Недавно у нас была возможность – довольно весело и интересно – посетить ряд конференций, посвященных информационной безопасности и кибербезопасности. Эти конференции были наполнены относительно «новыми» разработками, такими как NextGen, Интернет вещей (IoT), DdoS-атаки на IoT-устройства, платформа разведки безопасности и т.д. То, что некоторые из этих терминов вызвали «шумиху», само по себе не является проблемой, но мы начали задаваться вопросом, правильно ли в мире безопасности смотрят на вещи. В противном случае могут быть упущены те или иные потребности.
В данной статье представлено новое видение кибербезопасности, которая рассматривается как цель сама по себе, а не то, что напрямую связано с потребностями бизнеса. На данный момент создается впечатление, что слишком часто организации по обеспечению безопасности идут ошибочным путем.
Урок 1. Начните с компании (и связанных с ней рисков)
На практике обеспечение безопасности может быть исключительно сложной задачей, но ее суть довольно проста. Безопасность – это не что иное, как снижение или устранение рисков, а также обеспечение их видимости, что позволяет компаниям их принять и продолжать свою деятельность – ни больше, ни меньше. Для достижения максимальной эффективности и результативности мы, специалисты в области безопасности, должны понимать бизнес и не рассматривать его исключительно с точки зрения ИТ, а смотреть на проблему шире с позиции самого бизнеса.
«ОПЫТ ПОКАЗЫВАЕТ, ЧТО В БОЛЬШИНСТВЕ СЛУЧАЕВ (ОКОЛО 90%) ЗЛОУМЫШЛЕННИКИ ПО-ПРЕЖНЕМУ ИСПОЛЬЗУЮТ ПРОСТЫЕ МЕТОДЫ И СЛАБЫЕ МЕСТА: ФИШИНГОВЫЕ ЭЛЕКТРОННЫЕ ПИСЬМА, ВРЕДОНОСНЫЕ ВЛОЖЕНИЯ».
Если отталкиваться от бизнеса, нам сначала необходимо выявить, отобразить и классифицировать риски, связанные с конкретной компанией. Во-вторых, мы должны определить, вместе с самой компанией, какими рисками необходимо заняться и в каком порядке.
После этого лицо, ответственное за безопасность внутри компании, должно составить план обеспечения безопасности, описывающий, как эти изменения должны быть реализованы. При этом должны быть обозначены четкие цели и сроки. Действовать необходимо рассудительно, шаг за шагом, и не заниматься множеством проектов сразу.
Урок 2. Определите дорожную карту безопасности, с четкой целью и пошаговыми действиями
Определение вашего подхода к обеспечению безопасности (или дорожной карты безопасности) имеет важное значение, его необходимо регулярно согласовывать со своей компанией, чтобы вносить коррективы по мере необходимости. В процессе разработки и реализации дорожной карты все заданные проекты будут способствовать снижению рисков и достижение конечной цели.
Важно не упускать из виду бизнес-цели, а лица, ответственные за безопасность, не должны «ограничивать или препятствовать» компании в принятии мер безопасности. Это не ракетостроение, поэтому и подход должен быть соответствующим. Процесс разработки плана должен быть понятен каждому, даже тем, кто не имеет навыков в области ИТ. Знания в сфере ИТ, безусловно, играют важную роль, но только в последний момент, когда необходимы ИТ-решения для реализации проектов обеспечения безопасности.
Урок 3. Освойте базовый уровень, прежде чем приступать к реализации более сложных решений по обеспечению безопасности
Участвуя в конференциях, о которых было упомянуто выше, мы заметили, что в большинстве организаций не предусмотрены даже основные меры безопасности, не говоря уже о передовых решениях по обеспечению безопасности. Презентации данных технологий компаниями, занятыми в сфере безопасности, часто выглядят ошеломительными и предлагают интересный контент, но для большинства организаций они находятся на слишком высоком уровне. Кроме того, опыт показывает, что в большинстве случаев (около 90%) злоумышленники по-прежнему используют простейшие методы и слабые стороны: фишинговые электронные письма, вредоносные вложения и прочее. И, конечно же, есть самое слабое звено – человек.
Прежде чем перейти к более передовым технологиям, компаниям необходимо создать базовые решения по обеспечению безопасности с учетом данных простых рисков. Конечно, первые тоже важны и должны быть реализованы в будущем, но только после усиления базовых решений. Часто на конференциях, посвященных безопасности, основное внимание уделяется сложным угрозам и продвинутым постоянным угрозам, при этом такие компании, как TalkTalk и Ashley Madison, могли быть защищены от атак, даже если бы была реализована базовая безопасность.
Урок 4. Налаживайте правильные партнерство – важное значение имеет сотрудничество между специалистами в области ИТ-безопасности
Новые разработки появляются быстро, и отдельные злоумышленники и группы злоумышленников используют более разнообразные и продвинутые атаки и тактики. В конечном итоге более продвинутые решения по обеспечению безопасности станут неотделимыми от более широких дорожных карт безопасности наших организаций. Но, прежде чем строить «дом», нужно заложить фундамент. А для строительства дома требуется сотрудничество между архитектором, риелтором, каменщиком, штукатуром и, конечно, владельцем дома.
Именно это чувство, когда что-то создается сообща, должно присутствовать и в мире безопасности. Мы должны активно сотрудничать, потому что, подобно строительству дома, нет владельцев или архитекторов, которые были бы так же хорошо выполнять каменную кладку, малярные или строительные работы.
Ни у одной компании по обеспечению безопасности нет оптимального решения для каждого риска безопасности, поэтому без совместной работы не обойтись. Те, кто мог бы причинить вред вашей компании, уже действуют, поэтом настало время специалистов по обеспечению безопасности. Мы должны начать с собственника (компании) и фундамента (дорожной карты), а затем наладить отношения с нужными подрядчиками (поставщиками решений в сфере безопасности). Только после этого может быть построен крепкий, надежный и безопасный дом.
«ИМЕННО ЭТО ЧУВСТВО, КОГДА ЧТО-ТО СОЗДАЕТСЯ СООБЩА, ДОЛЖНО ПРИСУТСТВОВАТЬ И В МИРЕ БЕЗОПАСНОСТИ. МЫ ДОЛЖНЫ АКТИВНО СОТРУДНИЧАТЬ».
Урок 5. Подключайте всех – это единственный путь к успеху
Чтобы добиться результатов от компании по обеспечению безопасности и организации, требуется понимание и поддержка со стороны компании, и наоборот. Лицо(а), ответственное(ые) за безопасность, должно(ы) быть в состоянии дать короткие и четкие пояснения, чтобы в процессе участвовали различные заинтересованные стороны организации. В противном случае организация (и руководство) не вникнет в ситуацию, и не будет требуемой личной заинтересованности и поддержки для реализации ваших планов (независимо от того, насколько они хороши). Как однажды сказал Эйнштейн: «Если вы не можете объяснить это простыми словами, вы не до конца это понимаете!»
Автор: Дэйв Маасланд, генеральный директор компании ESET Netherlands в сотрудничестве с Фредом Стрифлэндом, директором по ИТ-безопасности в LeaseWeb.
Источник: WeLiveSecurity
