В кибербезопасности легко застрять в «режиме пожарного»: тушишь инцидент за инцидентом, закрываешь уязвимости, реагируешь на новые требования регуляторов. Работа кипит, но назвать это полноценным развитием сложно — все ресурсы уходят на решение тактических задач. 

Чтобы ИБ-отдел не превращался в «костыльный цех», а работал на рост бизнеса, нужна стратегия развития. Причем не на квартал и не «до следующего аудита», а с горизонтом в несколько лет. С такой стратегией намного проще перейти от бесконечного латания дыр к проактивной защите, которая позволит лучше управлять рисками и убережет компанию от дорогостоящих ошибок. 

В этом материале разберем шесть подходов к построению ИБ-стратегий. Эти модели применяются и в чистом виде, и как основа для гибридных решений. Текст будет полезен как новичкам в кибербезопасности, так и руководителям, стремящимся превратить кибербезопасность из статьи расходов в инвестицию. 

Материал подготовлен на основе лекции, которая входит в нашу программу стажировки для начинающих ИБ-специалистов по потоку «Комплексный аудит». 

Зачем нужно стратегическое планирование в ИБ

Стратегическое планирование — это про долгосрочные цели и понимание, как обеспечить защиту компании не только здесь и сейчас, но и через несколько лет, когда изменятся и ландшафт угроз, и сам бизнес. Оно задает вектор: какие риски считаем ключевыми, какие активы защищаем в первую очередь и какими силами это делаем.

Представим торговую компанию, которая работает офлайн, но планирует наладить онлайн-продажи и запустить собственный маркетплейс. Это потребует от бизнеса организации облачной инфраструктуры с онлайн-серверами или даже создания отдельного ЦОД-а. Безопасники должны пересмотреть модель угроз компании, продумать ИБ-архитектуру, подобрать дополнительные средства защиты уже на этапе идеи будущего маркетплейса. Думать об этом, когда на носу запуск площадки, поздно.

Перед тем как планировать что-то новое, нужно разрушить старое оценить текущее состояние ИБ-процессов. Согласитесь: нельзя прокладывать маршрут к цели, представляя отправную точку на уровне «мы где-то здесь».

Шесть стратегических подходов, о которых пойдет речь ниже, помогают компаниям:

• заранее адаптироваться к изменениям;

• предвидеть будущие угрозы ИБ;

• разумно распределить ресурсы; 

• расставить приоритеты в защите.

Теперь рассмотрим подробнее, что это за подходы и как они применяются.

GAP-аналитика 

Этот метод строится на сравнении текущего состояния ИБ-процессов с показателями, которые нужно достичь. GAP-анализ помогает определить проблемы или, другими словами, пробелы («gaps»), мешающие добиться желаемых результатов. 

Применение подхода вскрывает дельту между стратегическим планом по повышению кибербеза и объективными возможностями бизнеса. Речь идет о человеческих ресурсах, процессах, технических средствах и многом другом. Как тут не вспомнить тост из бессмертной комедии: чтобы наши желания всегда совпадали с возможностями?

Как это работает

Организационно GAP-аналитика раскладывается на несколько глобальных шагов:

• оценка текущего состояния ИБ-процессов;

• определение их целевого состояния;

• анализ недостатков и областей, требующих улучшения. 

Возьмем для примера управление инцидентами. Сначала ИБ-служба подробно описывает, как этот процесс выстроен сейчас. Затем устанавливается целевое KPI: например, стопроцентное закрытие и расследование всех инцидентов до конца года. По факту выясняется, что показатель выполняется лишь на 70%. Для ИБ-службы это повод задуматься, почему 30% инцидентов не закрываются. 

Дополнительный анализ показывает, что порядка половины всех нештатных ситуаций однотипны. Простой пример: сотрудники постоянно сливают свои данные и становятся жертвами фишинговых атак.

Теперь нужно вскрыть глубинные причины отклонения. В нашем случае это недостаточный контроль поведения персонала в сети. Становится понятно, что ИБ-службе следует обратить внимание на цифровую гигиену и внедрить одну из ITSM-практик — управление проблемами (Problem Management), которое помогает обнаруживать и устранять корни связанных между собой инцидентов. Бинго! Глубинная проблема решена, количество инцидентов резко сократилось, а KPI по их закрытию и расследованию приблизился к заветным 100%. 

В итоге подход позволяет безопасникам лучше понять текущие и будущие потребности, а постановка целей и задач по укреплению ИБ упрощается. Проясняется, почему текущие ИБ-показатели отличаются от целевых KPI.

SWOT-анализ 

Аббревиатура подхода образована от английских слов «Strengths» (сильные стороны), «Weaknesses» (слабости), «Opportunities» (возможности), «Threats» (угрозы). 

Сам перевод акронима дает общее представление о сути методики. Подход оценивает: 

• сильные и слабые стороны ИБ-системы компании;

• возможности для улучшения ИБ (например, новые технологии, нормативные изменения);

• риски и угрозы кибербезопасности. 

Первые два фактора формируются внутри компании, а два последних — во внешней среде. Сильные стороны и возможности рассматриваются в контексте положительного влияния на кибербез, а слабости и угрозы — в контексте отрицательного. 

Казалось бы, некорректно относить угрозы и риски исключительно к внешнему влиянию. Взять хотя бы нарушителей из персонала, которые по неосторожности или даже намеренно сливают чувствительные данные компании. Вот только ни один сотрудник не становится злоумышленником по щелчку пальцев или из вредности: обычно для этого он должен подвергнуться негативному влиянию извне. 

Как это работает 

Представим условную упрощенную картину, которая сложилась по итогам SWOT-анализа.

Сильные стороны: опыт команды, внедренные технологии и СЗИ, регламентированные процессы. 

Слабые стороны: перегруженность ИБ-специалистов, несоблюдение регламентов из-за частых авралов. 

Возможности: усиление ИБ-службы дополнительными специалистами, автоматизация приема заявок к ИБ-отделу с помощью системы service desk. 

Риски: увеличение количества киберинцидентов, утечки чувствительных данных и т. д. 

Подобный четырехсторонний анализ ИБ-процессов вскрывает зоны роста и помогает оптимально выстроить работу. Безопасникам удается комплексно оценить влияющие на ИБ внутренние и внешние факторы, определить стратегические приоритеты. Это могут быть развитие сильных сторон, ликвидация слабых, приумножение возможностей или минимизация рисков.

При SWOT-анализе подробно расписываются подходы и технологии, которые позволяют добиться обозначенных целей. В итоге получается приложить те самые 20% усилий, которые, согласно принципу Парето, приносят 80% результата. 

Методика As is/To be

На первый взгляд методика напоминает GAP-аналитику. As is/To be тоже включает оценку текущей ситуации с кибербезом (As is) и проектирование целевого состояния (To be). Основное отличие в том, что этот подход не акцентируется отдельно на возможностях бизнеса и не учитывает дельты между ними и плановыми показателями. К тому же методика предполагает разработку масштабного программного документа — дорожной карты.

Как это работает 

Для начала нужно определить то самое «As is»: подробно описать текущие процессы ИБ, технологии, документы, политики и процедуры. В ходе такой «всеобщей переписи» всплывают главные проблемы и камни преткновения, будь то отсутствие регламентов, повторяющиеся инциденты и т. д. 

Следующий шаг — разобраться с «To be»: установить целевые ИБ-показатели, необходимые для достижения стратегических целей. Возможный вариант — уже упомянутое стопроцентное закрытие и расследование инцидентов в течение года.

Третий этап — разработка плана перехода от текущего состояния к целевому или, другими словами, той самой дорожной карты. 

Основной плюс подхода в том, что выстраивается понятный маршрут «из пункта А в пункт Б». Это помогает четко спланировать этапы и необходимые ресурсы для внедрения изменений. Вдобавок As is/To be стимулирует безопасников постоянно адаптировать ИБ-стратегию к актуальным потребностям бизнеса. Вспомним пример с запуском онлайн-продаж в компании. Как только на горизонте замаячила подобная перспектива, дорожная карта снова перерабатывается с учетом новых задач и рисков. В такие моменты методика приносит наибольший эффект в сочетании с GAP-анализом. 

SMART

Название подхода — еще один акроним, обозначающий конкретные (Specific), измеримые (Measurable), достижимые (Achievable), актуальные (Relevant) и ограниченные по времени (Time-bound) цели. И снова расшифровка аббревиатуры настолько емкая, что служит полноценным определением методики. 

Отметим, что SMART широко применяется не только в кибербезопасности. Подход давно стал «первой заповедью» при построении стратегических целей в компаниях из разных отраслей. Сложно найти бизнес-литературу, где хотя бы вкратце не упоминается SMART.

Как это работает 

Представим, что компания несет убытки из-за утечек данных из незащищенных каналов коммуникации. Первое, что приходит в голову: надо внедрить DLP-cистему. Вот только такая мера окажется латанием дыр без надлежащего анализа и организационных мероприятий. Здесь-то и приходит на помощь SMART. 

Конкретизация. Для начала нужно переключиться с абстрактных «хотелок» на конкретные, подробно описанные цели и ожидаемые результаты. В приведенной ситуации это внедрение DLP-cистемы и почивание на лаврах контроль над передачей информации по каналам коммуникации и, скажем, снижение количества ИБ-инцидентов на 50%. Столь глобальные цели лучше декомпозировать на подцели и задачи.

Измеримость. Как говорится, семь раз отмерь… Все мероприятия и средства для достижения результатов оцениваются в цифрах, определяются показатели для измерения прогресса и четкие KPI. Как вариант, для защиты каналов коммуникации требуется покрытие 75% автоматизированных рабочих мест (АРМ) компании DLP-системой. Или же очерчиваются конкретные каналы, типы информации и форматы файлов, которые нужно обезопасить. Другой пример — расчет необходимой загрузки ИБ-команды или количества аудитов. 

Достижимость. Это оценка реалистичности поставленных целей. Важно понять, хватит ли бизнесу и ИБ-команде ресурсов для проведения намеченных мероприятий. Оцениваются вычислительные мощности, финансовые возможности компании, человеческие ресурсы. 

Актуализация. На этом этапе анализируется влияние обозначенных целей на бизнес и доходы. Например, конкретизируется, как угрозы, связанные с незащищенностью каналов коммуникации, отражаются на прибыли и какие выгоды даст устранение этих рисков. 

Ограничение по времени. Каждая цель требует четких дедлайнов, вплоть до месяца или даже числа. Сроки вроде «до конца года» или «вчера» не годятся. К слову, SMART удобно применять не только в рамках построения глобальной ИБ-стратегии с дорожной картой на несколько лет. Инструмент помогает планировать текущие задачи в кибербезе на квартал, полугодие, год или любой другой временной отрезок.

Итак, главные преимущества SMART — это четкое и конкретное определение целей, а также удобное измерение прогресса за счет KPI. 

Переходим к следующему подходу, также во многом завязанному на ключевые показатели эффективности. 

BSC (Balanced Scorecard) или Сбалансированная система показателей 

BSC — это инструмент, который позволяет сбалансировать финансовые и нефинансовые показатели бизнеса, в том числе в кибербезе. Подход становится для ИБ-службы чем-то вроде шеста для канатоходца, помогая сохранять равновесие между четырьмя разрезами деятельности компании:

Подробнее о них поговорим ниже. 

Как это работает 

Методика акцентируется не на существующих проблемах в ИБ, а на бизнес-контексте и выполнении KPI. BSC учитывает затраченные на реализацию ИБ-мероприятий материальные средства, человеческие ресурсы, трудозатраты и т. д. Всё это соотносится с результатами и выгодами, которые удается достичь по итогам изменений. 

Сперва проводится оценка текущих показателей кибербеза и устанавливаются целевые KPI по ним. Так могут оцениваться количество расследуемых инцидентов, процент АРM под защитой антивируса, доля прошедших обучение по кибербезу сотрудников и многие другие параметры. Например, в настоящий момент 60% АРМ охвачены средствами защиты, в то время как за KPI берется стопроцентное покрытие. 

Параллельно устанавливаются взаимосвязи между целями кибербеза и бизнеса. Если сильно упростить, обучение персонала цифровой гигиене и защита каналов коммуникации помогают выстроить более эффективные бизнес-процессы в ИБ. Это, в свою очередь, минимизирует утечки данных и тем самым положительно влияет на доходы бизнеса. Аналитика по взаимосвязям целей также подкрепляется конкретными цифрами и метриками.

Третье направление — регулярный мониторинг выполнения KPI и корректировка стратегических планов. Достижение показателей эффективности лучше анализировать итеративно, чтобы гибко корректировать работу. Условно, если несколько месяцев подряд удавалось выполнить по 10% от KPI, а потом результат упал до 5% при аналогичных материальных и нематериальных инвестициях, это повод оперативно пересмотреть стратегию. 

Здесь впору вспомнить о других стратегических подходах: GAP-аналитика поможет понять, что пошло не так и на какие проблемы обратить внимание, а методика As is/To be — спланировать изменения. Такая корректировка стратегии с большой вероятностью потребует установления дополнительных KPI. BSC часто сравнивают с Agile из-за описанной итеративности и отсутствия четкого ТЗ или, точнее говоря, дорожной карты. 

Притом KPI обычно рассматриваются в вышеупомянутых четыре разрезах деятельности компании. Поговорим о каждом из них подробнее:

• Финансовые показатели. Это соотношение доходов и затрат от ИБ-мероприятий. Например, сколько компания экономит средств благодаря успешному предотвращению кибератак или зарабатывает на продаже ИБ-услуг, и сколько вкладывает в развитие команды и ИБ-инфраструктуру. 

• Клиенты. Этот разрез отражает, что нужно сделать для клиентов, чтобы достичь поставленных KPI. Основной акцент обычно делается на собственных сотрудниках, которые выступают внутренними клиентами ИБ-службы согласно сервисному подходу в ИТ (ITSM). Например, нужно разработать для персонала структурированный каталог ИБ-услуг и регламенты по кибербезопасности, защитить рабочие места антивирусами, и так далее.

• Внутренний процесс. Это конкретные способы выстроить работу и распределить ресурсы, чтобы выполнить поставленные KPI.

• Обучение и рост. В фокус этого разреза попадают компетенции ИБ-специалистов, необходимые для достижения KPI.

К достоинствам подхода относятся гибкость определения KPI и возможность перерабатывать ИБ-стратегию «на лету», а также комплексно оценивать её эффективность. Правда, методика практически не применяется в России в чистом виде: в лучшем случае она используется в сочетании с GAP-анализом или другими подходами.

Стейкхолдер-анализ

Методика помогает определить ожидания разных заинтересованных сторон по поводу ИБ-стратегии. Проще говоря, это брейншторм по вопросам информационной безопасности с участием ИБ-службы и других стейкхолдеров. 

Как это работает 

Чаще всего в роли стейкхолдеров выступают руководители ИТ, ИБ и коммерческого блока, генеральный директор и топ-менеджеры. Если высшее руководство слишком загружено, вместо него участие в анализе принимают другие ответственные лица от заинтересованных подразделений. 

Они садятся за стол переговоров и делятся своими планами и ожиданиями. Затем всё это сводится в единую ИБ-стратегию. 

Такие мероприятия обычно выполняются в три шага: 

• определение стейкхолдеров из числа руководства, сотрудников, клиентов и представителей от регулятора;

• анализ интересов и влияния каждого из стейкхолдеров на ИБ-процессы, а также оценка возможных рисков;

• координация взаимодействия: управление ожиданиями стейкхолдеров и разработка ИБ-стратегий.

На первый взгляд подход может показаться чем-то несерьезным на фоне остальных методик. Само слово «брейншторм» ассоциируется скорее с исписанными флипчартами и «сумасшедшими» идеями, чем с глобальными стратегиями. Но не стоит относиться к брейнштормам свысока. Стейкхолдер-анализ часто становится отправной точкой в стратегическом планировании ИБ именно благодаря своей простоте и возможности собрать много разных идей и мнений. Он задает вектор движения, а дальше подключаются другие вышеописанные подходы. 

Заключение

Как видим, описанные методики не исключают, а дополняют друг друга. Каждый подход обладает своей спецификой и сильными сторонами:

• GAP-анализ вскрывает корневые проблемы, которые мешают перейти от текущего состояния ИБ-процессов к целевому. Также подход помогает оценить расхождения между реальными возможностями компании и стратегическим планом. 

• SWOT-аналитика подсвечивает внутренние и внешние факторы, влияющие на уровень ИБ-процессов в организации. 

• Методика As is/To be выстраивает четкий путь от текущего к целевому состоянию ИБ. Такой результат во многом достигается благодаря разработке дорожной карты, определяющей долгосрочные стратегические цели.

• Подход SMART конкретизирует цели компании в кибербезе и обеспечивает наглядное измерение результатов за счет KPI. 

• Методика BSC также помогает установить KPI и балансирует их в четырех ключевых разрезах деятельности компании: финансы, клиенты, внутренний процесс и обучение.

• Наконец, стейкхолдер-анализ дает возможность учесть ожидания и степень влияния на кибербез всех заинтересованных сторон — от подразделений компании до клиентов и регуляторов. 

Комбинирование этих подходов помогает построить оптимальную стратегию развития ИБ. В итоге получается не только защитить информационные активы компании, но и обеспечить устойчивое развитие бизнеса в долгосрочной перспективе.

Бастион — защищаем бизнес от киберугроз

t.me/bastiontech — делимся собственным опытом, экспертизой, результатами исследований и прогнозами