних ИБ- угроз. 3. Компании атакуются способом, не предусмотренным их моделью угроз Атакующие найдут то, что плохо защи- щено (читай не предусмотрено моделью угроз). Модель угроз – это только базо- вый сценарий защиты. Поиск решений по повышению киберустойчивости ком- пании начинается с признания топ- менеджментом существующих проблем, угрожающих информационной безопас- ности компании, и принятия решения о последовательном сокращении рисков и готовности признать, что какие-то про- блемы всегда остаются. 4. В ИБ важно ориентироваться не на вероятность события, а на масштаб последствий Служба ИБ "пугает" руководителей, рассказывая им то, чего они не знают. Она заставляет их чувствовать себя не в свой тарелке, смущая их сведе- ниями и примерами, которые ломают их представления и показывают в новом свете действия, которые они совершали, ни о чем не задумываясь и не попадая в беду. Служба ИБ раз- рушает то, что в глазах большинства в компании безотказно работало без каких-либо нареканий. Каждая система имеет уязвимые места, но это не означает, что систе- му нельзя защитить. В большинстве случаев предусмотренные заранее механизмы безопасности позволят решить проблему. Задача ИБ – совместно с ИТ выявить слабые и сильные стороны в защите инфра- структуры компании и провести структурные реформы, предоставив руководству веские обоснования серьезных вложений в инфраструк- туру и средства защиты. 5. Побочные эффекты ИБ От безопасности всегда есть побочные эффекты: l про "налог на безопасность" написано выше; l за высоким забором безопасности "жизни не видно"; l система мониторинга безопасности не может прерывать высокорисковые процессы и при этом не создавать допол- нительные риски для бизнеса; l структурные дефекты службам ИБ в одиночку не исправить, ненадежная, устаревшая ИТ-инфраструктура исправ- ляет их сама, когда что-то из ее элемен- тов самоуничтожается; l руководство компаний устает выслу- шивать от служб ИБ бесконечные "нужно", "мы должны" и "нам следует". Чем чаще ИБ пытается предупреждать топ-менеджмент (представителей физи- ческого мира) о возможных ИТ- и ИБ- рисках, тем больше они склонны их игнорировать; l с компромиссами во взаимоотноше- ниях ИТ и ИБ большие проблемы; l может наступить момент, когда ИБ- служба уже не столько работает, сколь- ко объясняет остальным в компании, что она делает или что собирается сделать. Эти постоянные разъяснения изнуряют; l ежедневный стресс от корпоратив- ных тревог по поводу защищенности компании от старых и новых угроз и уязвимостей в течение долгого вре- мени приводит к выгоранию сотрудни- ков служб ИБ; l оповещения от систем защиты игно- рируются из-за того, что ранее пред- упреждения от этих систем приводили только к ложным срабатываниям, а также из-за банальной усталости пер- сонала; l инструкций становится все больше, а сотрудников, занимающихся реальной безопасностью, – все меньше. Почти в каждой компании старше пяти лет существует целый набор архаичных про- цедур, установленных для соблюдения давно забытых правил. 6. Надо уметь "продавать" топ-менеджменту идеальную модель безопасной компании Для службы ИБ в компании важно стремиться "продавать" не функцию ИБ, а идеальную модель безопасной к внешним и внутренним угрозам ком- пании, к которой эта компания неми- нуемо приближается, следуя рекомен- дациям всех заинтересованных в этом сторон. В реальности управление рисками ИБ – это всегда баланс между разумным и достаточным, и, неверно определив этот баланс, вы неминуемо теряете в безопасности. l • 33 АВТОМАТИЗАЦИЯ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru