среда, 15 августа 2012 г.

Фитнес как модель информационной безопасности. Часть I

Fitness as a model for security // Фитнес как модель информационной безопасности
автор: Tim Keanini [www.insecuremag.com]
перевод: Рустам Абдуллин [rustam-abdullin.blogspot.com]



Информационная безопасность всегда требует специальных знаний. Системы становятся все более сложными, и ИБ превращается в постоянно изменяющуюся многомерную дисциплину

В особенности это касается enterprise уровня и экспертизы, необходимой для создания эффективной программы защиты информации. Однако технологии и специальные знания не обеспечивают адекватного уменьшения рисков, поэтому мы должны вовлекать в программу всю организацию, что многие сотрудники видят за пределами их компетенции.

Чтобы изменить эту динамику требуется новая ментальная модель информационной безопасности, которая будет достаточно понятной на любом уровне организации.

Наиболее распространенная сейчас модель - это кибер-войны. СМИ довольно небрежно причисляют любую кибер-атаку к "кибер-войнам", и этот образ быстро становится наиболее распространенной метафорой. Даже коммерческие организации адаптировали военную терминологию для описания вопросов безопасности и compliance.

Модель "войны"  не подходит для описания безопасности в кибер пространстве, уже по той причине, что военные действия подразумевают как оборонительные (defensive), так и наступательные (offensive) действия. Однако почти все, кто становился жертвой кибер-атаки подтвердят, что у них нет доступа к наступательным мерам, по крайней мере, пока.

Война также подразумевает развивающийся конфликт. Война - это победы и поражения, и в конце концов, даже если война идет на истощение, объявляется победитель.

Информационная безопасность, в свою очередь, в большинстве случаев не подразумевает победителей (хотя "проигравших" достаточно), и, определенно, нельзя говорить об "окончании военных действий".



Таким образом, необходимо подготовить ментальную модель информационной безопасности, которая была бы более понятна большему кругу лиц, и которую можно было бы адаптировать к изменчивой динамике информационной безопасности.


На мой взгляд, удобнее описать информационную безопасность альтернативной моделью - моделью фитнеса. Каждый человек имеет представление о здоровье, о принципах фитнеса и о том, как здоровый образ жизни сказывается на каждодневных активностях - поэтому такое сравнение имеет право на жизнь.

Если представить информационную безопасность как некую разновидность корпоративного или персонального фитнеса, мы сможем ответить на разнообразные вопросы. Мы сможем избежать неточных выводов от сравнения информационной безопасности с реальными военными действиями, таких как наличие вымышленного командного центра и отождествления сотрудников организации с "солдатами".

Модель фитнеса позволяет говорить об информационной безопасности со значительно более широкой аудиторией на другом, более детальном, языке. 

Фитнес и особенно его игровая форма - это подходящая модель информационной безопасности, потому как специалисты в области информационной безопасности не ожидают "побед", но стремятся развить большую сопротивляемость враждебной среде.

Разработка программы фитнес подготовки к тому или иному виду спорта не подразумевает окончания подготовки, потому что всегда есть к чему стремиться. Хорошая фитнес подготовка в состоянии постоянной адаптации к возможностям человека или команды, к требованиям соревнования. Фитнес подготовка - это постоянное стремление внедрить новые техники и подходы к тренировкам.

Информационная безопасность, так же как и фитнес программа, может быть направлена на различное количество участников и на различные цели организации. Очевидно, что цели тренировок футболистов и бейсболистов сильно разнятся, также имеют место случаи, когда цели членов команды направлены как на достижение общих целей, так и на специфические индивидуальные цели.

Идея индивидуального и командного фитнеса позволяет сформулировать тактику информационной безопасности таким образом, что понятия станут доступны для всех, вне зависимости от уровня технологической экспертизы. Действительно, отделу продаж вовсе не требуется иметь те же навыки, что и команде отдела информационной безопасности. В тоже время, мы вполне обосновано можем требовать некий базовый уровень подготовки и личной "гигиены".

С точки зрения информационной безопасности Интернет - это источник серьезных рисков для организации. Как привести себя в надлежащую готовность?

Информационная безопасность - это командный спорт

Команды с наилучшим состоянием физической подготовки не всегда выигрывают. На деле оказывается, что команда составленная из атлетов - это не залог успеха. Да, роль индивидуальных действий в командных видах спорта высока, однако значительно большую роль играют сплоченные действия состоящей хороших игроков команды.

Лучшие команды имеют ясный план на игру, согласно которому вся команда может плавно адаптироваться к различным сценариям в конкретной игре.

Организация - это уже команда, которая участвует в соревновании под названием "бизнес". Все в организации направлено на рост и продвижение в этой "игре" и все понимают, что "очки" основаны на понятных всем метриках, таких как ежеквартальный отчет и бухгалтерия. Для большинства организация информационная безопасность - это необходимые процессы, которые развивались отдельно от процессов получения дохода и извлечения прибыли.

Основная проблема при таком подходе - это тот факт что риски информационной безопасности могут серьезно повлиять на акционерную стоимость компании.

Информационная безопасность - это еще одна игра, в которую играет команда вашей организации. Однако, сотрудники, будучи осведомленными о том, что они играют в "бизнес", зачастую не знают о существовании игры "безопасность" и о её правилах.

Информационная безопасность может стать такой же полезной привычкой для вашего бизнеса, как здоровый образ жизни становится ею для человека. Однако подобный сдвиг в мышлении может быть реализован только при участии высокопоставленных руководителей организации и это довольно не просто.

Первый способ привлечь руководителей для кросс-функциональной поддержки информационной безопасности - это разработать планы для различных видов IT Security подготовки. В мире фитнеса, команда желающая увеличить свои показатели начинает с тренеров, которые рассчитывают ключевые показатели и соответствующие им навыки для того чтобы стать более конкурентоспособными. Подобный подход актуален и для информационной безопасности.

Как тренер по информационной безопасности, вы должны спросить "какие 5 вероятных событий могут нанести наибольшей вред компании"? Возможно ответ будет заключаться в украденных исходных кодах, атаках отказа в обслуживании (DoS), которые выведут из строя ваш дата центр на неопределенное время, компрометация клиентских данных, публикация скрытых от конкурентов данных в сети Интернет.

Уделите время планированию возможных сценариев для этих событий и включите в обсуждение руководителей каждого департамента. Результат гарантирует выявление наиболее уязвимых мест, которые вы сможете учесть в дальнейшем. Результаты планирования сделают вашу программу более специфичной и сформируют костяк "игрового плана", который будет описывать реакцию всей компании на определенные типы атак.


Как только игровой план будет конкретизирован, время его опробовать. Протестируйте ваш игровой план на наиболее катастрофических сценариях. Тесты можно реализовать умозрительно, с привлечением внешних специалистов, или же путем комбинированием обоих подходов.

Повторяйте упражнения до тех пор, пока игровой план не станет максимально хорошим. Запланируйте регулярные тесты ваших сценариев.

Регулярные тренировки, как в фитнесе, так и в безопасности, серьезно увеличат производительность, а организация наработает должную "мышечную память", которая позволит конкурировать с умелыми соперниками.

Все это звучит очень хорошо, потому что разработка плана проще претворения его в жизнь. Мы все знаем, что надо хорошо питаться и делать упражнения каждый деть, чтобы улучшить здоровье, однако большинство из нас этого не делают или делают нерегулярно, что дает минимальный результат.

Победы на теннисном корте или на футбольном поле будут только тогда, когда вы достаточно дисциплинированно тренируетесь. Потратьте время для того чтобы подготовить хотя бы один игровой план для вашей организации; в информационной безопасности практика и тренировки становятся залогом результата, который стоит потраченных усилий.

Продолжение следует.


3 комментария:

  1. Отлично! Мышечная память, да, отлично!

    ОтветитьУдалить
  2. Статья оказалась длиннее чем я думал:)
    Уж больно много автор разжевывает и стоит на одном месте. Видно на количество знаков работал:)

    ОтветитьУдалить
  3. Если интересно, можете почитать статью про кибер-войны
    http://kurs.ru/articles/v_mire/mirovye-it-lidery-razvyazali-globalnuyu-gonku-kibervooruzheniy

    ОтветитьУдалить