По данным Gartner роль директора по информационной безопасности (CISO) продолжает развиваться, и сегодня его обязанности охватывают более 17 различных функциональных областей. Наиболее популярными областями являются информационная безопасность, управление ИТ-рисками, центры управления безопасностью (SOC), обеспечение конфиденциальности данных, сетевая безопасность, управление идентификацией и доступом (IAM), а также соблюдение мер защиты информационной безопасности. Крупному бизнесу как правило проще найти ресурсы на всё это. Но как быть владельцам небольших компаний и стартапов, у которых не может быть ресурсов, чтобы нанимать новых экспертов по ИБ и тем более проводить трудоемкие оценки рисков, тесты на проникновение, не говоря уже о получении известных сертификатов безопасности вроде ИСО/МЭК 27001?
Я изучал данный вопрос полгода в рамках курса по кибер-безопасности для руководителей и смог найти несколько ответов.
Начните с самых ценных информационных активов
Опыт показывает, что любая экономия на ИБ может иметь весьма негативные последствия для бизнеса в долгосрочной перспективе. Риск потери наиболее важных данных или потери репутации и доверия может привести к необратимым последствиям для любой компании. Директор по безопасности SolarWinds Тим Браун рекомендует начинать с изучения сферы вашего бизнеса и того, какие цели могут преследовать “плохие парни”. В своей статье о клиентских рисках он рассказывает, что важные риски можно выявить, определив так называемые “драгоценности короны” — самые важные активы организации. Потому что нам гораздо проще будет ответить на вопрос “сможем ли мы защитить эти 20 вещей?”, чем на вопрос “сможем ли мы защитить эти 1000 вещей?”. Это означает, что даже стартапы могут улучшить свою ИБ, начав с защиты драгоценностей короны, а затем шаг за шагом продолжать улучшать другие элементы ИБ.
Форум информационной безопасности (ISF) дает следующее определение драгоценностям или жемчужинам короны:
“Критически важные информационные активы, которые имеют наибольшую ценность. В случае компрометации они могут нанести серьезный ущерб бизнесу. Эти активы привлекают внимание высокоэффективных и компетентных злоумышленников, которые могут иметь намерения использовать эту ценную информацию.”
Эркан Чжэн из IBM считает, что самые важные данные такого рода составляют от 0,01% до 2% от общего объёма конфиденциальных данных. Неправильное использование, кража или повреждение этих критически важных данных может нанести ущерб операционной деятельности, серьезно подорвать репутацию бренда и резко снизить акционерную стоимость бизнеса. Эти данные обычно находятся в первых 2 или 3 категориях: критическая интеллектуальная собственность, секретные планы, стратегически важная информация о продукте, планы приобретений или протоколы с собраний совета директоров.
Количественный метод оценки рисков
Известный эксперт в области кибер-безопасности Пол О’Рурк считает, что компаниям следует сочетать качественные и количественные методы при оценке рисков кибер-безопасности. Им следует не только оценивать риск на основе воздействия (вероятности и последствий), как мы делали это ранее. Сегодня нам предстоит оценить, во сколько эти риски могут обойтись компании “в виде штрафов и компенсаций”. Сочетание этих двух стратегий будет более эффективным с точки зрения финансовых затрат. Такой подход поможет продемонстрировать руководству компании важность рисков. Количественно оценивая влияние рисков безопасности, компаниям будет легче расставлять приоритеты в проектах по ИБ и оптимизировать свои бюджеты на кибер-безопасность в целом.
Создайте внутренний реестр информации
Современные компании могут работать со многими типами данных, включая персональные данные. Для руководства компании очень важно сохранять контроль над такими информационными активами. В реестр информационных активов могут быть занесены названия информационных систем, описания типов данных, места их хранения, имена владельцев данных, периоды хранения и что не менее важно — тип классификации этих данных. Такой реестр в сочетании с оценкой рисков существенно поможет снизить вероятность утечки или потери критически важной для бизнеса информации.
Во время обучения я проводил интервью с генеральными и ИТ- директорами из пяти различных компаний. Они согласились, что ограничение доступа к информации о стратегии разработки продукта является разумным. Разработчики, конечно, должны иметь доступ к бэклогу задач по продукту, но им совершенно не обязательно видеть все планы на предстоящий год. Аналогичные меры можно принять и в отношении доступа к исходному коду, разделив его на более мелкие части. Таким образом разработчики будут иметь доступ только к той части кода, с которой они должны работать.
Не забывайте об участившихся атаках на поставщиков облачных услуг
Облачные решения имеют множество преимуществ: простоту использования, масштабируемость, гибкость в настройке и хорошие возможности для реализации интеграций. Однако само по себе облако не является панацеей. Стоит помнить, что рост числа атак на известные облачные платформы может негативно отразиться на конечных пользователях. Это означает, что даже если ваш стартап не представляет интереса для злоумышленника, вы всегда можете стать случайной жертвой, воспользовавшись каким-нибудь общим облачным сервисом.
Чтобы избежать ненужных рисков, всегда используйте базовые принципы защиты:
- Включите многофакторную аутентификацию (MFA), где это возможно
- Отправляйте меньше данных по электронной почте
- Вместо вложений отправляйте ссылки на документы
- Используйте шифрование сообщений и каналов связи
- Изолируйте виртуальные сервера друг от друга
Разработайте дорожную карту и политику ИБ
Результаты моих личных исследований показали, что большинство компаний не имеют чёткой стратегии по улучшению мер безопасности в области ИБ, а соответственно не смогут правильно расставить приоритеты и выделить на это средства. Я советую вам начать с малого, но уже сегодня.
Найдите того, кто поможет вам создать “рабочую” и актуальную для вас политику информационной безопасности.
Благодаря этому, вы сможете избежать многих банальных рисков, связанных с ИБ. Вот лишь некоторые из важных шагов в этом направлении:
- Определите требования ко всем корпоративным устройствам
- Используйте шифрование локальных дисков
- Установите пароли на загрузку
- Определите требования безопасности для партнеров и поставщиков
План реагирования на инциденты ИБ и резервные копии
Любой компании вне зависимости от её размера нужен чёткий план, где будут описаны действия, которые ваша команда сможет предпринять для обнаружения атак, реагирования на них, а также для быстрого восстановления после инцидента. Помните, что это может произойти ночью, когда вы спите или когда вас нет в офисе или дома. Вашим сотрудникам необходимо знать, кому сообщать об инциденте и что именно им нужно делать в таких ситуациях.
Убедитесь, что у вас есть ежедневные, еженедельные и ежемесячные резервные копии важной информации. Недостаточно просто настроить резервное копирование. Вы должны проверить, как работает восстановление, чтобы иметь возможность восстановить критически важную информацию в кратчайшие сроки. Резервные копии должны храниться в безопасном месте, желательно в другом физическом ЦОДе.
Осведомлённость пользователей в области ИБ
Томас Шлиенгер и Стефани Тойфель написали в своем отчёте об исследовании:
“Управление информационной безопасностью по большей части игнорирует человеческий фактор. Основное внимание уделяется техническим и процедурным мерам. Пользователь рассматривается как риск для безопасности, а не как ценный актив безопасности.”
Речь идёт о смене парадигмы от технического подхода к социокультурному, от определения, где пользователь является врагом ИБ к определению, где пользователь является средством безопасности.
Подробнее об этом и о различиях между осведомлённостью в области ИБ и культурой безопасности я расскажу в следующей заметке.