28 июня, 2018, BIS Journal №2(29)/2018

Кому сушить сухари?


Бодрик Александр

вице-президент по информационной безопасности, CISA, ITIL Expert (ISACA Moscow)

Про бизнес без безопасников

Искусственный интеллект, аутсорсинг и классические поползновения ИТ на поляну ИБ регулярно смущают умы специалистов и руководителей по ИБ: а что если нас заменят? Предупрежден – значит, вооружен. Давайте проведем кабинетный эксперимент по замене службы ИБ на современные технологии. Задача проста – свести количество и качество безопасников в организации к минимуму. Благо, что бизнес будет только рад снять с себя лишнее бремя.

НОМЕНКЛАТУРА ФУНКЦИЙ СЛУЖБЫ ИБ

Перед началом анализа необходимо определиться с функциями службы ИБ. Для этого используем фундаментально свежий и полный NIST CyberSecurity Framework – руководство по ИБ КИИ США (далее Руководство).

Руководство включает в себя 5 доменов, без каждого из которых мощную и адаптивную систему ИБ не построить:

·      Идентификация

·      Защита

·      Мониторинг

·      Реагирование

·      Восстановление

ИДЕНТИФИКАЦИЯ

Домен включает в себя 5 организационных способностей (capabilities) – Управление активами, Анализ бизнес-среды, Корпоративное управление ИБ, Оценка рисков и Управление рисками.

Уже из названий организационных способностей специалисту понятно, что нейронная сеть тут не очень поможет, так как нужно договариваться с другими руководителями функций организации. Аутсорсинг возможен лишь частично – принятие управленческих решений невозможно отдать «наружу». Да и ИТ будет покушаться на такую «поляну» осторожно – работа вроде «бумажная» (не очень почетная), а ответственности много.

ЗАЩИТА

Домен включает в себя 6 организационных способностей – Управление доступом, Повышение осведомленности, Защита данных, Процессы и политики ИБ, Безопасная поддержка и Защитные технологии.

Защита - домен для анализа более сложный, чем предыдущий. К примеру, Защитные технологии убедительно и почти повсеместно закрываются «облачными» и аутсорсинговыми подходами, а настройка любого ИТ-средства (в том числе средства защиты информации) с каждым годом становится все проще, иные производители встраивают элементы искусственного интеллекта даже для формирования подсказки какой диапазон Wi-Fi сигнала выбрать администратору при установке или настройке Wi-Fi точки.

Управление доступом и Повышение осведомленности в теории хорошо автоматизируются, но на практике их автоматизация приводит только к росту численности службы ИБ – это понятные бизнесу процессы, и они с каждым годом становятся все более крупными и развитыми. Защита данных, как задача, эффективно упрощается автоматизацией (к примеру, автоматической классификацией чувствительной информации), а вот Безопасная поддержка и Политики и процедуры аналогичны домену Идентификация) – автоматизировать сложно, передать ответственность – невозможно.

Итого, только Защитные технологии и Защита данных под ударом – 2 из 6 организационных способностей.

МОНИТОРИНГ

Домен включает в себя 3 организационные способности – Аномалии и События, Непрерывный мониторинг и Процесс мониторинга.

Как математическая задача мониторинг фундаментально слаб перед нейронными сетями, а как в целом рутинная и повторяющаяся задача – перед аутсорсингом.

Все 3 процесса в зоне риска.

РЕАГИРОВАНИЕ

Домен включает в себя 5 организационных способностей – Планирование реагирования, Коммуникации, Анализ, Снижение риска и Улучшения.

В отличие от Мониторинга домен Реагирование требует принятия решений, которые могут прямо повлиять на работоспособность сети организации. Тут в полный рост встает вопрос ответственности с вытекающими сложностью автоматизации и передачи «наружу».

ВОССТАНОВЛЕНИЕ

Домен включает в себя 3 организационные способности – Планирование восстановления, Улучшения и Коммуникации.

Так как реализация всех трех способностей требует детального знания внутренних процессов и политики организации, а также многочасовых переговоров и обсуждений, все 3 организационные способности оказываются вне зоны риска.

ИТОГОВЫЕ ЗОНЫ РИСКА И РЕЗЮМЕ

Итоговой зоной стали технические области внедрения, эксплуатации, поддержки и мониторинга средств защиты информации и мониторинга ИБ. Сейчас такие специалисты востребованы, но фундаментально их позиции уязвимы, поэтому им нужно искать запасной вариант профессионального развития или банально копить деньги – формировать запас, который пригодится в случае реализации пессимистичного сценария. Ведь полноценная профессиональная переподготовка – дело не одного дня или недели, иным специалистам может понадобиться и год