Хватит внедрять “техничку” для безопасности - настрой бизнес-процессы!

Сначала открою секрет, что безопасность любой компании от хакеров или инсайдеров - это вероятностное событие. Как со страховкой на автомобиль или на жизнь - мы не можем гарантировать, что ДТП или травма не произойдет, но на случай неблагоприятного события у нас будет «страховка», которая облегчит страдания.

В случае с системой безопасности мы не просто страхуемся на случай неблагоприятного события (удаления данных, остановки бизнес процесса), но еще и осложняем его наступление.

Продолжая аналогию с автомобилем, наша задача купить машину подороже, потому что там есть АБС, система стабилизации, полный привод, система предупреждения о столкновениях, экстренного торможения и пр. Система безопасности для бизнеса - это набор этих необходимых систем, спасающих бизнес процессы компании.

Поэтому вначале важно посмотреть, какие системы уже есть в бизнесе и что действительно важно защитить. Результатом аудита обычно является пересмотр плана закупок систем безопасности и отказ от тех «типовых» вещей, которые хотел внедрить собственник (или неопытный безопасник).

Например, есть компания, которая хотела потратить кучу денег на защиту офиса, а в итоге мы убедили, что им надо потратить минимум для… защиты самой базы данных и доступа к ней, которая располагается в облаке. Это

• полностью изменило стратегию,
• позволило сэкономить бюджет
• Внедрило в бизнес большее количество систем, которые действительно «предотвращают ДТП» с хакерами и инсайдерами

В рамках другой компании оказалось ,что до технических средств еще далеко - можно решить текущую проблему утечки данных и выявление инсайдеров (которые, кстати, пошли под увольнение!) через внедрение и контроль бизнес-процессов (то есть только организационными методами)! Как думаете, какая тут была разница в бюджете?

Поэтому аудит и необходим - чтобы создать работающую систему безопасности (ну или определить, что текущая система не работает). Цель - “бить” в то место, которое действительно самое слабое, укреплять его. При этом с минимальными затратами!

Если формально описать процесс по шагам, то рекомендуем самостоятельно (или с нашей помощью) делать следующее:

• определить перечень бизнес-процессов, от которых зависит ваш бизнес - что будем защищать и страховать. Идеально, если это сделать с помощью числовых показателей - например, стоимость часа простоя
• Составить список ИТ систем, которые поддерживают эти бизнес процессы. В итоге у вас появится таблица «стоимости потери» для каждой из этих систем (учитывайте, что один бизнес-процесс может обслуживать несколько систем)
• Дальше надо составить набор «сценариев» - это матрица доступа пользователей, как этими ИТ-системами в рамках бизнес-процесса пользуются сотрудники или клиенты
• Проверить, есть ли возможность как-то обойти эти сценарии или как еще злоумышленник может получить доступ к данным в ИТ системах
• После формирования перечня сценариев мы должны создать запретительную модель - разрешить только «нужные» взаимодействия, и запретить «ненужные» (опасные), составленные на предыдущем шаге

Тогда отсюда рождается перечень систем защиты или настроек безопасности внутри существующих систем. Это либо наложенные средства защиты (например, DLP или антивирус), либо усиление безопасности существующих систем (например, настройка CRM). А возможно, как я уже писал, можно будет обойтись организационными методами.

Помните, что защитить все (серверы, компьютеры, гаджеты) невозможно. Грамотная система защиты - это про отсекание лишнего и создание управляемой, эффективной, экономичной системы, которую будет легко сопровождать. Это про умение сказать «нет!».