Обычно информационная безопасность “продается” (производителями заказчикам, а службами ИБ/ИТ своему руководству) под видом борьбы со страхом (утечки, вируса, DDoS и т.п.) или выполнения нормативных требований (ФЗ-152, 382-П Банка России, 17-й приказ ФСТЭК, 378-й приказ ФСБ). Это традиционный взгляд на безопасность и на средства ее реализующие. Если посмотреть описания многих продуктов, то мы увидим, что именно так они и позиционируются. Оно и понятно — это универсальные драйвера, которые не зависят от компании, которой предлагается купить межсетевой экран, средство контроля доступа в Интернет, антивирус, систему предотвращения вторжений или что еще. И это правда. Межсетевой экран Cisco ASA with FirePOWER Services будет одинаково бороться с несанкционированным доступом, что в России, что в Австралии, что в Великобритании. А система мониторинга аномальной активности внутри сети Cisco Cyber Threat Defense так же эффективно будет обнаруживать обошедший периметровые средства защиты вредоносный код и в США, и в Украине, и в Норвегии.



Ситуация с compliance требует чуть больше сфокусированности. Очевидно, что 17-й приказ ФСТЭК по защите государственных информационных систем — это чисто российское изобретение, но зато применимое ко всем государственным и муниципальным учреждениям нашей необъятной Родины. А законодательство по защите информации в автоматизированных системах управления технологическими процессами хоть и есть во многих странах мира, но все-таки оно отличается друг друга. Требования 31-го приказа ФСТЭК и стандарта NERC CIP, стандарта ISA/IEC 62443 и катарского стандарта по безопасности критических инфраструктур пусть и схожи по сути, но разные в части, например, оценки соответствия, а значит предлагаемые для их реализации решения уже должны иметь свою специфику.



Но тут мы приходим к тому, что в текущей непростой экономической ситуации руководство компании мало интересует compliance, так как за его невыполнение если и накажут, то не сильно. Не сильно по сравнению с вопросом выживания компании как такового. И угрозы носят местами мифический характер. И уж точно они не так страшны по сравнению с угрозой банкротства своего и контрагентов, отказа в кредите, скачках курса валюты и других более бизнес-ориентированных угрозах. Поэтому на первый план выходит третий драйвер продвижения технологий ИБ – экономика и финансы. Именно с их помощью можно показать как решения по безопасности могут помочь повысить прибыль предприятия, снизить издержки, повысить лояльность клиентов, ускорить выпуск продуктов и помочь достичь других бизнес-задач.



Если вдуматься, то экономическое/финансовое обоснование не заменяет, а скорее дополняет два предыдущих. Надо просто захотеть сделать еще один шаг вперед. Например, DDoS-атака. Можно просто стращать ее последствиями (не говоря о том, какими), а можно попробовать поразмыслить и объяснить руководству, к чему DDoS-атака приводит. К простоям! А простои — это деньги. Деньги потерянные (мы платим во время простоя зарплату персоналу). Деньги незаработанные (во время простоя мы не можем оказывать сервис и продавать товары). Дополнительные затраченные деньги (на восстановление системы в предъатакованное состояние). А что такое невыполнение 382-П Банка России? Это не только предписание об устранении нарушений со стороны банковского надзора, это еще и, потенциально, приостановление деятельности и даже отзыв лицензии на оказание банковских услуг (к счастью, пока таких примеров не было). И вновь мы от понятной нам угрозы смогли, сделав небольшое усилие над собой, переложить ИБ на язык финансов и бизнеса. И таких примеров, когда угрозы ИБ влияют именно на бизнес-показатели немало.



Раз мы смогли говорить с бизнесом об информационной безопасности языком денег, значит мы можем переложить этот язык и на продуктовую линейку. Уйти от технических характеристик продуктов в сторону их финансовой эффективности. Вот только один пример — решение по защите и контроля доступа в Интернет от Cisco. На одной чаше весов у нас… нет, не число угроз на посещаемых сайтах, и не число предотвращенных через Web-почту утечек. Мы же говорим об ИБ с позиций бизнеса. Поэтому мы будем говорить о продуктивности, а точнее ее потерях от посещения ненужных для работы сайтов. А еще мы можем говорить о нарушении антипиратского закона и скачивании за счет компании пиратского контента, который забивает Интернет-канал и не дает клиентам достучаться до нашего Web-сайта или отправить нам важную почту. И все это просто транслируется в деньги, которые и кладем на одну чашу весов. На другой у нас выбор между целым набором решений Cisco — Cisco Web Security Appliance (WSA), Cisco ASA with FirePOWER Services, Cisco Cloud Web Security (CWS), Cisco FirePOWER Threat Defense for ISR. Достаточно сравнить две суммы и понять, выгодно ли вкладываться в решения Cisco или нет.



И таких примеров можно привести немало. Специально для демонстрации различных вариантов финансового обоснования эффективности использования решений Cisco по информационной безопасности мы подготовили и озвучили презентацию и выложили ее на наш корпоративный канал на YouTube. Она описывает 10 различных сценариев, демонстрирующих, как решения Cisco (Cisco Web Security, ISE, VPN, Cisco Capital, Cisco Email Security, Cisco TrustSec и другие) могут быть продемонстрированы не с точки зрения угроз (мы боремся с их большим числом), и не с точки зрения соблюдения законодательных требований (тут нам тоже есть что рассказать), а именно с точки зрения финансовой эффективности и реализации бизнес-задач.



В итоге наша задача заключается в том, чтобы смотреть на информационную безопасность не только с точки зрения традиционной — угроз и нормативных актов, но и с точки зрения финансов. На одной чаше «финансовых весов» у нас будут потери от нереализации защитных мер (штрафы, простои, стоимость расследования и восстановления, отток клиентов), а на другой — получаемые от внедрения защитных мер бизнес-выгоды (уменьшение цикла сделок, географическая экспансия, новый канал продаж, рост лояльности клиентов, рост доходов).



И вот тогда у нас существенно повысятся шансы не только на приобретение необходимых решений по безопасности, но и на собственный рост внутри компании. Руководству всегда приятно общаться с равными себе, понимающими потребности бизнеса, а не с людьми, только и делающими, что блокирующими выход в Интернет и читающими чужую переписку; а именно так часто воспринимается информационная безопасность на многих предприятиях.

PS. Ссылка на презентацию — http://www.slideshare.net/CiscoRu/cisco-50704113

Комментарии (21)


  1. VenomBlood
    04.08.2015 01:24
    +12

    imageОдно это сразу говорит о практически полной некомпетентности (к сожалению, большинство видимых мной так называемых «специалистов ИБ» — как раз околонулевой компетентности).
    Вы еще уберите кофе-машину. А то же в большой компании 20 000 человек — 2 раза по 2 минуты в день, ого-го получается.
    Переводить напрямую потраченные на что-то часы в деньги по ставке зарплаты может, извените, только абсолютно бездарный человек. Если мне выделят 2 минуты в день ходить в туалет — производительность моя на сэкономленные минуты не увеличится, так же как и с остальными запретами она вероятно даже упадет, и уж точно рухнет ниже плинтуса лояльность.

    мы подготовили и озвучили презентацию и выложили ее на наш корпоративный канал на YouTube
    А что на YouTube? Ведь ваш умный «безопасник» уже заблокировал Youtube в компании — как же вашу презентацию смотреть то?


    1. grossws
      04.08.2015 04:37
      +4

      На этой картинке видна ещё и безграмотность маркетологов, которые не различают единицы измерения и умудряются писать «человек в день» (чел/дней) вместо человеко-дней. Это как быссмысленные и беспощадные кВт/ч вместо кВт*ч.


      1. VenomBlood
        04.08.2015 04:38
        +2

        Может это текучка кадров после введения подобных запретов?


        1. grossws
          04.08.2015 04:42
          +4

          Ну а что, это нормальный рус-бизнес-подход (хоть и блог Cisco) по оптимизации персонала. Как выгнать половину ИТ-отдела и взять студентов-эникейщиков, а потом удивляться почему через полгода всё начало разваливаться, новые решения не внедряются, время отклика на проблемы начало расти и т. п.


          1. alukatsky
            04.08.2015 10:57
            -2

            Этот подход используется многими российскими компаниями. Оптимизация издержек подразумевается многими как сокращение персонала. Хотя можно было бы сократить затраты на офис, переведя часть сотрудников на работу из дома. Тогда и сокращать не пришлось бы. В слайдкасте этот кейс приведен также.


    1. teecat
      04.08.2015 09:47
      +1

      Мое личное мнение — проблема свободного времени сотрудников — проблема руководства, не умеющего планировать и контролировать выполнение рабочих задач. Ну или обратный вариант — наличие свободного времени — умение организовать творческий процесс с максимальной пользой для компании.

      А техсредствами/запретами только ухудшается рабочее настроение в условиях бардака в компании.


      1. alukatsky
        04.08.2015 11:07
        +2

        Руководство не всегда готово признавать свои проблемы. Оно никогда не признается, что не умеет четко ставить задачи и контролировать результат, а не процесс. Руководство часто считает, что сотрудник должен работать, а не 10 минут в день расслабляться в Интернете. Это данность и не замечать ее неправильно.

        Поэтому руководство часто ставит задачу реализовать свое видение того, что и как должен делать работник, которому руководство платит зарплату. Безопасник может на это закрыть глаза, а может использовать, предложив инструмент, который также будет использоваться и для своих, чисто «безопасных» задач. Это не хорошо и не плохо — просто так есть. Безопасник может такой посыл в свою пользу направить, а может и не захотеть этого.

        Что касается ухудшения климата в коллективе, то такое есть. Я специально не стал на этом акцентировать в этом слайдкасте — в других материалах у меня против левой колонки с выгодами, есть и правая — с потерями от этого метода. Ну так любой новый инструмент — это палка о двух концах и задача внедренца — правильно его обосновать и спозиционировать. Если безопасник по своей привычке начнет все запрещать или просто ссылаться на руководство «оно так сказало», то да, будет негатив в коллективе. Если четко обосновать внедрение таких средств, если прописать политику (например, 15 минут в день можно или можно ходить в VK, но нельзя музыку и видео качать), то ситуация будет совсем иной. ИБ — это же не только техсредства. Это и работа с людьми, и учет их психологии, и понимание процессов в компании, и центров силы, и многих других аспектов. В одной презентации, посвященной только одному вопросу, осветить все аспекты сложно. Да и не ставил я такой задачи.


        1. teecat
          04.08.2015 11:37

          Возразить сложно. По сути очень и очень часто мы продаем/ставим продукты и решения в среду, которая не понимает как их использовать, не знает зачем они нужны и тд.

          Все сильно упирается в уровень подготовленности и руководства компаний и тех, кто закупает некие решения. И получается перекос. Рекламы продуктов (я не имею в виду конкретно ваших — вообще) имеется в огромном количестве, а вот спроса на базовые вещи нет. Целевая группа считает, что она все знает, а продающим нет выгоды/желания/денег заниматься излечением мифов.


          1. alukatsky
            04.08.2015 12:44

            Да, есть такая проблема. Покупается либо то, что есть, либо то, что разрекламировано, а не то, что нужно. Поэтому оценка с точки зрения бизнеса очень важна. Но не все ее делают :-(


        1. VenomBlood
          04.08.2015 19:45

          если прописать политику (например, 15 минут в день можно или можно ходить в VK, но нельзя музыку и видео качать), то ситуация будет совсем иной.
          В случае 15 минут ситуация будет возможно даже еще хуже. И что за ограничение на музыку? У меня есть несколько подписок на стриминг — мне теперь их слушать нельзя? Ограничений подобных быть не должно, можно делать мониторинг на серверной стороне и сопоставлять это с производительностью сотрудника в соответствии с его должностью. Если человек работает не хуже других и сидит по часу вконтакте — вероятно его не нужно трогать, т.к. сделаете только хуже — он обидится и уйдет и еще может постараться репутацию компании испортить среди другх сотрудников. Если же человек работает очень паршиво и при этом пол дня сидит в танках или во что там сейчас играют — это повод поговорить конкретно с этим человеком, но опять же не запрещать.

          Проблема тут только в том что для такой политики нужен руководитель с наличием мозгов, а такие встречаются далеко не в 100% случаев.


          1. alukatsky
            04.08.2015 21:26

            15 минут я привел для примера. Поставьте полчаса или час в обеденный перерыв. Что касается музыки, то очевидно, что тут есть разница и нормальное решение должно ее уметь определять (но это не предмет данной заметки был). Когда я писал про запрет музыки и видео, я специально написал, что речь идет о пиратском контенте. Сейчас это дело подсудное и многие компании начинают задумываться об этом. Аккурат на днях с одним заказчиком обсуждали. У него через гостевой Wi-Fi народ тащит с торрентов музыку и видео, а оператор это просек и предъявляет претензии. Очевидно, что компания хочет такие вещи предотвращать.

            Что касается «обидится», то я еще раз повторю, что ситуации бывают разные. Где-то срабатывает, где-то нет. Очевидно, что ИБ в компании — это не вещь в себе и она должна соотносить свои действия с ролью и ценностью работника. Один приносит миллионы и ему даже отдельный канал проводят для доступа в Интернет и не запрещают порнуху, так как она его стимулирует. Другого, наоборот, Интернет только отвлекает от работы. Поэтому универсального обоснования тут нет.

            Работу HR и непосредственного руководства никто не заменит, но и технические меры контроля тоже должны быть реализованы. Я, видимо, не учел аудиторию Хабра и привел из 10-ти кейсов не самый лучший пример в виде картинки. А поскольку мало кто смотрел сам часовой ролик или презу на слайдшаре, то получается, что все судят по одному примеру, не оценивая картину целиком. Схожая ситуация была в прошлый раз, когда я описывал кейс с доступом в Wi-Fi по паспорту. Мало кто читал сам кейс и возможности Cisco ISE — все набросились на саму идею — как это так, доступ к вайфаю по паспорту :-) Карму попортил в прошлый раз. Карму попортил и в этот :-)


            1. VenomBlood
              04.08.2015 22:27

              Ну пол часа даже, или час, и даже не в обеденный перерыв — ну и что? Главное работу выполнять.

              набросились на саму идею — как это так, доступ к вайфаю по паспорту :-) Карму попортил в прошлый раз. Карму попортил и в этот
              Ну причина в том что вы выбираете совершенно ужасные примеры. Давайте я вам приведу пример: можно написать статью про поисковый алгоритм, работу с большими объемами данных и прочим на примере того как выбирать наиболее подходящую музыку исходя из предпочтений пользователя. А можно тот же подход описать в ключе анализа предпочтений для поиска оппозиции. Как бы в первом случае всем будет интересно, во втором случае автора сожрут заживо за подобные идиотические предложения. Так и тут, описали бы вместо WiFi по паспорту — какой нибудь доступ к развлекательному контенту в самолете при помощи подобной авторизации, а то описываете как осуществлять нелегитимные, глупые и иногда просто преступные вещи — и удивляетесь.


              1. alukatsky
                05.08.2015 01:30

                Я не удивляюсь как раз. Просто именно такие запросы были и поэтому на их основе была написана та заметка. В данном случае запросы тоже были аналогичные. Кто ж виноват, что работодатель ставит задачи, часто противоречащие мнению работников :-( Но на будущее я учту аудиторию Хабра


    1. alukatsky
      04.08.2015 10:51

      К сожалению (или к счастью), но руководители многих предприятий именно такую мотивацию и понимают. Они считают, что если сотрудник в рабочее время не работает, то это плохо. И они готовы платить за решения, которые помогают блокировать непродуктивый серфинг. Да, есть и другая сторона медали — «итальянская забастовка». Но я ее специально не стал выделять в этом слайдкасте, чтобы сразу не губить на корню идею показать ИБ с финансовой точки зрения. И как показано в слайдкасте (а не только на картинке) под этой табличкой приведен пример, когда такой метод обоснования не срабатывает. Именно поэтому почти никогда вендора не пишут универсальных листовок и брошюр по данной теме — она уникальна для каждой компании. Где-то срабатывает, где-то нет. Об этом в слайдкасте и говорится.


      1. VenomBlood
        04.08.2015 19:46

        Такой метод не срабатывает в 99% случаев среди высококвалифицированных программистов. Да, все не уволятся но ущерб будет, а выигрыша скорее всего не будет вообще, а еще придется потратиться на «блокировщиков».


        1. alukatsky
          04.08.2015 21:17

          Надо отметить, что среди 5-ти миллионов российских юридических лиц и индивидуальных предпринимателей, 99% — это не программерские конторы


          1. VenomBlood
            04.08.2015 21:19

            А 99.9% вообще в ваших услугах не нуждаются. Магазинчику торгующему цветами или ИП с 1 работником (ну даже 10) подобных услуг не нужно.


            1. alukatsky
              05.08.2015 01:35

              Если они торгуют на вокзале в одной палатке, то да. А если через Интернет — уже не так однозначно. Соотношение программерских контор и обычных останется примерно тем же — капля в море


              1. VenomBlood
                05.08.2015 02:15

                Я поясню. Тут — хабр и когда описывается какая-то модель отношения к работникам — ожидается что она соответствует целевой аудитории. Если вы приводите инструкции по реализации модели отношения как в foxconn — ожидайте непонимания.


  1. Spewow
    05.08.2015 10:49

    Это больше статья для мегамозга.
    На хабре же надо срывать покровы про отсутствие закладок АНБ в цисках, Сноуден то портил имидж, попортил :)

    Руководству всегда приятно общаться с равными себе, понимающими потребности бизнеса, а не с людьми, только и делающими, что блокирующими выход в Интернет и читающими чужую переписку; а именно так часто воспринимается информационная безопасность на многих предприятиях.


    С другой стороны, кто заставляет руководство вводить в компанию штат ИБ?
    Если руководство не понимает зачем ему ИБ, то обычно оно это ИБ и не заводит, если сам не разу не обжегся то…


    1. alukatsky
      05.08.2015 14:30

      А средства защиты, включая и средства контроля доступа в Интернет, далеко не всегда безопасниками внедряются и эксплуатируются. Как раз в большинстве компаний эта функция ложится на айтишников