Книга: Думай как Amazon. 50 и 1/2 идей для бизнеса
Назад: Идея 35. А какая у вас технология «Just Walk Out»?
Дальше: Идея 37. OP1

Идея 36. Информационная безопасность должна умереть

Кибербезопасность – это гораздо больше, чем просто вопрос IT.

Стефан Наппо


Как сделать безопасность работой каждого



Все любят простые ответы. Все любят простые ответы, которые дают возможность переложить ответственность на одного человека или команду и помогают найти конкретного козла отпущения, если что-то идет не так.

Всем нравятся простые ответы, которые обещают, что вот этот технологический продукт даст нам вот такой результат. А руководству компаний особенно нравятся простые ответы, когда речь заходит о кибербезопасности. Почему? Потому что они не понимают рисков, и им страшно. Они отчаянно хотят верить им. Извините, если я только что описал вас или ваше руководство. Ответ, который я дам, вам не понравится.

Идея 36. Безопасность – это не должность. Безопасность – это не устранение рисков. Безопасность – это комплексная разработка требований, люди, процессы и принятие рисков, которые должны быть вплетены в каждую команду.

Ларри Хьюз создал самые первые межсетевые экраны Amazon. Он был вторым инженером по безопасности в Amazon и вторым в мире руководителем службы веб-безопасности и информационной безопасности корпоративных приложений. С тех пор он руководитель и консультант, сотрудничает со множеством организаций по широкому спектру вопросов корпоративного риска и кибербезопасности.

Впервые мы с Ларри работали вместе в 2002 году, когда я руководил запуском Marketplace в Amazon. В этом бизнесе платежи были в зоне риска. Обсуждая опыт, который Ларри получил, работая над кибер-безопасностью Amazon, он отметил, что второй принцип лидерства «Несите ответственность за свои действия» никогда не бывает более правдивым, чем когда речь идет о безопасности. Как бизнес-лидер вы не можете передать решение острых вопросов кому-то другому. Они ложатся на ваши плечи.

Вот некоторые выводы и идеи, к которым Ларри пришел, работая в Amazon, и которые до сих пор влияют на его работу:

1. Обоснованный целями бизнеса бюджет на информационную безопасность: рабочие группы и поставщики услуг, использующихся внутри компании, должны принимать решения и вкладывать средства в безопасность так же, как они бы это делали в случае с любыми другими расходами, связанными с бизнесом. Например, группа, которая предоставляет предприятию свои инструменты для повышения производительности, допустим электронную почту, может сказать: «Нам нужен инструмент для защиты от спама» и предложить решения и бюджет. Почему? Потому что спам отрицательно сказывается на самой распространенной форме делового общения. Почему мы считаем, что кто-то вместо нас проведет оценку рисков и предложит способы улучшения производительности? Такой тип мышления порождает «приобретенную беспомощность», которая на сегодняшний день остается одной из самых больших проблем безопасности предприятия.

2. Распределение ответственности: аналогично тому как бюджет на кибербезопасность распределяется между рабочими группами, так и ответственность за безопасность возлагается на ответственных за обслуживание руководителей и команды. Они полагаются на опыт и стандарты, предоставляемые службой безопасности, вместе с тем команды также должны отвечать за каждый аспект своего бизнеса.

3. Роль руководителя по информационной безопасности (CISO) и команды: подобно налоговым, финансовым и юридическим организациям, организации по информационной безопасности являются поставщиками услуг для бизнеса, и их задача заключается в том, чтобы прийти к соглашению (см. Идею 12). Девиз команды Ларри был таким: «Мы никогда не говорим “Нет!”». Иногда вы должны предложить более подходящий путь и переформулировать требования или подходы к решениям.

4. Интеграция: команда CISO должна потратить достаточно много времени на то, чтобы привлечь и узнать всех заинтересованных участников, а особенно их слабые места. Они должны быть вовлечены на раннем этапе, делясь опытом и профессиональными знаниями. Таким образом можно устранить любые непрактичные и далекие от реальности решения в области безопасности. При условии, что все сделано правильно, интеграция безопасности в деятельность других команд должна упрощать, а не усложнять жизнь.

5. Безопасность благодаря дизайну: безопасность – это не список задач или шагов в процессе. Безопасность – это то же самое, что и любой другой набор требований или возможностей. При проектировании и управлении возможностями необходимо учитывать и четко формулировать требования безопасности, сценарии и риски.

6. Риск: CISO помогает бизнес-группам в моделировании и расчете рисков. Безопасность – это знание ваших рисков, а также количественная оценка вероятности возникновения риска на основе значения данных или актива. Риск кибербезопасности – это такой же риск, как и любой другой тип рисков предпринимательской деятельности, которые контролирует организация.

7. Знание ваших активов: вы должны тщательно классифицировать данные и активы предприятия. Никто не любит это делать, но это необходимо. Если вы не знаете свои активы или если у вас нет представления о значении данных, как вы можете принять правильное решение?

8. Защита данных: необходимо установить целенаправленный контроль над всеми крайне важными для бизнеса данными. Ответственные специалисты должны нести полную ответственность за все аспекты данных, находящихся в их компетенции, включая безопасность.

9. Оценка безопасности, процесс реализации и структура: CISO обеспечивает процесс и структуру для обсуждения и оценки безопасности. Такие организации, как Национальный институт стандартов и технологий (NIST), разрабатывают структуры, шаблоны и стандартные процессы, которые CISO может использовать для внедрения на предприятии.

10. Еще один дефект: и наконец, думайте о проблемах безопасности как о еще одном дефекте. Никто не хочет разрабатывать небезопасную систему. Если вдруг всплывают проблемы безопасности, их необходимо устранить так же, как и другие дефекты.

Безопасность, заложенная в дизайне

Подход «Безопасность, заложенная в дизайне» (SbD) – это подход, который означает, что программное обеспечение (или система) было разработано таким образом, что безопасность заложена в нем с самого начала. «Вредоносные программы считаются чем-то само собой разумеющимся, а для минимизации последствий при обнаружении уязвимости в системе безопасности или при неверном вводе данных пользователем также принимаются соответствующие меры». Такой подход, предполагающий наихудшее и обеспечивающий безопасность в основе требований и разработки, является крайне важным на фоне аудита и инспектирования. Наличие сильной команды по обеспечению безопасности, разработка стандартов и предоставление экспертных знаний, а также деятельность рабочих и технических групп, отвечающих за безопасность предприятия и систем, обеспечивает рассредоточенный и заранее продуманный характер SbD.

Один из самых известных инцидентов в области кибербезопасности произошел в декабре 2013 года, когда хакеры взломали Target и получили доступ к личной и финансовой информации почти 110 миллионов клиентов. Глубокий анализ данной ситуации показал ошеломительный результат. Один эксперт резюмировал «Отчет о поэтапной кибератаке Target» следующим образом:

1. Атаки, защита и упущенные возможности описаны простым языком, с минимальными техническими деталями.

2. Со временем становится понятно, что достигнуть и проверить безопасность информационных технологий невозможно. Это постоянные, непрерывные усилия, которые требуют, чтобы руководители вышли из зоны комфорта и перешли к настоящему управлению рисками.

3. Авторы уделяют должное внимание важности глубокой защиты (defense-in-depth), ключевого компонента современной киберзащиты. Для защиты от большинства угроз начните с межсетевого экрана, а также используйте динамические программы мониторинга, внутренние барьеры между системами и другие элементы управления для обнаружения и защиты от вредоносных программ, которым удается прорваться через первую линию защиты.

Безопасность, понимание и количественная оценка рисков, а также участие в обсуждениях и поиске компромиссов входит в обязанности совета директоров и топ-менеджеров. Во время обсуждения и налаживания партнерских связей IT-директор или CISO не могут взять под контроль большинство вопросов.

Таким образом, хотя «информационная безопасность должна умереть», управление безопасностью и рисками, заложенное во все ваши проекты, процессы, обучение и мышление, должно возродиться. Безопасность должна войти в привычку.



Вопросы для обсуждения

1. есть ли у вас список информационных активов и рисков кибербезопасности, относящихся к активам? Расположены ли данные в списке в порядке приоритетности?

2. Интегрирована ли кибербезопасность в процесс разработки и управления или она входит в контрольный список?

3. Ответственность за риски, связанные с кибербезопасностью, лежит на руководстве бизнеса?

Назад: Идея 35. А какая у вас технология «Just Walk Out»?
Дальше: Идея 37. OP1

s
s