Автоматизация, цифровизация и цифровая трансформация невозможны без работы над информационной безопасностью. Чем дальше дальше вы будете продвигаться по пути технологического развития, тем более уязвимыми вы будете. Причем, как следует из статистики Positive Technologies, одно из самых уязвимых мест - люди. Именно поэтому почти в 50% случаев атака на компанию идет через использование социальной инженерии.
В итоге именно люди являются объектом удара в 43% успешных атак.
Это подтверждают и исследования - люди все чаще попадаются на инструменты социальной инженерии.
И вина тут не только в невнимательности, и с ростом изобретательности злоумышленников. Так, например, один из наших партнеров пользовался услугами доставки одной большой компании. Но в один момент, когда он ожидал посылку, получил письмо: «Иван Иванович, Ваша посылка пришла! Перейдите по ссылке и выберите удобное время для доставки». То есть злоумышленники получили базу данных с персональными данными и делали адресные рассылки. Смогли бы вы не попасться на такую уловку?
В итоге, результативная кибербезопасность невозможна без формирования компетенций у всех сотрудников.
При этом специалисты из Positive Technologies разработали отличную и подробную матрицу компетенций директора по ИБ (CISO), с которой вы можете ознакомиться по ссылке. Positive Technologies вообще является одним из лидеров российского рынка информационной безопасности и разрабатывает курсы для директоров по информационной безопасности.
Так какие нужны компетенции, у кого и на каком уровне необходимы?
Шкала оценки
Давайте для начала разберем шкалу компетенций, предлагаемой нами матрицы. Каждая компетенция имеет четыре уровня:
0 баллов – компетенция отсутствует;
1 балл – компетенция проявляется на базовом уровне. Сотрудник знает и применяет основные инструменты, но она не является его сильной стороной;
2 балла – компетенция выражена на достаточном уровне. Сотрудник проявляет экспертные знания и владеет инструментом. Может решать сложные задачи, участвовать в проектах, адаптировать инструмент под задачи организации. Однако он не может быть экспертом центра компетенций и просто, без сложной терминологии объяснить другим;
3 балла – компетенция проявляется на превосходном уровне и является сильной стороной сотрудника. Сотрудник может быть экспертом центра компетенций и решать нетипичные задачи с применением инструмента/компетенции. Кроме того, сотрудник способен транслировать знания и умения другим на простом и доступном языке с разбором на практических примерах.
Матрица компетенций
Матрицу компетенций CISO мы рекомендуем базировать на наработках Positive Technologies в области технологической экспертизы, но дополнить владением инструментами системного подхода. В итоге мы получаем следующую матрицу:
1. ИБ-компетенции
знание основных процессов организации и специфики их ИБ-обеспечения – 2-3 балла;
понимание влияния ИТ на деятельность организации и ключевые процессы, в том числе какие ИТ-системы в них задействованы – 2-3;
знание современных цифровых и телекоммуникационных технологий, возможность их применения для ИБ и потенциальные риски, подходы к нейтрализации этих рисков;
знание подходов к организации и обеспечению ИБ - 2-3;
знание нормативно-правовых актов в области ИБ и защиты информации – 2-3.
2. Инструменты системного подхода
бережливое производство – 1-2;
проектное и продуктовое управление – 2;
теория ограничения систем – 1-2;
управление коммуникацией – 2-3;
внедрение изменений, управление мотивацией и PR – 2-3;
практики регулярного менеджмента – 1-2;
чтение и описание бизнес-процессов – 1-2;
работа со стратегией и организационными структурами – 1-2.
А вот для других сотрудников, модель и матрица компетенций будет иная.
1. Компетенции по личной безопасности
Основные инструменты и методы атак на частных лиц, знание методов социальной инженерии и противодействия им
Правила "цифровой гигиены" в социальных сетях и работы с электронной почтой, методы защиты персональных данных и правила создания паролей
Правила использования поисковых систем и анализ веб-порталов и сайтов, знания методов маскировки вредоносных вложений
2. Компетенции по ИБ в организации
Основные инструменты и методы атак на организации
Выявление дипфейков (подмен голоса) и недостоверных писем
Правила безопасности со служебной информацией и коммерческой тайной
Знание недопустимых сценариев, в которых может оказаться сотрудник и критериев к ним
Выявление симптомов, характеризующие вторжение нарушителя
Знание контактных данных ответственных за ИБ по организации и правил ИБ организации
Знание государственных нормативно-правовых актов
3. Компетенция ИБ в цифровых проектах
Знание типовых уязвимостей цифровых технологий и умение формулировать ИБ-требования к цифровым решениям
Знание типовых рисков различных классов ИТ-систем
Знание типовых уязвимостей платформ и операционных систем
Определение недопустимых событий и сценариев, в которых может оказаться новое ИТ-решение или технология
Категории сотрудников
Всех сотрудников мы рекомендуем объединить в следующие категории:
собственник, СЕО; СЕО-1;
средний менеджмент (руководители подразделений), который не вовлечен в цифровые проекты или недопустимые сценарии;
средний менеджмент, который курирует и реализовывает цифровые проекты ;
средний менеджмент, который в зоне риска (задействованы в недопустимых сценариях, в т.ч. HR и маркетинг);
неформальные лидеры мнений;
специалисты, задействованные в цифровых проектах и недопустимых сценариях;
обычные сотрудники.
Исходя из этого подхода мы подготовили матрицу компетенций, которая приложена ниже.
Дорожная карта
Мы рассмотрели вопрос выстраивания информационной безопасности с точки зрения компетенций.
Теперь давайте рассмотрим дорожную карту. Конечно, всем бы хотелось всех универсальный алгоритм. К сожалению такого быть не может: у всех разные бизнес-процессы, специфики отрасли, организационные структуры, уровни автоматизации и цифровизации. Но дадим условную и обобщенную дорожную карту.
Этап 1. Подготовка
На этом этапе наша цель – закрыть наиболее очевидные пробелы и подготовиться к полномасштабной перестройке.
Что надо сделать:
определить события, реализация которых в ходе кибератак недопустима;
определить сценарии и критерии, которые могут привести к недопустимым событиям;
описать «как есть» необходимые процессы;
провести полную инвентаризацию ИТ-ландшафта;
проверить реальную защищенность организации и ее систем от неприемлемых событий;
провести ретроспективное расследование на предмет старых взломов;
выбрать отечественные системы защиты и провести планирование проектов внедрения (техническая часть);
усилить мониторинг, направленный на обнаружение киберугрозы.
подготовить программу обучения и инструкции для сотрудников, ответ на вопрос «зачем?» от обычного персонала и технарей;
провести массовое обучение персонала основам ИБ и противодействия социальной инженерии, правилам создания паролей.
Необходимые инструменты системного подхода для решения задач:
теория ограничения систем
управление проектами
моделирование и описание бизнес-процессов
коммуникация
внедрение изменений
цифровые технологии и ИТ-системы
Срок реализации: 6-12 месяцев.
Этап 2. Трансформация
Цели данного этапа:
провести трансформацию и выстроить результативную ИБ;
удлинить цепочки атак, чтобы было больше времени на реакцию и принятие мер;
сделать невозможными недопустимые события.
Для этого нужно:
внедрить защитные ИТ-решения и перестроить ИТ-ландшафт (защита периметра, песочницы и т.д.);
изменить бизнес-процессы и выстроить необходимую политику;
обучить необходимым ИБ-компетенциям специалистов из «зоны риска», участвующих в цифровых проектах;
систематический PR о достигнутых успехах;
провести промежуточные исследования и киберучение для выявления скрытых недопустимых сценариев и дополнительных направлений обучения сотрудников;
определить необходимые компетенции и наполнение для собственного центра компетенций;
выстроить системную работу по менеджменту уязвимостей и анализу нового и текущего ПО;
выстроить процессы безопасной разработки (DevSecOps) для ИТ-компаний
выстроить работу с поставщиками ИТ-решений, в том числе конкретизировать ИБ-требования и проводить анализ решений на наличие уязвимостей.
Ключевые инструменты системного подхода для решения задач:
управление проектами;
моделирование и описание бизнес-процессов;
коммуникация;
внедрение изменений;
цифровые технологии и ИТ-системы.
Срок: 6-12 месяцев
Этап 3. Закрепление изменений и перевод ИБ в постоянную функцию
Цель данного этапа – сделать ИБ не разовым проектом, а стабильной функцией, чтобы через полгода-год не откатиться назад.
Ключевые задачи данного этапа:
сформировать собственный центр компетенций из базы знаний и обученных специалистов
закрепить практики новыми стандартами, памятками, инструкциями, правилами, описанными бизнес-процессами;
регулярно проводить киберучения с выявлением новых критериев и сценариев недопустимых событий;
материально и публично поощрить сотрудников, участвовавших в предыдущих этапах;
изменить KPI сотрудников из зон риска и ответственных за цифровое развитие;
проводить оптимизацию и автоматизацию ИБ.
Необходимые инструменты системного подхода для решения задач:
бережливое производство
практики регулярного менеджмента
коммуникация
цифровые технологии и ИТ-системы, автоматизация.
Срок: 1-2 года.
Наиболее распространенные ошибки, которые могут сорвать построение ИБ или увеличить сроки:
поставить задачу и не дать ресурсов с полномочиями на ее исполнение;
фокус на том, что сейчас сделаем хорошо, а потом само все будет работать. То есть игнорирование процессного управления и системного подхода;
ориентация на процесс без результата;
спускание целеполагания и выявления недопустимых событий на уровень исполнителей без соответствующих компетенций, использующих свои понятные им метрики. Директор по ИТ или директор по кибербезопасности просто не смогут выявить бизнес-риски.