Бизнес-модели в деятельности безопасника

Бизнес-модели в деятельности

специалистов по безопасности

Лукацкий Алексей, консультант по безопасности

[email protected]

ДЛЯ ЧЕГО НУЖНЫ МОДЕЛИ?

Моделирование… не угроз

• Особенности деятельности многих

служб и специалистов ИБ

– Многие процессы в деятельности

служб ИБ носят хаотический и

неструктурированный характер

– Многие проекты в деятельности

служб ИБ не учитывают ни

перспектив, ни общей картины, ни

стратегии развития компании

• Модели

– Структурируют главное

– Позволяют отбросить

второстепенное

– Позволяют по новому взглянуть

на деятельность по ИБ

МАТРИЦА ЭЙЗЕНХАУЭРА

Матрица Эйзенхауэра

• «Самые срочные решения редко

бывают самыми важными»

– Дуайт Эйзенхауэр

• Матрица Эйзенхауэра позволяет

отделить важное от срочного

• Сфера применения

– Приоритезация проектов

– Подписание документов

Важно, но не

срочно

Важно, но не

срочно

Срочно и важно

Срочно и важно

Не важно и

не срочно

Не важно и

не срочно

Срочно, но не важно

Срочно, но не важно

Пример матрицы Эйзенхауэра для проектов по ИБ

Обновление лицензии ФСБ на деятельности в области шифрования

Обновление лицензии ФСБ на деятельности в области шифрования

Защищенный мобильный доступ руководства к

внутренний информационной системе

Защищенный мобильный доступ руководства к

внутренний информационной системе

Моделирование угроз для проекта по ПДн

Моделирование угроз для проекта по ПДн

Обновление антивируса Обновление антивируса

Не срочно Срочно

Важ

но

Н

е в

аж

но

SWOT-АНАЛИЗ

SWOT-анализ

• Разрыв между планами и

их реализацией обычно

связан не с низкой

компетенцией сотрудников,

а с нечетко поставленными

задачами

• SWOT

– Strengths

– Weaknesses

– Opportunities

– Threats

• Исследования

Стэнфордского

университета в США в 60-х

годах

SWOT-анализ

• Решаемые вопросы

– Как максимально использовать сильные стороны и

компенсировать слабые?

– Как максимально использовать возможности?

– Как защититься от рисков?

• Сфера применения

– Оценка проектов по ИБ

– Оценка собственных возможностей в целях карьерного роста

– Оценка продуктов по защите информации

Пример SWOT-анализ проекта по созданию VPN-сети

Наличие сетевого оборудования с функцией

IPSec VPN

Наличие сетевого оборудования с функцией

IPSec VPN

Конфликт с ИТ в части эксплуатации средств

защиты

Конфликт с ИТ в части эксплуатации средств

защиты

Возможность географической экспансии и перехода на мобильный

доступ сотрудников

Возможность географической экспансии и перехода на мобильный

доступ сотрудников

Сертификация ФСБ

Ввоз СКЗИ

Сертификация ФСБ

Ввоз СКЗИ

VPN VPN

Позитивно Негативно

Вн

утр

и

Сн

ар

уж

и

БОСТОНСКАЯ МАТРИЦА

Бостонская матрица

• Бостонская консалтинговая группа в 70-х годах разработала

метод, позволяющий оценить ценность портфельных инвестиций

в то или иное предприятие

Темные лошадки (Проблемные

дети)

Темные лошадки (Проблемные

дети)

Звезды (Желанные дети)

Звезды (Желанные дети)

Собаки (Мертвый груз)

Собаки (Мертвый груз)

Дойные коровы (Денежные

мешки)

Дойные коровы (Денежные

мешки)

Бостонская матрица

• Сфера применение

– Как выбрать наиболее выгодные проекты?

– Как выбрать центры силы в компании, которые могут сказать

«да» проекту по ИБ?

– Как ранжировать угрозы по их ущербу?

Пример: Cisco 2009 Cybercrime ROI Matrix

Пример: кто даст денег на проект по ИБ?

Служба внутреннего

контроля

Финансовый директор

HR ИТ-директор

Где деньги?

Где деньги?

УПРАВЛЕНИЕ ПОРТФЕЛЕМ

ПРОЕКТОВ

Что делать многостаночникам?

• Служба ИБ обычно запускает или участвует в множестве

проектов

– Как научиться держать все в поле зрения?

• Матрица управления портфелем проектов позволяет окинуть

взглядом все проекты по ИБ, в контексте разных пар факторов

– Затраты и время

– Достижение бизнес-цели и затраты

– Любые другие комбинации

• Затраты – это не только деньги, но и люди и время

Пример: распределение проектов по ИБ

Время

Бизнес-цели

Стратегические

Тактические

Оперативные

Будущее Запланированные Запущенные

DLP

AV

Cloud

FW

Aware-

ness

IDM

SAP

Лицен-

зия

ФСБ 2831-У

Пример: оценка риск-аппетита для проектов ИБ

50

25

0

50 0 100 150 200 ROI, ожидаемый в следующий 5 лет (%)

Вероятн

ость

отр

иц

ате

льного

RO

I (%

)

Инвестиционная граница

Приемлемые инвестиции

Неприемлемые инвестиции

ВЫБОР ЦЕЛЕЙ

А какие у нас цели?

• Прежде чем что-то делать и оценивать достижения, необходимо

понять, определить и зафиксировать цели, к которым мы

стремимся и достижение которых мы измеряем!

– Получение аттестата ФСТЭК на все АС/ИСПДн

– Сертификация ключевых процессов на соответствие ISO 27001

– Достижение 4 уровня по СТО БР ИББС

– Сокращение числа инцидентов ИБ до 3 в месяц

– Внедрение защищенного мобильного доступа для руководства

– Внедрение защищенного удаленного доступа для

географической экспансии

– Повышение устойчивости инфраструктуры к DDoS-атакам с

целью повышения лояльности клиентов и снижение их текучки

– Снижение затрат на ИБ на 15%

От простого к сложному: метод выбора целей KISS

• KISS – Keep It Simple,

Stupid!

– Не усложняй,

тупица!

• Цель не должна быть

недостижимой

– У вас не будет

надежды

• Цель должна быть

вызовом

– Иначе не будет

мотивации

От простого к сложному: метод выбора целей SMART

• SMART – Specific, Measurable, Achievable, Relevant, Timely

– Как можно конкретнее, без двойных толкований, для правильной

целевой аудитории

– Результат должен быть измеримым, а не эфемерным

– Зачем выбирать цель, которая недостижима?

– Соответствие стратегическим целям, а не «вообще»

– Своевременность и актуальность

Пример: SMART-выбор метрик ИБ

Характеристика Пример хорошей метрики Пример плохой метрики

Конкретная Число неудачных попыток

входа в систему в неделю на

одного сотрудника

Число неудачных попыток

входа в систему

Измеримая Уровень лояльности

внутренних клиентов

Доход от внедрения системы

защиты

Достижимая Число инцидентов в текущем

квартале < 5

Отсутствие инцидентов ИБ за

текущий квартал

Релевантная Число проектов по ИБ,

завершенных в срок

Число запущенных проектов

по ИБ

Актуальная Число пропатченных ПК в этом

году

Число пропатченных ПК в

прошлом году

От простого к сложному: метод выбора целей SMART-

PURE-CLEAR

• PURE – Positively Stated, Understood, Realistic, Ethical

– Позитивно формулируйте цель

– Цель должна быть понятна целевой аудитории

– Цель должны быть реалистична

– Не забывайте про этику

• CLEAR – Challenging, Legal, Environmentally Sound, Agreed,

Recorded

– Цель содержит вызов?!

– Легальна ли ваша цель?

– Не нарушает экологию?

– Согласована?

– Записана? Запротоколирована?

КРИВАЯ РОДЖЕРСА

Восприятие инноваций

• В маркетинге есть модель, называемая кривой Роджерса или

кривой восприятия инноваций

• Любая инновация воспринимается не сразу, а постепенно

• Сначала ее начинают применять новаторы, потом ранние

последователи, а уже за ними раннее и позднее большинство

Пример применения кривой Роджерса в ИБ

• Посмотрите на кривую Роджерса с точки зрения внедрения в

организации

– BYOD и BYOT

– Облачных вычислений

– Совмещение личного и рабочего

– Новые поставщики услуг – Google.Docs, Dropbox, Apple iCloud,

Facebook

• Вы готовы к их защите или рискам ИБ от них?

ПИРАМИДА МАСЛОУ

Чем человек отличается от обезьяны?

Потребности человека

• В 1943-м году философ Абрахам

Маслоу опубликовал модель

потребностей человека

– Основные физиологические

потребности (еда, сон, тепло, секс)

– Безопасность (жилье, постоянная

работа, здоровье, защищенность

от опасностей)

– Отношения (друзья, партнеры,

любовь)

– Признание (статус, власть, деньги)

– Самореализация

Применение пирамиды Маслоу в ИБ

• Не достигнув нижнего уровня

потребностей, человек не переходит на

следующий

– Зачем мне безопасность, если я

голоден?

• Знание потребностей позволяет понять

и использовать мотивацию человека

– Зачем мне думать об

информационной безопасности, если

я под страхом увольнения?

– Если ты нарушишь политику ИБ, мы

расскажем об этом всем коллегам и

вывесим на «доску почета»…

– Помоги нам с проектом по ИБ и тебя

наградят

От потребностей человека к потребностям компании

ПРИНЦИП ПАРЕТО

“Небольшая доля причин, вкладываемых средств или прилагаемых усилий, отвечает за большую долю результатов, получаемой продукции или заработанного вознаграждения.”

Вильфредо Парето (1848 – 1923)

Суть принципа Парето

• Диспропорция является неотъемлемым свойством соотношения

между причинами и результатами, вкладом и возвратом,

усилиями и вознаграждением за них

– Если мы изучим и проанализируем два набора данных,

относящихся к причинам и результатам, то скорее всего получим

картину несбалансированности

– 65/35, 70/30, 75/25, 80/20, 95/5…

• Он опровергает логическое предположение, что все факторы

имеют примерно одинаковое значение

• Принцип 80/20 будет работать всегда и везде, если не прилагать

усилий по его преодолению

Принцип Парето в безопасности

• 80% людей совершат НСД, если это не станет известным

• 88% ИТ-специалистов допускают месть работодателю после

своего увольнения

• 20% уязвимостей приводят к 80% всех атак

• Атаки обычно направлены на 95% уязвимостей, для которых уже

существуют способы устранения

• Только 20% функций СЗИ используются на практике

• Стоимость лицензии на систему защиты составляет около 15-

20% от совокупной стоимости владения

• 80% всех защитных механизмов и мер покрываются 20%

стандартов

• 80% стандартов покрывают 20% существующих

потребностей/технологий

Не бойтесь российских НПА по ИБ

•Разграничение доступа (+ управление потоками)

•Идентификация / аутентификация

•Межсетевое взаимодействие

•Регистрация действий

•Учет и маркировка носителей (+ очистка памяти)

•Документальное сопровождение

•Физический доступ

•Контроль целостности

•Тестирование безопасности

•Сигнализация и реагирование

•Контроль целостности

•Защита каналов связи

•Обнаружение вторжений

•Антивирусная защита

•BCP

•Защита от утечки по техническим каналам

Общие Общие

•Защита специфичных процессов (биллинг, АБС, PCI…)

•Защита приложений (Web, СУБД…)

•Нестандартные механизмы (ловушки, стеганография) Специфичные Специфичные

СИСТЕМА

СБАЛАНСИРОВАННЫХ

ПОКАЗАТЕЛЕЙ

Классическая BSC

• Система сбалансированных показателей известна как метод,

позволяющий оценивать предприятие не только с точки зрения

финансовых показателей, а сбалансировать (именно

сбалансированность является ключевым преимуществом данного

подхода) оценку по 4-м направлениям

Заказчик Заказчик Финансы Финансы

Внутренние процессы Внутренние процессы Обучение и рост Обучение и рост

Базовая BSC Базовая BSC

BSC для жизни

• Основная задача BSC – уйти от непонятной и сложно

формализуемой миссии компании в сторону конкретных,

измеряемых и достижимых целей

– При этом баланс заключается не только в оценке материальных

и нематериальных активов, но и в оценке текущей деятельности

и будущих перспектив, которые и позволяют компаниям

развиваться в конкурентной среде, а не стоять на месте

• В последние годы ряд экспертов, внедрявших BSC на

предприятиях, предложили расширить изначальные направления

новыми, лучше отражающими специфику отдельных компаний

– Пользователи, поставщики, регуляторы и т.п.

Система сбалансированных показателей в ИБ

Заказчик Заказчик

Ценность для бизнеса

Ценность для бизнеса

Операционная эффективность Операционная эффективность

Будущее Будущее

Compliance Compliance

Достоинства Ограничения

BSC – известный топ-менеджменту метод оценки бизнеса и его преломление в область ИБ позволит найти общий язык с бизнесом

Если BSC не принят в организации, то ограничение его только областью ИБ может не дать эффекта на уровне предприятия

BSC: ориентация на заказчика

Цель Что измеряем

Удовлетворенность заказчиков

Индекс удовлетворенности заказчиков (например, по

результатам опроса)

Число сотрудников бизнес-подразделений, которым

делегированы некоторые функции по ИБ

Число сотрудников, успешно прошедших тренинги по ИБ

Партнерство с бизнесом

Частота встреч управляющего комитета

Вовлечение службы ИБ в новые проекты, задачи и направления

бизнеса (например, в виде индекса)

Наличие в компании топ-менеджера, ответственного за ИБ

Выполнение проектов

Заданное качество проекта (например, в виде индекса)

Завершение проекта в срок (например, в виде индекса)

Уложились в бюджет (например, в виде индекса)

Реакция на запросы Скорость реагирования на звонки в help desk

Выполнение SLA

Процент приложений и сервисов, для которых разработан SLA

Число подразделений/заказчиков, заключивших SLA

BSC: ценность для бизнеса

Цель Что измеряем

Рост выручки предприятия Выручка от запуска нового канала продаж

Рост выручки на одного заказчика Рост удовлетворенности заказчика

Снижение текучки заказчиков

Снижение затрат

Разница между ценой коммерческой СЗИ и свободно

распространяемой

Стоимость звонков в help desk до и после внедрения системы

автоматизированного управления паролями

Стоимость работ по восстановлению работоспособности ИТ-

инфраструктуры

Контроль и управление ИБ-бюджетом

Соотношение реальных затрат с запрошенными

Процент ИБ-бюджета от выручки

Стоимость ИБ на одного сотрудника

Положительный возврат инвестиций ROI, NPV, PbP проекта по ИБ

Снижение затрат, связанных с рисками

Число инцидентов безопасности в квартал

Число систем, соответствующих требованиям регуляторов по

ИБ

BSC: операционная эффективность

Цель Что измерять?

Эффективность процессов

Процент сбоев системы защиты

Соответствие стандарта ISM3 или ISO 27001

Уровень зрелости процессов управления ИБ

Скорость процессов управления ИБ

Качество процессов управления ИБ

Адаптивность

Время инициации проекта после первого запроса

Время на внедрение/настройку системы защиты для нового

приложения

Скорость реакции на новые регулятивные требования

Управление проектами

Число завершенных проектов

Процент успешно завершенных проектов

Процент расхождения с бюджетом

Внутренняя безопасность Текучка кадров в службе ИБ

BSC: ориентация на будущее

Цель Что измерять?

Кадры Процент руководителей, в MBO которых включены

пункты по ИБ

Процент сотрудников службы ИБ, имеющих планы

профессионального развития

Процент трудовых договоров, включающих пункты о

соблюдении конфиденциальности и правил ИБ

Информация Соотношение «будущее развитие/текучка» в ИБ-

бюджете

Число компаний, с которыми заключены контракты

Число систем защиты на аутсорсинге

Существование архитектуры ИБ

Уровень стандартизации процессов, технологий и

систем

Культура Число сотрудников, понимающих миссию службы ИБ

Индекс зрелости культуры ИБ

Число задокументированных best practices или

success stories в области ИБ

BSC: ориентация на регуляторов

Цель Что измеряем?

Соответствие Завершение аудита на соответствие PCI DSS

Внедрение рекомендаций по управлению ИБ ITU-

T X.1051

Аттестация ФСТЭК на соответствие СТР-К

Регуляторы Число претензий со стороны регулирующих и

надзорных органов

PEST-АНАЛИЗ

PEST-анализ

• PEST-анализ

– Political

– Economic

– Social

– Technological

• Используется для стратегического анализа отрасли и изучения

долгосрочных тенденций ее развития

PEST-анализ отрасли ИБ в России

Экспертная оценка специалистов Cisco

В ЗАКЛЮЧЕНИЕ

Преимущества использования моделей

• Охватывают не все, а только самое

главное

• Сфокусированы только на том, что

полезно и важно

• Обобщают сложные взаимосвязи

• Визуализируют то, что сложно

объяснить на словах

• Упорядочивают и структурируют

• Не дают ответов, а скорее ставят

вопросы, решение которых

появляется в результате работы с

моделью

Бизнес-модели в деятельности безопасника

Self Improvement

Transcript of Бизнес-модели в деятельности безопасника