Проблемы взаимодействия ИБ и ИТ департаментов: взгляд...
DESCRIPTION
http://www.risc.today/TRANSCRIPT
Проблема взаимодействия ИТ и ИБ. Взгляд со стороны ИБ
Юрий Шойдин
Член правления Российского Союза ИТ-директоров
Связан с ИТ отраслью с 1992 года. Имею 3 высших профильных образования, в том, числе МВА и
несколько специальных Основная специализация - проектирование сложных изменений в
организации и системах управления Более 35 проектов внедрения информационных систем (учетных и
систем безопасности) на предприятиях по всей России в качестве РП Участвовал в создании элементов Электронного Правительства (ЭП) в
Правительстве Санкт-Петербурга
Являюсь: • Действующим руководителем проектов (PMP) • Членом Правления Российского Союза ИТ директоров (СоДИТ) • Членом Правления Ассоциации Руководителей Служб ИБ (АРСИБ)
Познакомимся
2
Очень трудно заставить человека понять что-нибудь, если его доход напрямую зависит от его непонятливости.
Эптон Синклер
3
Требования к информации:
• Доступность информации
• Достоверность информации
• Своевременность информации
• Конфиденциальность информации
Требования Бизнеса (1/2)
Информация – самый важный из ресурсов современного общества, вокруг которого крутятся деньги.
Развитие ИТ:
• Технологии
• Оборудование и программное обеспечение
• Сети (проводные и беспровод-ные)
• Внешняя инфраструктура
• Организационные технологии
4
Требования Бизнеса (2/2)
К подразделению СБ/ИБ:
• Защита информации от утечек в любой форме
• Разделение уровня информированности (полномочий, доступов)
• Разные виды контролей (внутри ИС или на основании ее данных)
• Анализ рисков организации • Выполнение требований
регуляторов (защита ПДн)
К подразделению ИТ:
• Снижение зависимости от ИТ • Обеспечение доступности
информации • Анализ рисков • Измерение эффективности
процессов • Персонализация • Оптимизация расходов
5
Дорожная карта
Шаги Действие Описание
1 Признание проблемы Чувствуем, что-то не то, начинаем
оглядываться…
2 Сбор признаков (симптомов) Определение признаков, которые дают
нам понимание в чем выражается проблема
3 Анализ признаков и выявление проблемы
Формулирование проблемы
4 Анализ проблемы и выявление ее причины
Определение из-за чего появилась проблема, что нужно изменить, чтобы проблема исчезла
5 Планирование мероприятий действующих на причину
Что и кто должен делать чтобы избежать
*** В данном случае уместно использовать «Технологию проектирования сложного изменения в организации», так как это позволяет не только выявить причины происходящего, но и сформировать план действий по изменению ситуации.
6
Основные проблемы взаимодействия ИТ и СБ/ИБ
• Распределение ресурсов и полномочий
• Взаимоисключающая деятельность
• Что еще? …
7
Проблема 1. Распределение ресурсов и полномочий
ИТ ИБ
За ресурсы
За полномочия
Зона конфликта
Кто принимает решение
Кто несет ответственность
Прогр.-Тех. средства Персонал
8
Причины конфликта ИТ и СБ/ИБ
• Условие: Два мальчика в песочнице. Один играет в машинки и строит дороги, другой делает куличики из формочек
• Вопрос 1: Что произойдет через некоторое время?
• Вопрос 2: Почему это произошло?
• Целью деятельности любого подразделения безопасности является защита (сохранение, недопущение и проч…), соответственно метод обеспечения – это ограничения.
• Деятельность ИТ обратная по своей природе – еще быстрее, доступнее и проч …, соответственно, и метод обеспечения – открытость и мобильность, что в корне противоречит целям и методам безопасности.
9
Проблема 2. Противонаправленность действий
ИТ СБ
Увеличение доступности
Уменьшение доступности
ИБ
Теорема о точке равновесия: Конечный конфликт N субъектов с полной информацией имеет точку равновесия.
Максимум открытости может быть только при максимуме контроля
10
Причины порождающие проблемы
• Несоответствующая организационная структура
• Разные типы мышления ИТ и СБ
• Что еще?...
11
Причина 1. Организационная структура
Подчиненность первому лицу / совету директоров
Подчиненность подразделению ИТ
5
Подчиненность подразделению безопасности
Наибольшее распространение Не крупные компании с ярко выраженной ИТ составляющей
12
Место ИБ в структуре предприятия
Подчиненность Первое лицо / СД Подразделение ИТ
Подразделение безопасности
Плюсы
1. Статус направления;
2. Общение напрямую с
первым лицом/советом
директоров;
3. Независимость в принятии
управленческих решений;
4. Эффективность
деятельности;
5. Соответствие мировой
практике.
1. Эффективность
взаимодействия ИБ и ИТ;
2. Высокий уровень
компетенции специалистов
ИБ в специфике ИТ
инфраструктуры компании;
3. Единый центр
ответственности.
1. Комплексный подход к
информационной безопасности
за счет взаимодействия с
физической и экономической
безопасностью;
2. Независимость в принятии
управленческих решений;
3. Эффективный контроль
внутренних угроз.
Минусы
1. Неготовность российского
менеджмента. Исключение
– банковская сфера;
2. Недостаточная
квалификация менеджеров
по информационной
безопасности;
3. Малое количество
прецедентов в России.
1. Зависимость направления ИБ
от ИТ;
2. Сомнительная
эффективность контроля
состояния информационной
безопасности;
3. Основная направленность –
безопасность ИТ-сервисов
(сетевая безопасность,
антивирусная защита и др.);
4. Контроль внутренних угроз не
входит в компетенцию ИТ.
1. Низкая квалификация
руководителей безопасности в
вопросах ИБ;
2. Разделение ответственности с
ИТ в части непрерывности ИТ-
сервисов;
3. Основная направленность –
мониторинг и расследование
инцидентов. Реже аудит ИБ,
анализ рисков, контроль
эффективности менеджмента
ИБ. 13
Причина 2. Разные типы мышления
• Психология CSO=CEO основана на элементах ре-активного управления. Как правило, это управление по отклонениям. При выявлении проблемы идет команда, что необходимо сделать для ее устранения. В последствии рефлексия и ограничение, чтобы не повторить.
• Психология же CIO основана на элементах про-активного управления. Это использование потенциальных возможностей: мы видим технические возможности и можем предложить их для устранения возможных проблем в будущем.
Это и есть основная психологическая проблема «разных языков» CIO и CSO. А какая должна быть психология CISO?
14
Методы устранения проблем
Структура. Функции
Полномочия. Ответственность
KPI. Мотивация
Правильно определить место ИБ в структуре.
Разделить функции СБ, ИБ, ИТ
Пересмотреть систему мотивации/демотивации. Ввести связанные KPI (зависящие от второго
подразделения)
Прописать на уровне подразделения не
только полномочия, но и ответственность. Составить матрицы ответственности за
функции или сервисы
Очень трудно заставить человека понять что-нибудь, если его доход напрямую зависит от его непонятливости.
Эптон Синклер
Чеширский Кот, - начала Алиса, – не будете ли Вы так любезны подсказать мне, каким путем лучше выйти отсюда? Это зависит от того, куда Вы хотите попасть, – сказал Кот.
16