- Мы
- Самооценка уровня зрелости ИБ
- Экспертиза
- Консалтинг
- Карьера
- Общественные ИБ-проекты
- Дискуссионный клуб
- Подкаст «Безопасный выход»
- Руководителям ИБ
- Управление функцией ИБ
- Обеспечение ИБ
- Соответствие требованиям ИБ
- Руководителям бизнеса
- Трансформация ИБ в бизнес-функцию
- Пресс-центр
- Новости
- Мероприятия
- Пресс-кит
- Контакты
Базовая кибергигиена важнее погони за модными трендами рынка ИБ
Руководитель отдела консалтинга по ИБ AKTIV.CONSULTING Ольга Копейкина рассказала изданию CyberMedia об основных парадоксах, которые представил подготовленный экспертами AKTIV.CONSULTING аналитический отчет «Оценка уровня зрелости информационной безопасности».
Эксперты представили первый аналитический отчет об уровне зрелости ИБ в 52 российских компаниях, выявивший «парадокс роста»: огромные бюджеты корпораций не гарантируют лидерства в безопасности из-за масштабов и сложности их инфраструктуры. Кибер Медиа обсудил с одним из авторов исследования, руководителем отдела консалтинга по ИБ AKTIV.CONSULTING Ольгой Копейкиной, почему базовая ИБ-гигиена остается главной болевой точкой рынка, как среднему бизнесу удается обходить энтерпрайз в вопросах комплаенса, стоит ли безопасникам гнаться за хайпом вокруг ИИ, и с чего начать новому CISO, чтобы выстроить эффективные процессы без лишней бюрократии.
Кибер Медиа: Обычно принято считать: чем больше компания, тем круче у неё защита. Ваше исследование ломает этот стереотип, показывая «парадокс роста», где малый и средний бизнес лидируют в базовой гигиене. Почему наличие огромных бюджетов у энтерпрайза не конвертируется автоматически в более высокую зрелость ИБ?
Ольга Копейкина: Надо отметить, что направление базовой гигиены является наиболее развитым у всех компаний, независимо от их объемов. Тем не менее, компании среднего бизнеса действительно лидируют по некоторым направлениям, в том числе по комплаенсу.
Эта ситуация связана с тем, что средний бизнес уже обладает достаточным количеством ресурсов и бюджетом на ИБ, но пока не имеет настолько обширной и сложной инфраструктуры, которую нужно защищать. У них может не быть сложных технологических систем, интегрированных с государственными (ГИС) или другими чувствительными ресурсами.
Чем крупнее компания, тем сложнее и распределеннее ее инфраструктура. Возникают все новые риски и вызовы, требующие существенных и непрерывных вложений в средства защиты. При распределении бюджетов в крупных компаниях ИБ часто идет третьим приоритетом после основных бизнес-инвестиций и обеспечения ИТ, которые обеспечивают непосредственное функционирование бизнеса.
Огромные ИБ-бюджеты корпораций сами по себе не гарантируют реальную безопасность
Кибер Медиа: Средний бизнес оказался самым зрелым в вопросах комплаенса. С чем это связано? Это тот самый баланс, когда ресурсов уже хватает на выполнение требований, но компания еще не настолько огромна, чтобы позволить себе просто закладывать штрафы в бюджет?
Ольга Копейкина: Вопросы комплаенса — одни из самых базовых после гигиены, так как существует фактор штрафов и санкций от регулятора. Для малого бизнеса выполнение комплаенса на высоком уровне может быть неподъемным, а у среднего такая возможность уже появляется.
Большие компании имеют огромное количество регуляторных требований. Из-за масштабов инфраструктуры и необходимости приоритизации задач они зачастую медленнее достигают высокого уровня комплаенса. Да, крупный бизнес может заложить средства на штрафы (их риск-аппетит выше), но ключевой показатель — это объем требований. У среднего бизнеса их меньше, что позволяет закрыть большую часть задач с минимальными финансовыми вложениями, иногда используя компенсирующие меры без внедрения дорогостоящих решений. Крупному бизнесу путь к зрелости по комплаенсу дается сложнее и дольше, так как внедрить комплексные решения в огромную инфраструктуру, не нарушив бизнес-процессы, гораздо труднее.
Кибер Медиа: Вы отмечаете, что разрыв в показателях управления ИБ крупного бизнеса связан со сложностью систем. Насколько сильно внутренняя бюрократия и масштаб инфраструктуры съедают эффективность ИБ-департамента в корпорациях по сравнению с более гибким малым бизнесом?
Ольга Копейкина: Чем сложнее и распределеннее системы, тем больше затрат идет на их защиту и тем сложнее повышать управляемость. Даже большому департаменту ИБ ресурсоемко оценивать не только каждую систему в отдельности, но и их взаимодействие, каналы связи и внешние подключения.
Бюрократия в крупных организациях действительно снижает быстродействие. В условиях инцидента, когда скорость реакции критична, необходимость согласовывать действия по всем инстанциям может привести к тому, что пока процесс дойдет до логической точки, уже произойдет непоправимое. Среднему бизнесу проще: меньше участников процесса — проще договориться. В корпорациях же владельцы разных систем могут иметь кардинально разные взгляды на безопасность, что приводит к внутренним конфликтам, растягивающимся на месяцы.
Кибер Медиа: В исследовании есть тезис о том, что сложные инструменты в крупных компаниях часто работают вхолостую без правильной настройки процессов (например, нет классификации данных). Можно ли сказать, что российский энтерпрайз сейчас страдает от коллекционирования средств защиты, когда софт закуплен, но реальной пользы не приносит?
Ольга Копейкина: Да, некорректно настроенные средства защиты ни от чего не защищают. Самый дорогой SIEM или DLP не будет выполнять свою функцию, если к нему не подключены источники или не настроены политики. Это будет просто мониторинг ради мониторинга.
Сложно обвинить российский энтерпрайз исключительно в добровольном «коллекционировании», так как закупки часто продиктованы требованиями регуляторов. Тем не менее, компании могут относиться к этому формально: покупают для фиксации факта обеспечения безопасности, но не эксплуатируют, потому что нет специалистов для настройки, или IT-подразделение противится внедрению из-за нагрузки на мощности.
Хочется призвать — если вы вынуждены приобретать средства защиты, не оставляйте их в ящике стола. Привлеките сторонних специалистов, вендора или дистрибьютора, чтобы потраченные деньги превратились в эффективный инструмент реагирования.
Наличие ресурсов — ничто без грамотно выстроенных процессов информационной безопасности
Кибер Медиа: Крупный бизнес лидирует в направлении мониторинга, часто нанимая внешний SOC. Означает ли это, что построить качественный мониторинг in-house сегодня стало практически неподъемной задачей?
Ольга Копейкина: Крупный бизнес лидирует здесь, потому что понимает важность мониторинга: более 90% инцидентов возникают внутри компании. Чем больше пользователей и хостов, тем необходимее автоматизация мониторинга.
Говорить, что in-house SOC неподъемен, — неправильно. Выстраивать собственные центры можно. Просто для многих оптимальнее привлечь внешние ресурсы, чтобы не раздувать фонд оплаты труда (свой SOC — это очень дорого). Однако есть те, кому спокойнее со своим штатом: к своим сотрудникам больше доверия, их проще контролировать. Пуская внешнего подрядчика в инфраструктуру, мы принимаем риски халатного обращения с доступом. Кроме того, внешний SOC влечет принятие чужих правил игры: например, мониторинг может заявляться как 24/7, но фактически живой оператор работает 8/5, а реагирование происходит только после согласования с заказчиком, что в выходной день может привести к потере времени и шифрованию всей инфраструктуры.
Кибер Медиа: Простые меры (сложные пароли, бэкапы, 2FA) закрывают 80% угроз, и это направление получило наивысшую оценку зрелости. Если база закрыта так хорошо, откуда берется постоянный поток новостей об успешных атаках?
Ольга Копейкина: Если посмотреть на цифры исследования, максимальная оценка по базовой гигиене составляет около 7,3 балла из 15 (примерно 49% от максимума). Это значит, что даже лидирующему направлению еще далеко до идеала.
Кроме того, можно великолепно настроить инфраструктуру, но, пока осознанность сотрудников низкая, инциденты будут продолжаться. Самый популярный метод атак — социальная инженерия. Инциденты часто провоцируются человеческим фактором: переходом по ссылкам, бытовым разглашением чувствительной информации от непонимания последствий, обиженные сотрудники. Базовую гигиену нужно вытягивать ближе к максимуму, тем более что это направление не требует крупных бюджетов.
Кибер Медиа: Один из главных выводов исследования: зрелость — это процессы и простота, а не размер бюджета. Что бы вы посоветовали новому CISO, чтобы реально повысить зрелость, а не просто освоить бюджет?
Ольга Копейкина: Вновь прибывшему CISO перед активными действиями нужно провести «разведку боем»:
- Понять ключевые бизнес- и технологические процессы компании.
- Провести инвентаризацию информационных активов совместно с IT. Найти «темные пятна», понять взаимосвязи систем, каналы передачи данных и оценить реальную эффективность уже купленных средств защиты.
- Встроить процессы ИБ в бизнес-процессы. ИБ не должна висеть в вакууме. Если безопасность начнет тормозить достижение бизнес-целей, организация это не одобрит. Бизнес должен быть безопасным, но он не должен от этого останавливаться.
Если CISO правильно выстроит эти процессы, ему будет в разы проще обосновывать потребности и защищать бюджет.
Бюрократия в крупных организациях действительно снижает быстродействие
Кибер Медиа: С ростом компании растет и бюрократия. Как найти баланс между «надежно» и «быстро», чтобы безопасники не превратились в «отдел запрещения»?
Ольга Копейкина: Перед тем как что-то запретить, ИБ должна продумать альтернативный, безопасный путь решения задачи и объяснить сотрудникам причины запрета. Запреты без объяснений парализуют работу и вызывают недовольство, что само по себе ведет к инцидентам.
Для минимизации бюрократии нужно максимально сокращать путь решения регулярных задач. Например, процесс заведения нового пользователя нужно описать так, чтобы ИБ получала автоматические отбойники от систем, а не нажимала кнопку «Согласовано» по каждой бумажке. ИБ должна мониторить события, а не сидеть над электронными заявлениями.
Кибер Медиа: Вы советуете ориентироваться на реальные угрозы, а не на модные тренды. Какие тренды в ИБ за прошлый год вы считаете переоцененными для большинства российских компаний?
Ольга Копейкина: Самый яркий пример — искусственный интеллект. Это громкий тренд, но далеко не в каждой компании ИИ вообще используется в рабочих целях. Во многих организациях (госсектор, промышленность, наука) использование ИИ для обработки служебной информации строго запрещено на уровне политик, а иногда и технически заблокировано.
Строить сложную систему защиты от рисков, связанных с ИИ и вносить это в модель угроз бессмысленно, если у вас такой угрозы технически нет. Любой организации нужно сверяться со своей реальностью: не нужно защищаться от того, чего у вас в природе не бывает, только потому, что «все так делают».
Кибер Медиа: Ваш прогноз — разрыв в подходах между сегментами бизнеса будет сокращаться за счет доступности технологий для малых компаний, или увеличиваться из-за усложнения систем в крупных?
Ольга Копейкина: Скорее всего, этот разрыв не будет сокращаться, и это абсолютно нормально. Ландшафт угроз для разных сегментов бизнеса кардинально отличается.
Подходы зависят от актуальности угроз, а не от стоимости средств. Даже если enterprise-SIEM станет стоить три копейки, малому бизнесу он не нужен — это избыточно. А крупный бизнес будет использовать сложные решения независимо от их цены, потому что им критично контролировать свои процессы.
В вопросах ИБ стремление к абсолютному идеалу — ложная цель. Зрелость ИБ должна быть минимально достаточной для конкретной компании. Для кого-то это базовая гигиена, для кого-то — собственный SOC. Как при медосмотре не стоит лечить болезни, которых у вас нет, так и систему защиты нужно выстраивать ровно настолько, насколько в ней есть реальная потребность бизнеса. Идеалы оставим для конкурсов красоты.
ваша подписка
оформлена. Назад
к нам. В ближайшее время
мы с вами свяжемся. Назад
Мы будем оповещать вас
о встречах дискуссионного клуба. Назад
на дегустационную
консультацию