Колеги не припиняють критикувати мене за “абстрактність” рекомендацій з кібербезпеки для організацій. Власне, я дотримуюся думки, що ці рекомендації повинні розробляти спеціалісти з кібербезпеки таких організацій. Але добре, щоб не залишати місця для інформаційного вакууму, спробуймо накидати ескіз стратегії кібербезпеки для деякої теоретичної корпорації, в якої в плані ІБ (інформаційної безпеки) ще кінь не валявся.
1. Найміть Головного з ІБ (Chief Information Security Officer, CISO) та розташуйте його в організаційній структурі якомога ближче до CEO, CFO або ради директорів. Хто у вас в пантеоні завідує контрольними функціями – тому і підпорядкуйте. Дуже важливо відокремити CISO від CIO і в жодному разі не підпорядковувати його “в операції”. Тому що у цих підрозділів перманентний конфлікт – одним треба швидко і дешево, а ІБ треба супернадійно. Виключіть конфлікт інтересів на самому початку, тому що потім щось змінити буде значно дорожче. В противному випадку ви отримаєте нефункціональну організацію ІБ, яка нічого сама зробити не може і змушена “домовлятися” та йти на компроміси, які завжди знижують ефективність прийнятих рішень.
2. Вимагайте від CISO розробки стратегічних, тактичних та операційних контролів – засобів захисту від актуальних загроз. Для цього, в першу чергу, вимагайте розуміння ним та пояснення вам цих загроз: хто вам може нашкодити, як, наскільки серйозні можуть бути наслідки, що можна зробити щоб убезпечитися від або відновитися після настання інциденту. Поки він, ви, та всі інші небожителі не зрозуміють, в якому risk environment ви ведете бізнес, діла не буде. Коли це нарешті станеться, давайте CISO в руки кайло (бюджет, повноваження, проектний офіс, карт-бланш, хед-каунт, інвестиції – потрібне підкреслити) та вимагайте план дій з чіткими датами очікуваних результатів. Дрюкайте CISO за прогрес виконання цього плану, та дайте йому повноваження дрюкати всіх, від кого цей прогрес залежить.
3. Перевіряйте ефективність системи безпеки. Це можна робити різними способами: спробувати зламати себе самостійно або за допомогою зовнішнього підрядника, провести аудит ІБ власними силами або ресурсом зовнішнього аудитора тощо. Основна вимога: перевірка повинна бути репрезентативною (аудитори в курсі) та регулярною. Не треба одразу вибудовувати метрики, це в безпеці зайва метушня, тому що показником ефективної системи ІБ є відсутність показників. Просто перевіряйте, функціонально та агресивно – і, як казав класик, то зразу буде видно.
4. Трансформуйте культуру. Використовувати піратське ПЗ, клікати підозрілі посилання, відкривати файли .xlsm, теревенити про роботу поза роботою тощо – має стати не просто страшно, це має стати соромно. Питання зміни звичок людей та колективів цікаве та складне, але не є нездійсненною мрією. Повірте, все набагато простіше, ніж здається. Ідентифікуйте найбільш соціально активних та авторитетних працівників в колективі. Проведіть для них спеціальний тренінг з висвітлення сучасних кіберзагроз та способів боротьби з ними. Поверніть працівників в робоче середовище, спостерігайте за змінами та скеровуйте їх. Культурні трансформації можливі, їхній ефект надпотужний, іншого шляху перемогти цілеспрямованого хакера немає.
5. Не купуйте каку. Безпека це не лише фаєрвол, антивірус, чи Security Operations Center (SOC). Це стан вашої організації, її властивість, що допомагає вам спокійно спати в ночі та не стидатися дивитися клієнтам у вічі. Прок’юрмент та інвестиції вам безпеку не забезпечать, вам її забезпечать люди. Ваші люди, або люди, яких ви покличете на допомогу.
Бережіться.