Автор:
Александр Третьяк
Противодействие киберугрозам НЕ кибер методами
По данным исследований проводимых компанией EY, в 36% компаний участвующих в исследовании бытует мнение, что их служба информационной безопасности не в состоянии противостоять современной атаке, а 88%! респондентов считают, что их функция ИБ не соответствует нуждам бизнеса. Почему так происходит, не смотря на достаточно емкие рекомендации, предоставляемые различными стандартами?
Существует множество мнений и концепций о том, какой должна быть в современной компании служба информационной безопасности, какое место занимать в структуре Компании, какой численный состав иметь, каким требованиям должны соответствовать сотрудники службы. Зачастую основным критерием для отбора работников в службу информационной безопасности является техническая экспертиза, глубокие знания информационных технологий, подтвержденные соответствующими сертификатами. При этом уделяется недостаточно внимания таким базовым компетенциям, как коммуникабельность, взаимодействие, ориентация на результат. Часто даже опытные специалисты по подбору персонала считают себя некомпетентными оценивать кандидатов в подразделения информационной безопасности. При таком подходе руководителю службы информационной безопасности дается полная самостоятельность при формировании команды, поскольку кроме него оценить компетенции кандидатов никто не может.
В дальнейшем такая же ситуация наблюдается и в работе подразделений. Отсутствие у руководителей компаний опыта в сфере информационной безопасности обычно приводит к ситуации, когда перед профильным подразделением ставятся задачи, сформулированные как: «чтобы все было безопасно» или «чтоб у нас невозможно было украсть информацию». Способы выполнения подобных задач и оценка уровня их выполнения остается на откуп самим исполнителям. Такой подход в корне не соответствует лучшим практикам построения системы внутреннего контроля, при которой должны быть организованы три линии защиты.
Находясь в таких условиях, мало кто из подчиненных станет информировать руководство о проводимых мероприятиях, их системности и результатах. Защита информационных активов компании строится по своему усмотрению и не всегда бывает согласована со стратегией развития компании. Служба информационной безопасности становиться неким «черным ящиком» для всей компании. Но «черный ящик» — это не защита, это скрытая угроза.
В случае выявления и предотвращения реальной угрозы – результат записывается в актив ответственного подразделения. При отсутствии инцидентов создается ощущение безопасности, хотя имеют место случаи, когда злоумышленники, компрометировав информационный актив компании, оставались незамеченными на протяжении года и более.
В случае же реализации инцидента и причинения ущерба для компании, на помощь приходят аргументы о недостаточности ресурсов и финансирования, с которыми невозможно противостоять современным атакам. После этого чаще всего наспех латаются дыры, закупаются дополнительные средства мониторинга, которые без системных изменений не обеспечат необходимого эффекта. Нагромождение и не точная настройка средств мониторинга, приводит к большому количеству ложных срабатываний. По данным исследований Cisco в крупных компаниях остаются без реакции до 44% срабатываний систем мониторинга событий информационной безопасности.
Отчасти у такой ситуации есть объективные причины. Действительно в современных условиях кибермошенники тратят огромные денежные и человеческие ресурсы на организацию и реализацию атак. В этой области работают выдающиеся специалисты. Выявить и в полной мере детально изучить механизмы и инструменты атак в состоянии разве что профильные компании, специализирующиеся на кибербезопасности, которые занимаются этой проблемой непрерывно, имеют достаточные ресурсы и большой опыт. Именно эти компании разрабатывают и предлагают самые действенные инструменты для предотвращения киберугроз.
Важно отметить, что невозможно непрерывно защищаться от всех видов угроз.
«Знать информацию о релевантных угрозах и методах противодействия им – вот основная задача информационной безопасности компании.»
Правильно выбрать и применить необходимые методы защиты, а не разбираться в тонкостях уязвимостей и методах их эксплуатации.
«Для того чтобы остановить хакера, не надо быть хакером – надо знать о хакере как можно больше.»
Для принятия верных управленческих решений в области защиты от киберугроз и обеспечения устойчивого состояния защищенности информационных ресурсов в компании должны быть выполнены следующие мероприятия:
- реализован риск-ориентированный подход к построению системы управления информационной безопасностью;
- система управления информационной безопасностью гармонично интегрирована систему управления рисками, как ее составная часть;
- организован непрерывный процесс оценки рисков информационной безопасности, на основе не только динамически изменяющегося ландшафта угроз, но и направлений развития бизнеса, подверженности угрозам конкретных отраслей экономики, геополитических процессов.
- непрерывно проводится оценка и усовершенствование процессов управления рисками с целью повышения их уровня зрелости.
Вопросы управления рисками, в том числе информационной безопасности остро стоят перед компаниями на протяжении последних десятилетий. Сегодня в эру цифровой трансформации бизнеса, с приходом информационных технологий во все без исключения сферы деятельности, актуальность вопросов кибербезопасности растет. На сегодняшний день выработаны лучшие мировые практики управления информационной безопасностью, которые стали основой международных стандартов ISO и ряда отраслевых стандартов.
На любом из этапов построения и развития системы управления информационной безопасностью критически важно обеспечить компетентные подразделения потоком информации о современных атаках и векторах их направленности, так называемый threat intelligence. На ранних этапах построения процессов информационной безопасности данная информация покажет в каком направлении двигаться, на развитом и продвинутом уровнях обеспечит необходимыми прикладными данными.
Использование на регулярной основе аналитических данных от профессиональных поставщиков позволит правильно расставить приоритеты при реализации мер защиты. Верно выбрать, правильно настроить и самое главное обеспечить взаимодействие и управляемость средств защиты и мониторинга. Повысит утилизацию систем, которые уже «на борту», либо даст критические аргументы для отказа от данных систем и выбора новых.
Предоставляемые в такой аналитике индикаторы атак, позволяют в значительной степени сократить время выявления угрозы по сравнению с анализом, проводимым собственными ресурсами. Оперативно локализовать компрометированные данные и устройства по готовым и проверенным сценариям. Применить наилучшие практики для ликвидации последствий атаки.
В вопросе противодействия современным кибератакам на первом месте находится информированность и время реакции. Информационная безопасность это не состояние, а процесс. Процесс, требующий динамичных изменений и крайне чувствительный к задержкам. Поэтому если вам говорят что у вас все безопасно – это повод задуматься! Правильный ответ – мы постоянно работаем, чтоб обеспечить безопасность.
По данным исследований проводимых компанией EY, в 36% компаний участвующих в исследовании бытует мнение, что их служба информационной безопасности не в состоянии противостоять современной атаке, а 88%! респондентов считают, что их функция ИБ не соответствует нуждам бизнеса. Почему так происходит, не смотря на достаточно емкие рекомендации, предоставляемые различными стандартами?
Существует множество мнений и концепций о том, какой должна быть в современной компании служба информационной безопасности, какое место занимать в структуре Компании, какой численный состав иметь, каким требованиям должны соответствовать сотрудники службы. Зачастую основным критерием для отбора работников в службу информационной безопасности является техническая экспертиза, глубокие знания информационных технологий, подтвержденные соответствующими сертификатами. При этом уделяется недостаточно внимания таким базовым компетенциям, как коммуникабельность, взаимодействие, ориентация на результат. Часто даже опытные специалисты по подбору персонала считают себя некомпетентными оценивать кандидатов в подразделения информационной безопасности. При таком подходе руководителю службы информационной безопасности дается полная самостоятельность при формировании команды, поскольку кроме него оценить компетенции кандидатов никто не может.
В дальнейшем такая же ситуация наблюдается и в работе подразделений. Отсутствие у руководителей компаний опыта в сфере информационной безопасности обычно приводит к ситуации, когда перед профильным подразделением ставятся задачи, сформулированные как: «чтобы все было безопасно» или «чтоб у нас невозможно было украсть информацию». Способы выполнения подобных задач и оценка уровня их выполнения остается на откуп самим исполнителям. Такой подход в корне не соответствует лучшим практикам построения системы внутреннего контроля, при которой должны быть организованы три линии защиты.
Находясь в таких условиях, мало кто из подчиненных станет информировать руководство о проводимых мероприятиях, их системности и результатах. Защита информационных активов компании строится по своему усмотрению и не всегда бывает согласована со стратегией развития компании. Служба информационной безопасности становиться неким «черным ящиком» для всей компании. Но «черный ящик» — это не защита, это скрытая угроза.
В случае выявления и предотвращения реальной угрозы – результат записывается в актив ответственного подразделения. При отсутствии инцидентов создается ощущение безопасности, хотя имеют место случаи, когда злоумышленники, компрометировав информационный актив компании, оставались незамеченными на протяжении года и более.
В случае же реализации инцидента и причинения ущерба для компании, на помощь приходят аргументы о недостаточности ресурсов и финансирования, с которыми невозможно противостоять современным атакам. После этого чаще всего наспех латаются дыры, закупаются дополнительные средства мониторинга, которые без системных изменений не обеспечат необходимого эффекта. Нагромождение и не точная настройка средств мониторинга, приводит к большому количеству ложных срабатываний. По данным исследований Cisco в крупных компаниях остаются без реакции до 44% срабатываний систем мониторинга событий информационной безопасности.
Отчасти у такой ситуации есть объективные причины. Действительно в современных условиях кибермошенники тратят огромные денежные и человеческие ресурсы на организацию и реализацию атак. В этой области работают выдающиеся специалисты. Выявить и в полной мере детально изучить механизмы и инструменты атак в состоянии разве что профильные компании, специализирующиеся на кибербезопасности, которые занимаются этой проблемой непрерывно, имеют достаточные ресурсы и большой опыт. Именно эти компании разрабатывают и предлагают самые действенные инструменты для предотвращения киберугроз.
Важно отметить, что невозможно непрерывно защищаться от всех видов угроз.
«Знать информацию о релевантных угрозах и методах противодействия им – вот основная задача информационной безопасности компании.»
Правильно выбрать и применить необходимые методы защиты, а не разбираться в тонкостях уязвимостей и методах их эксплуатации.
«Для того чтобы остановить хакера, не надо быть хакером – надо знать о хакере как можно больше.»
Для принятия верных управленческих решений в области защиты от киберугроз и обеспечения устойчивого состояния защищенности информационных ресурсов в компании должны быть выполнены следующие мероприятия:
- реализован риск-ориентированный подход к построению системы управления информационной безопасностью;
- система управления информационной безопасностью гармонично интегрирована систему управления рисками, как ее составная часть;
- организован непрерывный процесс оценки рисков информационной безопасности, на основе не только динамически изменяющегося ландшафта угроз, но и направлений развития бизнеса, подверженности угрозам конкретных отраслей экономики, геополитических процессов.
- непрерывно проводится оценка и усовершенствование процессов управления рисками с целью повышения их уровня зрелости.
Вопросы управления рисками, в том числе информационной безопасности остро стоят перед компаниями на протяжении последних десятилетий. Сегодня в эру цифровой трансформации бизнеса, с приходом информационных технологий во все без исключения сферы деятельности, актуальность вопросов кибербезопасности растет. На сегодняшний день выработаны лучшие мировые практики управления информационной безопасностью, которые стали основой международных стандартов ISO и ряда отраслевых стандартов.
На любом из этапов построения и развития системы управления информационной безопасностью критически важно обеспечить компетентные подразделения потоком информации о современных атаках и векторах их направленности, так называемый threat intelligence. На ранних этапах построения процессов информационной безопасности данная информация покажет в каком направлении двигаться, на развитом и продвинутом уровнях обеспечит необходимыми прикладными данными.
Использование на регулярной основе аналитических данных от профессиональных поставщиков позволит правильно расставить приоритеты при реализации мер защиты. Верно выбрать, правильно настроить и самое главное обеспечить взаимодействие и управляемость средств защиты и мониторинга. Повысит утилизацию систем, которые уже «на борту», либо даст критические аргументы для отказа от данных систем и выбора новых.
Предоставляемые в такой аналитике индикаторы атак, позволяют в значительной степени сократить время выявления угрозы по сравнению с анализом, проводимым собственными ресурсами. Оперативно локализовать компрометированные данные и устройства по готовым и проверенным сценариям. Применить наилучшие практики для ликвидации последствий атаки.
В вопросе противодействия современным кибератакам на первом месте находится информированность и время реакции. Информационная безопасность это не состояние, а процесс. Процесс, требующий динамичных изменений и крайне чувствительный к задержкам. Поэтому если вам говорят что у вас все безопасно – это повод задуматься! Правильный ответ – мы постоянно работаем, чтоб обеспечить безопасность.
Комментариев ещё нет.