100 Мифы и заблуждения информационной безопасности Лукацкий
Вид материала | Документы |
СодержаниеМиф №81 «Безопасность не влияет на бизнес-показатели»11.06.2010 15:08 |
- Аннотация, 418.67kb.
- Е. А. Свирский Рассматриваются вопросы работы курсов повышения квалификации по информационной, 67.93kb.
- Система менеджмента информационной безопасности, 205.89kb.
- Теоретические основы информационной безопасности автоматизированных систем, 26.65kb.
- Содержание курса. Урок, 902.96kb.
- Обеспечение информационной безопасности организации как метод антикризисного управления, 54.18kb.
- Мифы Древней Греции Мифы Древней Индии Мифы древних славян Мифы североамериканских, 33.93kb.
- «Комплексные системы информационной безопасности», 260.23kb.
- Вопросы по информационной безопасности, 268.68kb.
- Рекомендации по обеспечению информационной безопасности Заключение, 358.69kb.
Миф №81 «Безопасность не влияет на бизнес-показатели»11.06.2010 15:08
В рамках рубрики "Клуб экспертов" мы продолжаем публикацию книги А.В.Лукацкого ссылка скрыта
Алексей Лукацкий - менеджер по развитию бизнеса Cisco Systems
Это распространенное мнение существует не только у специалистов служб ИБ, которые не всегда понимают, как их деятельность связана с бизнесом, который они призваны защищать. Аналогичная точка зрения присутствует и у бизнеса, который вынужден выделять деньги на информационную безопасность, но считает это неизбежным злом. Реальность же совсем иная. В качестве иллюстрации могу привести только несколько примеров из западной практики. Пока только в США существуют законы об обязательной публикации информации об утечках персональных данных клиентов. А это в свою очередь напрямую влияет на бизнес-показатели компании. Рынок реагирует сразу же и акции компании, не уделяющей внимание своей безопасности, проседают очень быстро.
Например, в январе 2009-го года американская финансовая компания Heartland Payment Systems, Inc пострадала от вредоносного кода 130 миллионов ее клиентов стали жертвами мошенничества. Что в итоге? Падение стоимости акций, не говоря уже о судебном преследовании. Бизнес-показатели стали возвращаться только в конце марта, но до сих пор так и не вернулись к предатакованному состоянию.
Другой пример - компания Vonage. Агент по продаже этой компании сохранил информацию всего о двух своих клиентах с помощью сервиса Google Notebook. Результат на рисунке.
Другой, уже набивший оскомину инцидент с утечкой 94 миллионов записей из американской компании TJX.
Очередная утечка и вновь американская компания – всем известный Bank of America – потеря 1 миллиона записей с персональными данными о госчиновниках в феврале 2005 года. Результат тот же – падение курса акций.
Но страдают не только компании США. Например, кража лэптопа с 31500 записей о клиентах Банка Ирландии. Результат тот же – падение курса акций.
Универсальной формулы падения курса акций нет (или она пока не найдена). В каких-то случаях падение курса акций длится месяцами, в каких-то – всего несколько дней. «Внешний» инцидент больше влияет на бизнес-показатели. Если же произошла утечка каких-то внутренних корпоративных данных, то это обычно не сильно влияет на стоимость акций. Например, кража в мае 2008 года из AT&T лэптопа с именами сотрудников, их зарплатами и ИНН не привело ни к каким видимым последствиям и падение курса акций AT&T было связано с общим падением на рынке.
Аналогичная ситуация произошла и в 2003-м году, когда из компании IBM произошла утечка 180000 записей о сотрудниках.
Как бы не падал курс акций, мы видим, что инцидент с безопасностью, ставший достоянием общественности, напрямую влияет на бизнес-показатели компании и влияние это негативное.
А что с позитивным влиянием? Есть ли оно? Будучи одним из внутренних процессов компании, информационная безопасность, как и все другие, должна быть направлена на достижение поставленных бизнесом целей, в т.ч. и финансовых, а именно они являются основным камнем преткновения для большинства подразделений ИБ. Но надо четко понимать, что бизнес готов инвестировать в любые проекты (связанные с его деятельностью, конечно), которые принесут отдачу. Иными словами проект должен быть выгодным. При наличии же множества неубыточных проектов, приоритет будет отдан тем, у которых срок возврата инвестиций меньше, чем у других. Однако не стоит считать, что надо искать прямую финансовую выгоду в проектах по ИБ (хотя в зависимости от проекта это можно сделать). Инвестиция может носить и неденежный характер, например, людские или временные инвестиции.
Не вдаваясь глубоко в тему доказательства бизнес-выгод от информационной безопасности, хочется только привести примеры и критерии позитивных результатов, ориентированных не на технологии, а на бизнес.
Чтобы не быть голословным рассмотрим в качестве примера проект по внедрению VPN-решения на предприятии. Обычно он инициируется топ-менеджерами, которые хотят получать доступ к корпоративным ресурсам из командировок или отпуска. Т.е. налицо следование службой ИБ (или ИТ) за требованиями, спущенными сверху. Если же посмотреть на это с точки зрения бизнеса, то ситуация будет выглядеть немного иначе. Что может увеличить доходы компании? Рост числа сделок или увеличение их объема. Обычно российский бизнес концентрируется на первой задаче, которая может быть достигнута за счет:
- Увеличения непосредственно числа сделок
- Увеличения числа клиентов
- Выпуска новых продуктов
- Ускорения цикла продаж или разработки нового продукта.
Как можно решить, например, первую и вторую задачи? Вариантов достаточно много. Один из них – пространственная экспансия, позволяющая расширить рынки сбыта. Такой сценарий может изменяться от создания филиала в новом регионе до выноса точки продаж в торговый центр или оснащение торговых (например, страховых) агентов карманными компьютерами. И в любом случае все элементы должны быть объединены в единое информационное пространство, что невозможно реализовать без технологий информационной безопасности и, в частности, VPN. А для вынесенных «в поле» точек продаж (Point of Sale, POS) помимо VPN необходимо применение межсетевых экранов (в т.ч. и персональных), антивирусов, систем предотвращения атак и т.д. Отсюда вытекает связанная цепочка «VPN → приближение точек продаж ближе к клиентам → рост числа клиентов → рост доходов».
Как можно решить последнюю задачу? Сейчас очень часто открываются границы корпоративной сети для партнеров, поставщиков и контрагентов. Это не просто веяние моды, такой доступ позволяет решить достаточно важную задачу. Поставщики и логистические компании могут самостоятельно отслеживать наличие деталей и запчастей на складах, своевременно пополнять запасы, не дожидаясь соответствующих сигналов от вас. Такое открытие границ позволяет уменьшить число людей в цепочке принятия управленческих решений и тем самым уменьшить время на их принятие. Как следствие, уменьшается время на выпуск продуктов и за тот же период времени можно выпустить большее число продуктов, которые при налаженном процессе сбыта будут все распроданы. Но открытие границ подразумевает реализацию серьезной системы защиты, включающей в себя три основных составляющие:
- VPN для удаленного доступа контрагентов и поставщиков
- Аутентификация, авторизация и разграничение доступа к нужной информации
- Защита Интернет-границ от злоумышленников.
И здесь мы вновь видим связь между безопасностью и ростом прибылей – «система защиты → доступ поставщиков и контрагентов к корпоративной сети → уменьшение времени на выпуск продукта → рост числа сделок → рост доходов».
И вновь вернемся к негативному влиянию отсутствия ИБ на предприятии. Уже применительно к России, где вышеописанная связь между курсом акций и инцидентами ИБ не такая очевидная (в т.ч. и по причине непрозрачности многих компаний и отсутствии их акций на бирже). Посмотрим на крупный отечественный частный банк, реализовавший систему Интернет-банкинга. Чтобы сделать систему «ближе к потребителю» разработчики пошли на беспрецедентный шаг и всю видимую безопасность возложили на однократный механизм аутентификации при входе в систему Интернет-банкинга. Введя пароль и логин, пользователя больше не донимали запросами на подтверждение каждой транзакции. Однако за этой простотой и кроется основная проблема безопасности. Злоумышленники быстро пронюхали про такую особенность Интернет-банкинга одного из крупнейших российских финансовых институтов и смогли разными способами (перехват, подбор, кража) заполучить пароли и логины многих пользователей банка. А после этого начались несанкционированные переводы денежных средств на подставные счета. Банк серьезно пострадал как с финансовой точки зрения, так и с точки зрения репутации, за которой последовал крупный отток клиентов. А это всегда финансовые потери. И вот мы снова видим, как между безопасностью и бизнес-показателями существует связь.
И такое влияние прослеживается в очень многих, на первый взгляд, не имеющих отношения к безопасности, вопросах. Надо только уметь их видеть. Тем самым, мы не только сможем помочь закрыть различные бреши в бизнес-процессах и способствовать достижению поставленных бизнес-целей. А это в свою очередь позволяет не только сохранить, но и приумножить прибыль организации. Главное, чтобы и бизнес прислушивался к службе безопасности, а не считал ее сотрудников людьми второго сорта, ничего не понимающими в бизнес-процессах. Такие ссылка скрыта в российской практике существуют ;-(