Статья архитектора компании Cisco по информационной безопасности, автора книги об измерении эффективности ИБ Ланса Хейдена (Lance Hayden)
Сетевое общество распространилось по всей планете, вызвав фундаментальные изменения и создав новые возможности для целых стран, компаний и для каждого из нас. Люди, связанные между собой Всемирной паутиной, повсюду находят новые способы для успешного развития экономики, социального взаимодействия и личного процветания. Сегодня мы носим с собой множество сложнейших устройств: смартфонов, планшетов и других портативных компьютеров, подключенных друг к другу. Социальные сети сделали виртуальное общение столь же важным, как личное деловое взаимодействие. Новые технологии все шире проникают в повседневную жизнь, и если раньше человек просто использовал сети, то теперь он стал неотъемлемой частью сетевой среды. Во Всеобъемлющем же Интернете люди и технологии будут обмениваться информацией, вести совместную работу и взаимодействовать без каких-либо ограничений.
Учитывая вышеизложенное, реализация Всеобъемлющего Интернета становится важнейшей задачей на будущее, и ключевую роль в этом сыграют те люди, кто воспользуется им и его потенциалом . Вместе с тем история хакерских атак и компьютерных преступлений показывает теневую сторону сетевой отрасли, где возникают новые возможности для преступлений, мошенничества и информационных диверсий. Поэтому организациям следует учиться находить золотую середину между преимуществами беспрепятственного распространения информации и необходимостью защиты информационных и деловых активов.
В современных организациях, связанных глобальной сетью, управление рисками и защита информационных активов стали критически важными компонентами любой успешной ИТ-стратегии. Откуда бы угроза ни исходила: от консумеризации технологии и политики BYOD или от так называемых "комплексных постоянных угроз", подразумевающих долгосрочное несанкционированное использование чужих информационных ресурсов с целью воровства или шпионажа, - сетевая безопасность становится критически важным фактором, повышающим эффективность бизнеса и социальную ценность сетевых информационных систем.
Как защитить Всеобъемлющий Интернет? Как помочь организациям оградить от этих угроз своих сотрудников и ценную корпоративную информацию? Успешные организации разрабатывают комбинированные стратегии управления рисками, включающие определение сложности проблем, формирование устойчивой культуры безопасности и внедрение передового опыта, обеспечивающего защиту информации на основе объективных данных.
Наиболее успешные программы информационной безопасности не замалчивают риски и не пытаются упрощать проблемы. Исследования показывают, что с рисками лучше справляются те организации, которые учитывают возможность неудач и постоянно стремятся обнаружить признаки проблем, чреватых большим кризисом. Уделяя должное внимание поиску и своевременному устранению проблем на их ранней стадии, эти организации не дают малым угрозам перерасти в катастрофу. А вот в тех организациях, где руководство неспособно различать крупные и мелкие проблемы и считает недопустимым малейший сбой, сотрудники опасаются докладывать о неприятностях и умалчивают о них до тех пор, пока игнорировать их не становится невозможно.
Еще одна важная область управления рисками в сфере информационной безопасности в рамках Всеобъемлющего Интернета связана с человеческими культурой и поведением. Организации начинают сознавать, что устранение проблем, связанных с информационной безопасностью, невозможно без высоконадежной культуры безопасности, которая, в сущности, представляет собой "человеческий брандмауэр" из общих приоритетов и знаний. Человеческие эмоции и доверие будут влиять на Всеобъемлющий Интернет совсем не так, как при взаимодействии с обезличенными технологиями и устройствами. Вспомним эволюцию фишинга и прочих "социальных атак", цель которых не машина, а человек. В прошлом такой "социальный инжиниринг" считался особым видом мошенничества, не связанным с традиционным хакерством. А сегодня он стал обыденным делом. Согласно отчету компании Verizon по информационной безопасности за 2013 год (2013 Verizon Data Breach Investigations Report), социальный инжиниринг стал причиной каждого третьего информационного взлома, изученного авторами этого документа.
Высоконадежная культура информационной безопасности предполагает хорошее знание ее сути и ее врагов, внедрение решений по защите данных на всех уровнях, обучение персонала, а также принятие мер, побуждающих сотрудников распознавать проблемы в этой области и своевременно на них реагировать. Там, где создана высоконадежная культура информационной безопасности, людей объединяют общие убеждения по поводу необходимости защищать информационные активы и понимание возможных последствий взлома системы безопасности.
Чтобы сформировать высоконадежную культуру информационной безопасности, руководство должно подавать личный пример поведения в этой области, совершенствовать систему обучения и информирования кадров, неустанно работать над тем, чтобы лучше понимать и преобразовывать корпоративную культуру. В разных компаниях корпоративная культура может быть более жесткой или более гибкой, более бюрократичной или демократичной, и точно так же разные компании могут иметь разный уровень информационной безопасности. Но при этом те организации, где необходимость соответствующего поведения на всех без исключения иерархических уровнях недооценивается, более уязвимы для всякого рода неприятностей.
Еще одно условие успешной стратегии в области информационной безопасности состоит во внедрении правил, основанных на объективных данных. Иными словами, решения в области информационной безопасности должны приниматься на основе реальных измерений и фактических данных и не зависеть от каких-либо спекуляций и домыслов. Измерение уровня информационной безопасности - относительно молодая, но развивающаяся дисциплина. Главным локомотивом ее развития служит необходимость перевода информации о стоимости и пользе мер по защите данных на язык, понятный другим участникам бизнеса, многие из которых не понимают <айтишный> жаргон. Несогласованность приоритетов и результатов деятельности специалистов по информационной безопасности и бизнесменов может сформировать у бизнеса ложное представление, будто в ИТ-отделах работают одни ретрограды, стоящие на пути экономического роста и инноваций.
Метрики информационной безопасности и прозрачность операций помогают организациям наращивать свои возможности и лучше бороться с угрозами. Многие современные программы в области защиты данных управляют рисками на основе допущений и спекулятивных предположений и зачастую исходят не из эмпирических данных, а из взломов систем безопасности, получивших широкую огласку. В этом случае оценка рисков может оказаться неполной или неточной, одни угрозы будут недооцениваться, а другие, наоборот, переоцениваться. Повышение качества сбора и оценки данных может принести в этом смысле определенную пользу, но в условиях нехватки финансовых средств и ресурсов достичь этого непросто.
Организации, стремящиеся повысить качество метрик безопасности, убеждаются в том, что в результате информационная безопасность становится таким же бизнес-процессом, как работа с финансами, логистикой или кадрами. Наглядность таких операций позволяет коррелировать решения в сфере информационной безопасности с другими деловыми приоритетами, убедительнее обосновывать просьбы расширить поддержку и повысить финансирование решений по защите данных. Управление информационной безопасностью на основе объективных данных (равно как использование объективных данных во всех других сферах деятельности) улучшает эффективность работы, способствуя росту и развитию бизнеса.
В предстоящее десятилетие технологические вопросы будут по-прежнему играть ключевую - но не доминирующую, как прежде - роль при обсуждении проблем информационной и сетевой безопасности. Во Всеобъемлющем Интернете, который нам предстоит создать, поведение и культура людей и целых организаций станут определяющим фактором в том, что касается применения технологий и защиты информационных активов. Впрочем, это естественный процесс, через который прошли предыдущие технологические революции от изобретения печатного станка до появления телефона. Объемы и сложность угроз будут нарастать, и системы информационной безопасности должны адекватно реагировать на эти угрозы. Это означает необходимость смириться с тем, что развитие Всеобъемлющего Интернета чревато определенными рисками, и требует разработки мощной и надежной культуры информационной безопасности, способной адаптироваться к переменам. Одновременно надо работать над тем, чтобы лучше понимать и измерять цели и результаты стратегий, направленных на защиту информации.