Computerworld, США

Постоянное развитие технологий, рост внешних угроз и сложность оценки стоимости информационных активов затрудняют применение традиционных подходов при расчетах окупаемости инвестиций

Директор по информационной безопасности финансового концерна Western Corporate Federal Credit Union Кристофер Хофф представил руководству своей компании метод количественной оценки коэффициента возврата инвестиций в информационную безопасность.

По словам Хоффа, постоянное развитие технологий, рост внешних угроз и сложность оценки стоимости информационных активов затрудняют применение традиционных подходов при расчетах окупаемости инвестиций. Поэтому основное внимание следует уделить выработке корпоративной системы параметров, показывающих, как предприятие может уменьшить свою подверженность рискам и избежать затрат, связанных, например, с вирусными атаками, осуществляя соответствующие меры безопасности.

В настоящее время группа Хоффа внедряет методологию OCTAVE, предложенную Институтом программной инженерии Университета Карнеги—Меллона. OCTAVE помогает предприятиям идентифицировать уязвимости инфраструктуры, упорядочить информационные активы по приоритетам и создать специфические для каждого актива профили угроз и планы их снижения.

Хофф разделяет мнение растущего числа руководителей служб безопасности, которые считают, что пришло время рассматривать информационную безопасность как вопрос комплексного управления операционными рисками, а не как узкую тактическую задачу поиска частных методов борьбы с каждой новой угрозой.

Необходимость соблюдать требования многочисленных законодательных актов — один из важнейших факторов, заставляющих компании взглянуть на свои мероприятия по информационной безопасности с точки зрения бизнеса. Безотлагательный характер придает ситуации волна новых нормативных актов, которые законодатели рассматривают в ответ на ряд хорошо известных фактов компрометации данных в банке Bank of America, компании ChoicePoint и группе LexisNexis.

Новый взгляд

Развитие угроз и растущая подверженность риску также вызывают потребность в стратегическом взгляде на безопасность. Повсеместное применение беспроводных и переносных устройств, а также тенденции к соединению внутренних сетей с сетями поставщиков, партнеров и клиентов существенно увеличили риск нарушения безопасности и потенциальные последствия таких инцидентов.

«Внезапно появилось множество новых заинтересованных сторон в информационной безопасности, включая контролирующие органы, акционеров, клиентов, сотрудников и бизнес-партнеров, — говорит Кароли Бирчол, старший инспектор по безопасности банка Bank of Montreal. — Каждая из этих групп выдвигает собственные требования к ИТ, и все их требования связаны с информационной безопасностью».

Руководители служб информационной безопасности утверждают, что тенденции развития вынуждают к фундаментальному пересмотру прежнего мнения о целях.

«Цель состоит не в том, чтобы полностью устранить все риски, поскольку это нереально, — говорит Кирк Эрат, директор по секретности компании Nationwide Mutual Insurance. — Скорее следует понять общую природу и масштабы угроз в вашей конкретной ситуации».

«Меры снижения угроз вы должны выбирать с учетом вероятности потерь или разрушений от этих угроз. Внимание нужно фокусировать не на точечных технологиях, а на высокоуровневых проблемах, таких как уровень готовности системы, восстановление после сбоя и реакция на инцидент», — говорит Эрат.

«Снижение риска начинается с детального анализа информационных активов, которые вы хотите защитить, и угроз, от которых вы хотите их защитить», — говорит Винни Коттоун, вице-президент по инфраструктурным сервисам финансовой компании Eaton Vance Distributors.

В настоящее время компания осуществляет модернизацию системы безопасности, нацеленную на решение пяти конкретных проблем, идентифицированных в ходе корпоративного тренинга по оценке рисков в ИТ и бизнесе.

В число проблем входит повышение надежности идентификации пользователей и принятие мер по неукоснительному соблюдению политик на всех оконечных устройствах, таких как ноутбуки и беспроводные системы, пытающихся подключиться к корпоративной сети Eaton Vance.

«Мы рассмотрели все возможные угрозы информационной безопасности Eaton Vance и разработали множество сценариев ?что, если...?, а затем определили, что мы должны сделать, чтобы справиться с ними», — говорит Коттоун.

Но большинство руководителей служб информационной безопасности признает, что повседневные задачи борьбы с ненадежным кодом и преследования новейших вирусов, червей и программ-шпионов оставляют недостаточно времени и ресурсов, чтобы сосредоточиться на стратегической картине в целом.

Изменение бизнес-требований и растущая сложность угроз также вынуждают руководителей служб информационной безопасности большую часть времени уделять тактическим проблемам. Они жалуются, что кроме основных проблем их беспокоит разобщенность между отделами безопасности и бизнес-подразделениями.

Ллойд Хешен, директор по информационной безопасности компании Radianz, оказывающей коммуникационные услуги финансовым организациям, говорит, что высшее руководство обычно так выражает свое отношение: «Мы потратили столько денег на все эти антивирусы, сетевые фильтры и сетевые экраны, так почему не удалось решить проблему?»

Руководители служб информационной безопасности говорят, что на них слишком часто смотрят как на выразителей опасений, неуверенности и сомнений, плохо разбирающихся в бизнес-требованиях.

Для изменения этого образа они должны помочь менеджерам бизнес-подразделений разобраться в компромиссах, на которые нужно пойти для введения новых критериев безопасности.

«Избегайте непонятных слов», — говорит Коттоун. — Вы не должны употреблять технический или специальный жаргон при объяснении стратегии безопасности в бизнес-подразделениях».

По словам Хешена, ключевая мысль состоит в том, что информационная безопасность — это бизнес-проблема, которая не может быть решена простым применением имеющихся сетевых экранов и антивирусных средств.

Методология OCTAVE

Методология OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) была предложена Институтом программной инженерии Университета Карнеги—Меллона с целью идентификации уязвимостей инфраструктуры, упорядочения информационных активов по приоритетам и создания специфических для каждого актива профилей угроз и планов их снижения. OCTAVE опирается на три набора принципов.

Оценка рисков

  • Независимость лиц, принимающих на себя ответственность.
  • Адаптируемые мероприятия, которые могут изменяться вместе с технологиями.
  • Определенный процесс и стандартные процедуры оценки.
  • Основа непрерывного процесса повышения информационной безопасности с течением времени.

Управление рисками

  • Опережающее представление изменяющихся соотношений между активами, угрозами и уязвимостями.
  • Фокусирование внимания на нескольких критически важных проблемах информационной безопасности.
  • Интегрированное управление и увязка политик и стратегий безопасности с политиками и стратегиями предприятия в целом.

Организация и культура

  • Открытое распространение информации о рисках и совместных действиях по их снижению.
  • Глобальный взгляд на угрозы в контексте миссии и бизнес-целей предприятия.
  • Коллективная работа, позволяющая использовать разносторонний опыт всех ее участников.