Дэвид Файк, занимающий пост CTO в Marsh & McLennan Companies (MMC), оценивает предпринимаемые компанией меры по защите корпоративной сети и методы, позволяющие ей дистанцироваться от тех организаций, которые мирятся с риском компрометации своих систем. До 2006 г., когда Файк занял руководящий пост, он занимался в MMC формированием глобальной технологической инфраструктуры компании, и это была первая серьезная попытка ее централизации. Одним из побудительных мотивов Файка в данной работе было стремление повысить защищенность корпоративной сети.
Расскажите о своем подходе к защите корпоративной сети в Marsh & McLennan Companies.
Важнее всего понять, что состояние дел с нашей безопасностью, как и те факторы, от которых мы защищаемся, быстро меняются. Сегодняшние меры по защите сети завтра могут оказаться недостаточными, и в этом заключается главная проблема.
Ландшафт безопасности и типы угроз трансформируются с небывалой быстротой. Преступники наращивают свой интеллект, а время вывода их продуктов “на рынок” сокращается. Если оглянуться на проблемы безопасности, существовавшие в 2006 г., то сегодня мы как будто живем в совершенно ином мире.
Первым делом надо подобрать сильную и знающую команду. Важно взять на работу опытного руководителя отдела информационной безопасности (CISO), который возглавит работу по преобразованиям и возьмет на себя ответственность в данной области. Можно пойти на колоссальные затраты, но если у вас будут неподходящие люди, это ничего не даст. Всё решают кадры.
По мере развертывания программы преобразований возникает естественный конфликт между работниками, горящими интересом к новым технологиям и сервисам, и необходимостью смягчения рисков безопасности, связанных с такими новшествами.
Скажем, облачные вычисления не только дают предприятиям массу выгод, но и создают новые серьезные проблемы с точки зрения безопасности.
Кроме того, необходим баланс между эффективной защитой ИТ-ресурсов и удобством использования ИТ-сервисов для продуктивной работы персонала. Примирить эти две вещи зачастую непросто.
В безопасности не бывает, чтобы одно годилось для всех. Нужды и профили различных компаний могут сильно отличаться друг от друга. Хитрость в том, чтобы вместе с обеспечением работы сервисов, в которых нуждается бизнес, внушить бизнес-лидерам понимание того, что необходимо принимать меры для обеспечения безопасности.
Как вы достигаете баланса между удобством работы пользователей и требованиями безопасности? Как сделать, чтобы маятник не слишком раскачивался в обе стороны?
Я посоветовал бы ИТ-лидерам обратить внимание на две важные вещи. Во-первых, нужно отказаться от “плохих” (т. е. не безопасных) форм поведения и найти альтернативные безопасные решения. Важно знать, какие сотрудники пользуются доступом к конкретным системам, и обеспечить гарантии, что они не будут входить в эти системы неположенными способами. Во главе всей этой системы должен стоять начальник подразделения информационной безопасности.
Этот аспект определяет политику в данной области. Второй совет по части достижения баланса состоит в готовности предложить альтернативы. Если привычный способ доступа людей к системам неприемлем, мало просто сказать “нет”. ИТ-лидеры должны понимать нужды коллег по компании, и если те пытаются применять негодные приемы работы, надо поразмыслить и предложить им разумные альтернативы.
Потенциальные угрозы меняются изо дня в день. Как вы поддерживаете свою способность противостоять новым опасностям? И как предугадываете их?
Уязвимости и угрозы появились с первых дней существования ИТ и будут присутствовать всегда. Самое главное — уметь реагировать на изменения угроз во времени. Например, вирусы, черви, как и психологические атаки типа фишинга, это извечный тип угроз. И мы продолжаем с ними бороться путем распространения свежей информации и регулярного обучения своих коллег. Чем лучше люди информированы, тем ниже вероятность того, что их обманут и выудят у них пароли.
Важно также проявлять активность в сообществе специалистов по безопасности, чтобы понимать и уметь отражать необычные атаки. Для этого мы поддерживаем связи с людьми своей профессии в отрасли и в различных группах при госорганах. Сообща CISO могут создать великолепный мозговой центр.
Другим аспектом реагирования на угрозы является автоматизация. На свете так много угроз и так много атак, что если вы не автоматизируете всё возможное, то не справитесь с ними. Без помощи автоматизации ни одной компании не хватит никакого бюджета и никакого количества специалистов.
Еще важно все время работать в режиме актуальности. Если вы не установите прочные стандарты и не будете их постоянно модифицировать, вам будет очень сложно справляться с защитой свой инфраструктуры. Работая с многочисленными версиями серверных и сетевых ОС, трудно устранять уязвимости, и поэтому важно использовать только поддерживаемые версии ПО.
Стараетесь ли вы сократить число используемых программных продуктов?
Да, поскольку в этом случае нашей операционной команде приходится отслеживать меньшее количество обновлений. А автоматизация помогает ей сконцентрироваться на критических зонах, изолируя и устраняя связанные с ними проблемы.
А как измеряете результат?
Мы отслеживаем множество метрик и ежемесячно корректируем свои подходы. А чтобы не допускать серьезных инцидентов, еженедельно, а то и ежедневно контролируем и обновляем шаблоны вирусов.
Какие проблемы в области безопасности вы ожидаете в будущем?
Мы работаем в очень мобильном мире, где требуется защищать корпоративные данные на персональных устройствах и при необходимости без труда ликвидировать их там. BYOD (использование на работе личных устройств), Android, Dropbox, мобильные приложения способствовали улучшению взаимодействия и производительности сотрудников, но вместе с тем сильно осложнили защиту информации. С новыми технологиями приходят и новые проблемы.
Повышая гибкость использования ИТ в работе, поразмыслите, всё ли вы сделали правильно и справились ли со всеми сопутствующими трудностями.
Распределение ресурсов внутри организации всегда вызывает споры, особенно в наше время. Системы MMC трудно скомпрометировать, так как защита клиентских и внутрикорпоративных данных является частью наших первостепенных обязанностей. В последние годы наши расходы и штат специалистов по безопасности увеличились, так как возросли риски.
Кроме того, мы пользуемся услугами внешних компаний, специализирующихся на безопасности, которые контролируют наши сети и дополняют усилия нашей команды. У нас есть и внутренний операционный центр безопасности, и внешние партнеры, так что за нашей безопасностью круглосуточно присматривают с двух сторон.
Что еще вы добавили бы к нашему разговору?
Мы имеем хорошую многолетнюю программу и стратегию. Бизнес-лидеры нашей компании, к счастью, понимают и поддерживают актуальный подход к безопасности, и у нас есть четкий организационный процесс для всех стратегических решений.
Хочу подчеркнуть, что мы регулярно тестируем нашу систему безопасности. Это ключевой момент. У нас есть инструментарий и внешние связи, позволяющие критически оценивать усилия по обеспечению безопасности, а затем корректировать их. Мы целенаправленно тестируем свои приложения и инфраструктуру и проводим превентивную политику в поиске проблем.