Построение корпоративной системы информационной безопасности (ИБ) является важным элементом для развития на предприятии не только ИТ, но и бизнеса в целом. Это позволяет компании активно развивать инновации, снижать риски, обеспечивать соответствие требованиям законодательства.
Строительство ИБ-систем начинается с выбора стратегии. В дальнейшем она будет регулярно корректироваться, однако уже на старте следует правильно определить реалистичные цели, а будущее развитие ИТ-системы увязать с ключевыми параметрами производительности (KPI) и результативности (KRI).
По мнению Умеша Йеррама, эксперта IBM по безопасности, корпоративная ИБ-стратегия предполагает:
- выстраивание системы групповой ответственности внутри компании;
- накопление экспертизы в области ИБ;
- управление угрозами;
- управление доступом и жизненным циклом цифровых сертификатов;
- защита накопленных данных;
- безопасность при внедрении новых технологий;
- безопасность обмена данными с бизнес-партнерами.
Выстраивание системы групповой ответственности внутри компании
Надежная корпоративная система ИБ может быть выстроена только при участии всех сотрудников компании, а не только за счет команды выделенных специалистов. Большое значение для выстраивания эффективной системы защиты имеют корпоративные образовательные программы, где они могут ознакомиться с правилами обеспечения ИТ-безопасности.
Помимо этого, важное значение имеет внедрение типовых практик реализации системы защиты — применение криптостойких паролей, обеспечение защиты от утечек данных и т. д. Полезно также проводить специальные мероприятия, которые направлены на борьбу против фишинга и атак, использующих методы социальной инженерии.
Эффективность проводимых тренингов и ознакомительных программ следует оценивать через всевозможные метрики. Как показывает опыт, благодаря регулярному ознакомлению сотрудников с методами обеспечения ИБ наблюдается прямое сокращение числа регистрируемых инцидентов.
Характерной чертой большинства предприятий, где обнаруживаются нарушения в области ИБ, является слабая дисциплина по соблюдению сотрудниками мер защиты и низкая грамотность в вопросах ИБ. Снижению рисков и защите информационных активов способствуют регулярные ознакомительные занятия по тематике ИБ.
Накопление экспертизы в области ИБ
Как показывает практика предприятий, большинство проблем, связанных с ИБ, не выявляются заранее. Об их существовании становится известно только после выявления признаков серьезных нарушений, которые ведут к сбоям в бизнес-процессах или работе корпоративных ИТ-систем. Внедрение системы ИБ-защиты позволяет заранее выявлять аномальные явления в работе ИТ-систем и не допускать, чтобы потенциальные угрозы перерастали в значимые инциденты.
Современные предприятия ведут сбор огромного количества ИТ-информации. Данные собираются в виде журналов работы ИТ-систем, ведется отслеживание работы корпоративных сетей, брандмауэров, корпоративных приложений, серверов и т. д. Благодаря имеющимся интеллектуальным методикам ИБ-защиты накопленная информация обрабатывается и на базе результатов появляется возможность своевременно предупреждать о возможной опасности. Собранные данные могут служить информационным источником для инициализации расследований в подразделениях компании.
Существенное снижение рисков для бизнеса, нейтрализация отрицательного воздействия на работу корпоративных ИТ-систем достигаются за счет очень быстрого выявления аномалий в работе. При наличии системы ИБ предприятия на это уходит от нескольких минут до нескольких часов, тогда как в остальных случаях на поиски проблем уходят дни и даже месяцы.
Для достижения необходимого результата необходимо заранее готовить собственную команду специалистов по ИБ либо быть готовым к привлечению квалифицированной помощи извне. Необходимо также заранее разработать план мероприятий на случай выявления инцидентов.
Управление угрозами
Корпоративные ИТ-системы создают базу для работы бизнес-процессов и являются механизмом для реализации их важных транзакций. Обслуживание систем, их аппаратной и программной частей, осуществляется исходя из стандартной конфигурации, на которую накладываются установки обновлений и регулярные исправления выявленных ошибок. Эта работа отличается высокой трудоемкостью. Поэтому несмотря на активную поддержку корпоративных ИТ-систем в актуальном состоянии, они все равно оказываются под ударом кибератак и подвержены уязвимостям.
Политика надежного управления ИБ требуется постоянного выявления всех известных уязвимостей и обновления до актуального состояния в масштабах предприятия. Для ее реализации важно уже на начальном этапе провести инвентаризацию корпоративных прикладных систем, осуществив ее в партнерстве с другими ИТ-подразделениями. После подготовительного этапа следует проводить регулярные сканирования, для критических важных ИТ-систем их частота должна быть не реже одного раза в квартал.
Управление доступом и жизненным циклом цифровых сертификатов
Идеальная система ИБ должна предоставлять правильный доступ к правильным ресурсам в правильное время. Если это правило не соблюдается, то это отражается прежде всего на снижении продуктивности работы корпоративных пользователей.
Реальные проблемы возникают при избыточности предоставляемого пользователям доступа к ИТ-ресурсам компании. В результате растет риск неавторизованного доступа, и как следствие это может привести к нарушениям доступности корпоративной информации, ее целостности и конфиденциальности. Для надежной работы ИТ-систем необходимо создать систему обоснованного предоставления прав доступа. Они задаются производственными ролями и границами ответственности пользователей. Одновременно следует вести мониторинг работы всех корпоративных систем и доступа к ним.
Прежде чем переводить процедуру выделения пользовательских прав в автоматический режим, следует проработать алгоритм управления процессом их идентификации и выделения. Доступ к ключевым корпоративным системам должен иметь парольную защиту. В случае необходимости доступ к критически важным корпоративным системам должен предоставляться на базе двухфакторной аутентификации.
Выданные бизнес-пользователям сертификаты на доступ к корпоративным системам должны периодически пересматриваться.
Защита накопленных данных
Возможности развития системы ИБ на предприятии ограничены объемами финансирования и доступными ресурсами. Для оптимизации затрат необходимо выявить наиболее важные для компании направления и упорядочить их по приоритетам.
Прежде всего в этот список попадут собственные данные компании, не подлежащие публичному распространению. Они хранятся на корпоративных ресурсах и передаются между ее системами. Эти данные играют ключевую роль в бизнес-процессах, поэтому их компрометация, нарушение целостности и доступности могут пагубно отразиться на бизнесе.
При разработке системы защиты предприятия следует выявить ключевые ИТ-продукты и критически важные наборы данных. Накладываемые на них средства контроля призваны снизить риск нарушения целостности, конфиденциальности и доступности хранящейся информации и работы корпоративных ИТ-систем.
Первым делом следует провести инвентаризацию (идентификацию и классификацию) имеющихся критически важных данных, оценив риск в случае их компрометации. После этого организуется контроль за их использованием. В результате все существующие на предприятии группы, отвечающие за безопасность, смогут применять свои инструменты ИБ в зависимости от типа контролируемых данных, добиваясь безопасной управляемости информационных активов.
Безопасность при внедрении новых технологий
Строительство новой корпоративной системы ИБ должно быть частью бизнес-развития компании. Однако развитие услуг, оказываемых клиентам, совершенствование внутрикорпоративных отношений, расширение сферы деятельности требуют от компании внедрения новых технологий. Часто они нарушают прежние ограничения, касающиеся режима безопасности. Это происходит, например, при внедрении мобильных приложений, развитии средств социальных коммуникаций, переходе на использование мобильных устройств и облачных технологий. Учитывая происходящие изменения, разработчик системы ИБ должен быть партнером в процессе модернизации компании.
Для успешного партнерства необходимо заниматься интеграцией новых технологий с инструментами ИБ уже с самых ранних стадий внедрения. Это ускоряет освоение и устраняет проблемы ИБ до их реального появления.
Безопасность обмена данными с бизнес-партнерами
Бизнес многих предприятий тесно связан со внешними компаниями — сервис-провайдерами, бизнес-партнерами, вендорами. Совместная деятельность порождает появление общих бизнес-процессов. Это в свою очередь порождает доступ к общим ИТ-ресурсам и расширению корпоративной сети. Если на этих участках будут отсутствовать необходимые механизмы защиты, то это может стать серьезной проблемой для полноценной работы корпоративной системы ИБ.
Поэтому необходимо заранее, еще до установления партнерских отношений, предусмотреть появление сторонних компаний с доступом к внутренней корпоративной информации или получающих от нее важные данные. При ведении с ними переговоров должны присутствовать специалисты в области права и ИТ. Это позволит найти общий язык при выборе средств защиты и эффективно использовать отчеты, отражающие элементы общей работы ИТ-систем. Следует также проводить периодическую проверку используемых средств защиты на соответствие достигнутым договоренностями.
Все приведенные в этой статье элементы, по мнению Умеша Йеррама, позволяют получить в итоге эффективную программу развития ИБ на предприятии. Она позволит защитить цифровые активы и уменьшит всевозможные риски. Используя коэффициенты KPI и KRI, нужно измерять эффективность применяемых средств защиты и выявлять элементы, требующие дополнительного внимания. Это позволит заблаговременно получать предупреждения о потенциальных опасностях и устранять риски, ведущие к их реальному возникновению.