Обычно информационная безопасность “продается” (производителями заказчикам, а службами ИБ/ИТ своему руководству) под видом борьбы со страхом (утечки, вируса, DDoS и т.п.) или выполнения нормативных требований (ФЗ-152, 382-П Банка России, 17-й приказ ФСТЭК, 378-й приказ ФСБ). Это традиционный взгляд на безопасность и на средства ее реализующие. Если посмотреть описания многих продуктов, то мы увидим, что именно так они и позиционируются. Оно и понятно — это универсальные драйвера, которые не зависят от компании, которой предлагается купить межсетевой экран, средство контроля доступа в Интернет, антивирус, систему предотвращения вторжений или что еще. И это правда. Межсетевой экран Cisco ASA with FirePOWER Services будет одинаково бороться с несанкционированным доступом, что в России, что в Австралии, что в Великобритании. А система мониторинга аномальной активности внутри сети Cisco Cyber Threat Defense так же эффективно будет обнаруживать обошедший периметровые средства защиты вредоносный код и в США, и в Украине, и в Норвегии.
Ситуация с compliance требует чуть больше сфокусированности. Очевидно, что 17-й приказ ФСТЭК по защите государственных информационных систем — это чисто российское изобретение, но зато применимое ко всем государственным и муниципальным учреждениям нашей необъятной Родины. А законодательство по защите информации в автоматизированных системах управления технологическими процессами хоть и есть во многих странах мира, но все-таки оно отличается друг друга. Требования 31-го приказа ФСТЭК и стандарта NERC CIP, стандарта ISA/IEC 62443 и катарского стандарта по безопасности критических инфраструктур пусть и схожи по сути, но разные в части, например, оценки соответствия, а значит предлагаемые для их реализации решения уже должны иметь свою специфику.
Но тут мы приходим к тому, что в текущей непростой экономической ситуации руководство компании мало интересует compliance, так как за его невыполнение если и накажут, то не сильно. Не сильно по сравнению с вопросом выживания компании как такового. И угрозы носят местами мифический характер. И уж точно они не так страшны по сравнению с угрозой банкротства своего и контрагентов, отказа в кредите, скачках курса валюты и других более бизнес-ориентированных угрозах. Поэтому на первый план выходит третий драйвер продвижения технологий ИБ – экономика и финансы. Именно с их помощью можно показать как решения по безопасности могут помочь повысить прибыль предприятия, снизить издержки, повысить лояльность клиентов, ускорить выпуск продуктов и помочь достичь других бизнес-задач.
Если вдуматься, то экономическое/финансовое обоснование не заменяет, а скорее дополняет два предыдущих. Надо просто захотеть сделать еще один шаг вперед. Например, DDoS-атака. Можно просто стращать ее последствиями (не говоря о том, какими), а можно попробовать поразмыслить и объяснить руководству, к чему DDoS-атака приводит. К простоям! А простои — это деньги. Деньги потерянные (мы платим во время простоя зарплату персоналу). Деньги незаработанные (во время простоя мы не можем оказывать сервис и продавать товары). Дополнительные затраченные деньги (на восстановление системы в предъатакованное состояние). А что такое невыполнение 382-П Банка России? Это не только предписание об устранении нарушений со стороны банковского надзора, это еще и, потенциально, приостановление деятельности и даже отзыв лицензии на оказание банковских услуг (к счастью, пока таких примеров не было). И вновь мы от понятной нам угрозы смогли, сделав небольшое усилие над собой, переложить ИБ на язык финансов и бизнеса. И таких примеров, когда угрозы ИБ влияют именно на бизнес-показатели немало.
Раз мы смогли говорить с бизнесом об информационной безопасности языком денег, значит мы можем переложить этот язык и на продуктовую линейку. Уйти от технических характеристик продуктов в сторону их финансовой эффективности. Вот только один пример — решение по защите и контроля доступа в Интернет от Cisco. На одной чаше весов у нас… нет, не число угроз на посещаемых сайтах, и не число предотвращенных через Web-почту утечек. Мы же говорим об ИБ с позиций бизнеса. Поэтому мы будем говорить о продуктивности, а точнее ее потерях от посещения ненужных для работы сайтов. А еще мы можем говорить о нарушении антипиратского закона и скачивании за счет компании пиратского контента, который забивает Интернет-канал и не дает клиентам достучаться до нашего Web-сайта или отправить нам важную почту. И все это просто транслируется в деньги, которые и кладем на одну чашу весов. На другой у нас выбор между целым набором решений Cisco — Cisco Web Security Appliance (WSA), Cisco ASA with FirePOWER Services, Cisco Cloud Web Security (CWS), Cisco FirePOWER Threat Defense for ISR. Достаточно сравнить две суммы и понять, выгодно ли вкладываться в решения Cisco или нет.
И таких примеров можно привести немало. Специально для демонстрации различных вариантов финансового обоснования эффективности использования решений Cisco по информационной безопасности мы подготовили и озвучили презентацию и выложили ее на наш корпоративный канал на YouTube. Она описывает 10 различных сценариев, демонстрирующих, как решения Cisco (Cisco Web Security, ISE, VPN, Cisco Capital, Cisco Email Security, Cisco TrustSec и другие) могут быть продемонстрированы не с точки зрения угроз (мы боремся с их большим числом), и не с точки зрения соблюдения законодательных требований (тут нам тоже есть что рассказать), а именно с точки зрения финансовой эффективности и реализации бизнес-задач.
В итоге наша задача заключается в том, чтобы смотреть на информационную безопасность не только с точки зрения традиционной — угроз и нормативных актов, но и с точки зрения финансов. На одной чаше «финансовых весов» у нас будут потери от нереализации защитных мер (штрафы, простои, стоимость расследования и восстановления, отток клиентов), а на другой — получаемые от внедрения защитных мер бизнес-выгоды (уменьшение цикла сделок, географическая экспансия, новый канал продаж, рост лояльности клиентов, рост доходов).
И вот тогда у нас существенно повысятся шансы не только на приобретение необходимых решений по безопасности, но и на собственный рост внутри компании. Руководству всегда приятно общаться с равными себе, понимающими потребности бизнеса, а не с людьми, только и делающими, что блокирующими выход в Интернет и читающими чужую переписку; а именно так часто воспринимается информационная безопасность на многих предприятиях.
PS. Ссылка на презентацию — http://www.slideshare.net/CiscoRu/cisco-50704113
Ситуация с compliance требует чуть больше сфокусированности. Очевидно, что 17-й приказ ФСТЭК по защите государственных информационных систем — это чисто российское изобретение, но зато применимое ко всем государственным и муниципальным учреждениям нашей необъятной Родины. А законодательство по защите информации в автоматизированных системах управления технологическими процессами хоть и есть во многих странах мира, но все-таки оно отличается друг друга. Требования 31-го приказа ФСТЭК и стандарта NERC CIP, стандарта ISA/IEC 62443 и катарского стандарта по безопасности критических инфраструктур пусть и схожи по сути, но разные в части, например, оценки соответствия, а значит предлагаемые для их реализации решения уже должны иметь свою специфику.
Но тут мы приходим к тому, что в текущей непростой экономической ситуации руководство компании мало интересует compliance, так как за его невыполнение если и накажут, то не сильно. Не сильно по сравнению с вопросом выживания компании как такового. И угрозы носят местами мифический характер. И уж точно они не так страшны по сравнению с угрозой банкротства своего и контрагентов, отказа в кредите, скачках курса валюты и других более бизнес-ориентированных угрозах. Поэтому на первый план выходит третий драйвер продвижения технологий ИБ – экономика и финансы. Именно с их помощью можно показать как решения по безопасности могут помочь повысить прибыль предприятия, снизить издержки, повысить лояльность клиентов, ускорить выпуск продуктов и помочь достичь других бизнес-задач.
Если вдуматься, то экономическое/финансовое обоснование не заменяет, а скорее дополняет два предыдущих. Надо просто захотеть сделать еще один шаг вперед. Например, DDoS-атака. Можно просто стращать ее последствиями (не говоря о том, какими), а можно попробовать поразмыслить и объяснить руководству, к чему DDoS-атака приводит. К простоям! А простои — это деньги. Деньги потерянные (мы платим во время простоя зарплату персоналу). Деньги незаработанные (во время простоя мы не можем оказывать сервис и продавать товары). Дополнительные затраченные деньги (на восстановление системы в предъатакованное состояние). А что такое невыполнение 382-П Банка России? Это не только предписание об устранении нарушений со стороны банковского надзора, это еще и, потенциально, приостановление деятельности и даже отзыв лицензии на оказание банковских услуг (к счастью, пока таких примеров не было). И вновь мы от понятной нам угрозы смогли, сделав небольшое усилие над собой, переложить ИБ на язык финансов и бизнеса. И таких примеров, когда угрозы ИБ влияют именно на бизнес-показатели немало.
Раз мы смогли говорить с бизнесом об информационной безопасности языком денег, значит мы можем переложить этот язык и на продуктовую линейку. Уйти от технических характеристик продуктов в сторону их финансовой эффективности. Вот только один пример — решение по защите и контроля доступа в Интернет от Cisco. На одной чаше весов у нас… нет, не число угроз на посещаемых сайтах, и не число предотвращенных через Web-почту утечек. Мы же говорим об ИБ с позиций бизнеса. Поэтому мы будем говорить о продуктивности, а точнее ее потерях от посещения ненужных для работы сайтов. А еще мы можем говорить о нарушении антипиратского закона и скачивании за счет компании пиратского контента, который забивает Интернет-канал и не дает клиентам достучаться до нашего Web-сайта или отправить нам важную почту. И все это просто транслируется в деньги, которые и кладем на одну чашу весов. На другой у нас выбор между целым набором решений Cisco — Cisco Web Security Appliance (WSA), Cisco ASA with FirePOWER Services, Cisco Cloud Web Security (CWS), Cisco FirePOWER Threat Defense for ISR. Достаточно сравнить две суммы и понять, выгодно ли вкладываться в решения Cisco или нет.
И таких примеров можно привести немало. Специально для демонстрации различных вариантов финансового обоснования эффективности использования решений Cisco по информационной безопасности мы подготовили и озвучили презентацию и выложили ее на наш корпоративный канал на YouTube. Она описывает 10 различных сценариев, демонстрирующих, как решения Cisco (Cisco Web Security, ISE, VPN, Cisco Capital, Cisco Email Security, Cisco TrustSec и другие) могут быть продемонстрированы не с точки зрения угроз (мы боремся с их большим числом), и не с точки зрения соблюдения законодательных требований (тут нам тоже есть что рассказать), а именно с точки зрения финансовой эффективности и реализации бизнес-задач.
В итоге наша задача заключается в том, чтобы смотреть на информационную безопасность не только с точки зрения традиционной — угроз и нормативных актов, но и с точки зрения финансов. На одной чаше «финансовых весов» у нас будут потери от нереализации защитных мер (штрафы, простои, стоимость расследования и восстановления, отток клиентов), а на другой — получаемые от внедрения защитных мер бизнес-выгоды (уменьшение цикла сделок, географическая экспансия, новый канал продаж, рост лояльности клиентов, рост доходов).
И вот тогда у нас существенно повысятся шансы не только на приобретение необходимых решений по безопасности, но и на собственный рост внутри компании. Руководству всегда приятно общаться с равными себе, понимающими потребности бизнеса, а не с людьми, только и делающими, что блокирующими выход в Интернет и читающими чужую переписку; а именно так часто воспринимается информационная безопасность на многих предприятиях.
PS. Ссылка на презентацию — http://www.slideshare.net/CiscoRu/cisco-50704113
