К сожалению, перегибы в области информационной безопасности действительно могут остановить бизнес. Однако недооценка информационной безопасности может нанести еще больший урон.
Специалисты по информационной безопасности нередко считают, что все данные и приложения должны быть закрыты, и чем меньше пользователей имеют к ним доступ, тем надежнее они защищены. Бизнес хотел бы, чтобы все необходимые ему данные и приложения были бы для него доступны в любое время и из любой точки. Как правило, если компания придерживается политик информационной безопасности, побеждает позиция «защитников» информации.
Согласно наблюдениям Кирилла Керценбаума, руководителя группы консультантов по информационной безопасности (ИБ) компании Symantec, когда у компании открыто слишком много данных, она может стать жертвой собственной глупости, а когда слишком много информации закрыто, то из-за излишней «интеллектуальности» она также может потерять свой бизнес: «Этими доводами пользуются сотрудники служб ИБ. Я сталкивался в своей практике с той точкой зрения, что лучше перестраховаться, чем недостраховаться, так как в последнем случае бизнес несет двойные риски (репутационные, судебные, неустойки и пр.)».
«Бизнес делают сотрудники — корпоративные пользователи, и им должно быть удобно работать. Получение дополнительных прав доступа и разрешений на работу с данными может серьезно снизить эффективность компании. Именно поэтому в области ИБ, как и в любой другой, необходимо найти баланс. В конечном итоге именно безопасность должна работать на бизнес, а не наоборот», — считает Илья Шабанов, руководитель аналитического центра InfoWatch.
Михаил Кондрашин, руководитель центра компетенций компании Trend Micro в России и СНГ, объясняет эти противоречия гораздо проще: «Если специалисты по безопасности рассказывают бизнес-руководству «страшилки» и предлагают закупить всякие средства защиты и заблокировать все, что только можно, то в результате рано или поздно эти меры помешают нормальному ведению бизнеса. Если же производится взвешенный анализ рисков с учетом особенностей моделей и процессов бизнеса компании, то безопасность не станет помехой».
Эта точка зрения кажется вполне логичной, пока не прозвучат два следующих каверзных вопроса. Первый: как обоснованно, убедительно и не слишком затратно провести «взвешенный анализ рисков»? Не секрет, что на практике приходится сталкиваться с тем, что причиной конфликта бизнеса и информационной безопасности является как раз отсутствие единого понятия ущерба для компании. В этом, по мнению Михаила Калиниченко, генерального директора компании S.N. Safe&Software, кроются причины излишних инициатив безопасников или расхлябанность коммерсантов: «Службы ИБ должны понимать, в какие затраты выльются те или иные меры безопасности. В качестве примера рассмотрим ситуацию с кражами в магазинах. Кражи можно уменьшить, наняв больше охранников. Очевидно, что общие затраты на оплату их труда должны быть заметно меньше совокупного ущерба от краж, в противном случае подобные защитные меры отрицательно повлияют на финансовые показатели магазина».
В большинстве компаний подобная оценка возможных потерь отсутствует, в результате чего расходы на реализацию излишних защитных мер оказываются выше, чем возможные потери. Свою лепту в это вносят и производители ПО. Например, стремление заблокировать все USB-носители на всех комьпьютерах, безусловно, оправданно с точки зрения борьбы с утечками, но может настолько усложнить переговоры на выезде, что приведет к потере прибыли. «Как это ни банально, но лучший способ оценки любых инициатив в бизнесе — постараться и плюсы, и минусы оценить в деньгах», — считает Калиниченко.
Есть и второй вопрос: вступление в силу с января 2010 года требований закона о защите персональных данных откроет широкую дверь для сомнительных предложений. В условиях различных трактовок закона, инструкций и нормативных документов, выпущенных с запозданием, бизнес-сообщество не всегда понимает, как обезопасить свой бизнес от претензий со стороны регуляторов и сохранить его в законном поле. На этом фоне уже появились компании, которые обещают решить все задачи в области ИБ, в том числе защитить персональные данные. По мнению Керценбаума, это, как правило, продукты, которые не просто закрывают все утечки, но, во-первых, могут блокировать все данные и приложения, а во-вторых, сделают разрозненными взаимосвязанные информационные системы.
Влияние ИБ на мобильность
ИТ-архитектура (особенно в крупных компаниях) инертна, «монументальна», следовательно, трансформировать информационные системы в соответствии с изменившимися приоритетами бизнеса не всегда удается быстро. Требования корпоративных политик и регламентов в области ИБ могут только усложнить задачу адаптации ИТ-инфраструктуры.
Кондрашин полагает, что не стоит разделять защиту и адаптацию ИТ под требования бизнеса. «Традиционно ИБ старается защитить то, что есть, и не допускать изменений. Ключ к успеху — в привлечении специалистов по ИБ к планированию внедрения новых технологий».
Вне всяких сомнений, любые инициативы в области информационной безопасности компании должны осуществляться в соответствии с принципами разумной достаточности и экономической целесообразности. Виктор Сердюк, генеральный директор компании «ДиалогНаука», считает, что одним из наиболее эффективных методов, позволяющих определить необходимые и достаточные меры защиты, является оценка рисков ИБ, значение которых рассчитывается исходя из вероятности успешного проведения атаки на ресурсы системы, а также возможного ущерба, который может быть нанесен: «Вероятность угрозы определяется службой ИБ с возможным привлечением внешней консалтинговой компании, а возможный ущерб — бизнес-подразделениями, которые являются собственниками информационных активов. Таким образом, мы получаем сбалансированную оценку текущего уровня защищенности компании».
Проблема в том, что разделение между службами ИТ и ИБ в фирме приводит к жесткому стремлению каждой из них достичь своих целей. И может получиться так, что предлагаемые службой ИБ решения и управленческие инициативы либо будут недостижимы, либо негативно отразятся на состоянии информационных ресурсов предприятия (например, существенно снизится доступность информации).
Олег Зайцев, главный технологический эксперт «Лаборатории Касперского», предлагает рассмотреть проблему на конкретном примере флэш-накопителей: «Типичная инициатива служб ИБ — запретить их применение и блокировать USB-порты на всех ПК. С одной стороны, решение службы ИБ оправданно — на ПК не попадут вирусы, сотрудник не вынесет на «флэшке» важные сведения, а с другой — такая инициатива практически полностью парализует возможность работать с документами дома и передавать необходимые данные партнерам. Главная ошибка состоит обычно в том, что руководство либо прислушивается абсолютно ко всем инициативам службы ИБ или сторонних консультантов в этой области, игнорируя возражения со стороны ИТ-подразделений и собственных сотрудников компании, либо, наоборот, игнорирует рекомендации службы ИБ, заявляя, что безопасность подождет».
Защиту следует начинать с того, что бизнес, именно бизнес, выступающий в роли заказчика ИБ, должен определиться с тем, какие характеристики информационных ресурсов для него важны (естественно, из тех, которые можно оценить). Заказчик должен четко сформулировать цели и их значимость.
По мнению Зайцева, самая распространенная ошибка, когда перед подразделениями ИТ, ИБ и бизнес-сотрудниками ставятся настолько разные, противоречивые цели, что попытка их достижения приводит к конфликтам и перекосам: «Например, приглашаются консультанты по ИБ и им обрисовываются только цели и задачи обеспечения безопасности. Не стоит удивляться, если предложенное консультантами решение не будет учитывать остальные цели и проблемы».
Важно, чтобы решений, предложенных консультантами по ИБ, было несколько, и чем больше альтернативных предложений, тем лучше. К поиску возможных решений необходимо привлечь по возможности большее число экспертов.
Далее необходимо оценить достижимость каждого предложенного решения. «Этот этап позволяет отбросить правильные, но заранее недостижимые решения. Если подобная оценка не производится, то грамотные предложения «зависают» без поиска альтернатив. Например, для защиты информации служба ИБ предлагает закупить систему резервного копирования, хранящую резервные копии в особом защищенном хранилище. Решение отличное, но денег на закупку такого решения может не быть, — поясняет Зайцев. — Необходимо оценить влияние решения на характеристики ресурсов и на цели, причем, что очень важно, данную оценку должны вести все заинтересованные эксперты: представители служб ИБ, ИТ, руководители подразделений. Подобную операцию несложно выполнить путем анкетирования и последующей обработки мнений экспертов, и тогда немедленно выявятся конфликтные моменты. Нельзя принимать во внимание мнение только одной стороны».
Важно отметить, что подобная процедура необходима как при решении задач ИБ, так и при решении задач ИТ, тем самым исключается другая проблема, состоящая в том, что служба ИТ, решая поставленные перед ней задачи, совершенно не учитывает вопросы безопасности или учитывает их недостаточно хорошо. Равно как и наоборот, когда, стремясь выполнить задачи обеспечения ИБ, специалисты совершенно не учитывают других особенностей ИТ.
Аналогичным образом можно оценить компетенции консультантов и специалистов ИБ. Грамотный специалист начнет рассматривать варианты и оценивать их, не очень грамотный будет действовать по-другому — выдвинет только одно решение и займет бескомпромиссную позицию («или так, или вообще никак»).