Что такое результативная информационная безопасность? Как меняются подходы к определению эффективности ИБ? С чего начать, если руководство хочет выполнить такую оценку?
Введение
Эксперты в студии AM Live поговорили о результативной информационной безопасности — о том, как её оценить и превратить в эффективный инструмент работы компании, а также о том, как перевести ИБ из области затрат в область комфортного взаимодействия с менеджментом.
Рисунок 1. Эксперты в студии Anti-Malware.ru
Спикеры прямого эфира:
- Михаил Стюгин, руководитель направления автоматизации информационной безопасности, Positive Technologies;
- Алексей Петухов, руководитель отдела по развитию продуктов, InfoWatch ARMA;
- Роман Чаплыгин, директор по консалтингу, «РТК-Солар»;
- Андрей Абашев, начальник управления инноваций в ИБ, «Норникель Сфера».
Ведущий и модератор дискуссии — управляющий директор «Газпромбанка», эксперт в области кибербезопасности Артём Калашников.
Как оценивать результативность ИБ
Что является целью и результатом работы для ИБ-службы организации
Алексей Петухов:
— Информационная безопасность — это определённая культура компании, показывающая её уровень зрелости. Если ею правильно пользоваться, она может стать дополнительным источником выгод для компании.
Алексей Петухов, руководитель отдела по развитию продуктов, InfoWatch ARMA
Михаил Стюгин:
— Безопасность — это условие существования системы, которое позволяет ей выполнить свою основную функцию. Недопустимые риски — это как раз и есть те условия, которые мешают компании. Основная цель безопасности состоит в том, чтобы эти риски никогда не были реализованы.
Роман Чаплыгин:
— Мы, безусловно, должны ставить целью и результатом исключение недопустимых событий. Измерить результат можно одномоментно в виде киберучений, а в динамике — с помощью выплаты вознаграждений (bug bounty) по недопустимым событиям. Есть также инструменты по оценке зрелости процессов, ключевые индикаторы (KPI), параметры эффективности и другие инструменты.
Роман Чаплыгин, директор по консалтингу, «РТК-Солар»
Андрей Абашев:
— Результат — это мера достижения поставленной цели. Эффективность ИБ позволяет измерить, насколько быстро и оптимально мы к этому результату пришли. Можно добавить ещё термин «экономичность» — имевшиеся до начала активности или проекта ИБ ресурсы против затраченных для достижения результата.
Согласно проведённому опросу зрителей AM Live, большая часть из них (65 %) оценивают результаты работы ИБ в своей компании. 24 % этим не занимаются, а 11 % не в курсе.
Рисунок 2. Оцениваете ли вы в своей компании результат работы ИБ?
Как оценивать показатели работы отдела ИБ
Для измерения результата компания должна сначала дорасти до определённого уровня зрелости в плане обеспечения безопасности. ИБ сегодня должна пониматься как инструмент развития компании, который повышает скорость и управляемость процессов, даёт эффект экономии. В таком разрезе, по мнению экспертов, результат можно измерять деньгами. Ещё один показатель — это возможность / невозможность реализовать недопустимое событие.
При этом, как отметил Андрей Абашев, не стоит путать неприемлемые риски с неприемлемыми последствиями этих рисков. Более того, когда речь идёт о последствиях, компании должны заботиться не только о контрольных и превентивных мерах, но и о корректирующих.
Андрей Абашев, начальник управления инноваций в ИБ, «Норникель Сфера»
Кто больше заинтересован в оценке такой эффективности: бизнес или сама ИБ?
Эксперты сошлись на том, что оценка эффективности должна происходить на всех уровнях: сам ИБ-отдел и топ-менеджмент. Конечный же результат оценивает бизнес. При этом с бизнесом нужно говорить на его языке и рассказывать о результате в денежном выражении — например, о том, сколько удастся сэкономить при внедрении тех или иных ИБ-решений. ИБ должна быть финансово выгодна организации. Если же она по итогу затратна, то соответствующий процесс в компании выстроен неэффективно.
При финансовом измерении рисков их можно представить, например, в виде недопустимой для снятия со счёта хакерами суммы. Если она превышает 20 % годовой выручки, то реализация этого риска может драматически повлиять на компанию. По мнению Михаила Стюгина, недопустимые риски в денежном эквиваленте можно оценить после интервью с топ-менеджментом, который обозначит суммы. Это те риски, которые определяемы для бизнеса.
Согласно итогам опроса, 28 % российских компаний оценивают эффективность работы ИБ по отсутствию инцидентов. С таким же взглядом зачастую сталкиваются и присутствовавшие в студии эксперты. В снижении рисков оценивают эффективность ИБ 21 % опрошенных, а ещё 19 % — в уровне защищённости. 12 % зрителей измеряют эффективность работы ИБ деньгами, 2 % — выполнением требований регулятора. 18 % респондентов не нашли подходящего ответа.
Рисунок 3. В чём вы оцениваете эффективность работы ИБ?
Как повысить эффективность ИБ
Затраты на ИБ и страхование рисков
Для развития кибербеза в крупной компании необходимо вкладывать примерно 1,5 % от годовой выручки в течение трёх лет. Эксперты отметили, что крупные компании настроены на долгосрочные, стабильные отношения с ИБ-вендорами и продавцами ИБ-услуг. Соответственно, компании предпочитают стабильно вносить фиксированные платежи, заложенные в бюджет.
Это подтверждают и результаты проведённого опроса: 39 % зрителей хотят оплачивать ИБ-продукты планомерно по подписке. Четверти респондентов удобно вносить платёж единоразово, 9 % предпочитают оплачивать ИБ по достижении результата. 27 % опрошенных согласны на любой вариант.
Рисунок 4. Как вам было бы удобно оплачивать продукты и услуги ИБ?
Ведущий дискуссии Артём Калашников затронул тему страхования рисков. Существуют репутационные, финансовые и другие риски. Финансовые измерить проще, репутационные — гораздо тяжелее. Чаще всего, когда речь идёт о выплатах по страхованию рисков, имеется в виду покрытие расходов на маркетинг, но не прямые выплаты каких-то фиксированных сумм на счёт компании. Эксперты также отметили, что все риски застраховать просто невозможно, как и дать все гарантии. Однако определённые риски или события можно предупредить.
Управляющий директор «Газпромбанка», эксперт в области кибербезопасности Артём Калашников
При этом, согласно нашему опросу, 40 % компаний готовы больше инвестировать в ИБ, если им будет гарантирован результат. Ещё 33 % полагают, что гарантии должны быть без всяких доплат, а 27 % считают, что это зависит от формы гарантий.
Рисунок 5. Готовы ли вы больше инвестировать в ИБ, если вам будет гарантирован результат?
С чего начать, если руководство хочет оценить эффективность ИБ?
По словам Михаила Стюгина, в первую очередь необходимо определить перечень недопустимых событий. Далее они накладываются на возможные сценарии их реализации, выделяются ключевые сервисы и системы и проводится верификация этих событий.
Михаил Стюгин, руководитель направления автоматизации информационной безопасности, Positive Technologies
Эксперты также обсудили влияние последствий обнаружения уязвимостей при проведении программ Bug Bounty. С одной стороны, топ-менеджмент может оценивать этот стресс-тест как репутационный риск. С другой — это само по себе является результатом: то, что компания в принципе вышла на такое испытание, служит показателем высокого уровня обеспечения ИБ. Кроме того, успешный поиск брешей — это в конечном итоге тоже показатель защищённости, а не уязвимости.
Итоги эфира
Финальный опрос зрителей AM Live показал, что 42 % участников эфира не убедились в необходимости оценивать результаты ИБ. Четверть опрошенных не поняли темы беседы. Ещё столько же — готовы внедрять подход по измерению результатов в ИБ. Наконец, 8 % считают, что определять эффективность ИБ — это хайп.
Рисунок 6. Что вы думаете о результативной ИБ после эфира?
Выводы
Использование инструментов по обеспечению ИБ в долгосрочной перспективе начинает приносить компании прибыль, то есть ИБ постепенно становится органической частью бизнеса. Запросы на результативность кибербеза как раз и формирует сам бизнес, и он же со временем всё больше вовлекается в плоскость обеспечения информационной безопасности.
Проект AM Live на этом не останавливается. Уже на следующей неделе эксперты отрасли снова соберутся в студии и обсудят острые темы российского рынка информационной безопасности. Будьте в курсе трендов и важных событий. Для этого обязательно подпишитесь на наш YouTube-канал. До новых встреч!