Бюджетная концепция безопасности
АрхивБлог Алексея Лукацкого, Cisco SystemsПравила игры на рынке информационной безопасности изменились, и заявления о том, что заказчики не уменьшают эту статью расходов – фикция. Алексей Лукацкий (Cisco) объясняет, что делать и куда двигаться в этой ситуации.
Сегодня, в условиях нестабильной экономической ситуации, начинают меняться взгляды на информационную безопасность. С одной стороны, многие отечественные производители средств защиты в интервью и с большой трибуны заявляют, что кризис не затронул и не затронет рынок ИБ, что заказчики не сокращают данную статью расходов, что требования регуляторов всё равно надо выполнять и т.д. Но в кулуарах или на закрытых мероприятиях все признают, что эпоха изобилия кончилась, что заказчики замораживают или урезают бюджеты и что жить по-старому становится всё тяжелее. Да и сами заказчики не скрывают, что условия игры поменялись – их руководство уже не готово не глядя тратить миллионы на проекты, отдача от которых неочевидна или видна только в долгосрочной перспективе. Что же делать? Как вести себя в такой ситуации?
Я могу выделить 3 ключевых направления деятельности для всех игроков рынка (по обе стороны баррикад):
- Переход от оценки ИБ как технической проблемы к бизнес-восприятию. Исторически сложилось так, что почти все, кто играл на рынке ИБ в России, представляли интересы разработчиков и производителей программных или программно-аппаратных средств защиты. И, соответственно, подход был техническим – "вот наши системы защиты, они решат все ваши проблемы". Надо заметить, что многие компании пытаются по-прежнему подходить к заказчику именно с этих позиций. В последние пару лет стал превалировать немного иной подход – на рынок вышли консультанты и интеграторы с идеей "управления безопасностью" (security management), которая позволяла выстраивать процессы ИБ внутри компании и добавить к продуктовой составляющей большой пласт различных сервисов и услуг. Но не успел данный подход прочно войти в сознание потребителя, как грянул кризис, который полностью изменил расклад сил и отношение к безопасности. Если раньше заказчики хотели правильно выстроить все свои процессы и процедуры, то сегодня они требуют демонстрации бизнес-выгод от внедрения ИБ. И поэтому в наше непростое время вместо идеи security management требуется продвигать идею security governance. На русский язык термин "governance" переводится так же – "управление", но смысл у него совершенно иной. Он поднимает планку понимания безопасности на ранее недостижимый уровень – уровень бизнеса и топ-менеджмента. И дисциплины, которые помогают по-новому взглянуть на "старую" проблему, будут совершенно иными – управление портфелем сервисов и проектов ИБ, управление активами, управление ресурсами, управление взаимоотношениями с поставщиками, управление взаимоотношениями с бизнесом, управление эффективностью, управление финансами, управление архитектурой и стратегией ИБ. Не начать двигаться в этом направлении, значит обречь себя на прозябание… или, того хуже, сокращение - в качестве непрофильного подразделения, не приносящего дохода и только тратящего немалые деньги на свою непонятную для бизнеса деятельность.
- Переход от оценки результативности проектов по ИБ к их оптимальности. Вторая важная тема – это оценка эффективности. Но и тут мы сталкиваемся с классическим парадоксом. В русском языке словом "эффективность" обозначаются два английских термина – "effectiveness" и "efficiency". Но, как и в случае с "management" и "governance", между "effectiveness" и "efficiency" разница как между небом и землей. Первый термин означает эффективность в контексте достижения результата. Иными словами, вы эффективны, если достигли поставленной задачи или ранее определённой цели. Но этот подход работал раньше, в эпоху изобилия. Сейчас все считают деньги, и важно не только достичь результата, но и достичь его оптимальным образом. А оптимальность может быть достигнута за счет применения различных подходов – свободно распространяемое ПО, повышение осведомленности персонала, отказ от технических средств защиты в пользу организационных мероприятий, использование лизинговых схем приобретения оборудования и т.д. Иными словами мы должны не только научиться оценивать эффективность ИБ, но и оценивать оптимальность наших действий и мероприятий.
- Переход от инвестиций в новые проекты к изучению того, что уже сейчас есть в организации. В прошлые годы, когда деньги на ИБ выделялись достаточно легко, и не всегда руководство требовало оценки возврата инвестиций, новые проекты по безопасности инициировались с завидной регулярностью. Но вот настала пора затягивать пояса, и многие задумываются, что же делать, где брать деньги на новые проекты. Мне кажется, что отсутствие денег на новые проекты должно сподвигнуть заказчиков начинать разбираться с тем, что они приобрели за прошедшие годы. Множество не связанных между собой проектов, продуктов, решений, процессов, которые пора сводить в единый комплекс, объединённый общим замыслом. Иными словами пора разрабатывать архитектуру информационной безопасности, которая учтёт текущие и, что самое главное, будущие потребности бизнеса, изменения законодательства, планы в области ИТ и т.п. Некоторое затишье позволит привести все решения в порядок, заняться обучением и повышением осведомленности персонала, разработать отсутствующую нормативную базу и т.п. А когда экономика стабилизируется и инвестиции вновь потекут в службы ИБ, они (службы) уже будут готовы к их адекватному восприятию с учетом понятых и проанализированных потребностей бизнеса.
Четвертым, стоящим немного особняком, направлением, могу назвать переход от тупой реализации требования законодательства (например, по персональным данным) в сторону оптимизация своих усилий и затрат на приведение себя в соответствие. Сейчас на рынке царит определенное оживление в связи с грядущим наступлением 1-го января, когда якобы должен вступить в полную силу Федеральный Закон "О персональных данных". Поставщики средств радостно потирают руки и уже подсчитывают барыши от продажи своих продуктов семи миллионам заказчиков, что насчитали Роскомнадзор и ФСТЭК. Но заказчики почему-то не бегут расставаться со своими кровными, потихоньку взвешивая и оценивая все риски несоответствия законодательству. И сейчас сложилась, отчасти, патовая ситуация. Все поставщики в своих материалах и выступлениях тупо повторяют, как зомби, "вы должны выполнять требования закона". Они не думают о том, как оптимизировать затраты своих заказчиков, как обойти жесткие, а зачастую и просто параноидальные требования по защите персональных данных и прав субъектов персональных данных. А заказчикам сейчас нужно именно это. Не случайно, не получив поддержки от большинства поставщиков и регуляторов, многие компании стали объединяться под эгидой отраслевых ассоциаций (АРБ, Инфокоммуникационный союз) с целью формирования консолидированного мнения, способного переломить ситуацию с ФЗ-152. С точки же зрения выполнения технических требований, я считаю, что выиграет не та компания, которая будет впаривать свои услуги под предлогом обязательного и неукоснительного выполнения требования, легитимность которых находится под вопросом, а та, которая сможет посмотреть на проблему с позиции заказчика и оптимизировать его усилия по приведению своих информационных систем в соответствие букве закона.