Интервью с Алексеем Воронцовым (Cloud Networks) про консалтинг в ИБ

Редакция CISOCLUB поговорила с Алексеем Воронцовым, директором департамента консалтинга Cloud Networks, о стратегиях информационной безопасности и роли внешних консультантов в их реализации. В интервью эксперт рассказал, какие ключевые задачи должна решать ИБ-стратегия, как она соотносится с реальными угрозами и бизнес-целями компании, а также на каких этапах целесообразно привлекать стороннюю экспертизу. Алексей подчеркнул важность комплексного подхода и экономической целесообразности мер защиты, отметив, что безопасность должна быть не просто затратной статьей, а инвестиционным механизмом для снижения рисков.

В ходе интервью Алексей также поделился опытом создания и управления центрами мониторинга ИБ (SOC), подчеркивая, что внешний консультант может сыграть ключевую роль в ускорении процессов их построения и внедрения. Эксперт рассказал о типичных ошибках, с которыми сталкиваются компании, пытаясь внедрить комплексную систему обеспечения ИБ, и как избежать таких ситуаций с помощью внешней экспертизы. Алексей отметил, что только системный подход и поэтапное развитие SOC позволяют добиться эффективности в обеспечении безопасности.

Интервью охватывает и новые угрозы в информационной безопасности, которые требуют особого внимания при разработке проактивных стратегий. Алексей объяснил, почему важно учитывать бизнес-планы компании при создании ИБ-стратегий, как это влияет на выбор приоритетов, и как консультанты могут помочь компании адаптироваться к изменяющемуся ландшафту угроз.

Какие ключевые задачи должна решать стратегия информационной безопасности для современного бизнеса?

Информационная безопасность – это комплексная и сложная задача с большим количеством переменных. Тут важно не столько наличие какого-то одного средства защиты, сколько именно комплексный подход и ширина картины: где среди всех направлений выбранных контролей и средств достаточно, а где уровень защиты ниже, чем у коллег вашей компании по цеху. Необязательно иметь максимально возможный уровень защиты (бежать быстрее медведя), зачастую достаточно иметь уровень защиты выше среднего по рынку (бежать быстрее Васи).

Не следует также забывать о том, что применяемые методы и средства защиты не должны стоить больше, чем ущерб от тех рисков, от которых они защищают. Иначе получится, что ИБ больше вредит компании, чем приносит реальную пользу.

В каких случаях компании стоит привлекать внешнего ИБ-консультанта для разработки стратегии безопасности?

Внешнего ИБ-консультанта стоит привлечь, когда требуется внешняя оценка того, что в компании сделано в настоящий момент и насколько это соответствует реалиям сегодняшнего дня, а также оценка среднерыночного уровня ИБ сравнимых с вами компаний, стратегии развития бизнеса компании и стратегии ИТ. Использование внешнего консультанта позволяет получить взгляд извне, доступ к опыту других компаний, и всё это без отрыва от производственных процессов, ключевых для ИБ и ИТ.

Какие преимущества может предложить внешняя экспертиза в создании и управлении SOC?

Из всех подразделений департамента ИБ именно SOC имеет наиболее сложные внутренние производственные процессы, связывающие деятельность различных элементов (инжиниринг, аналитика по угрозам, дежурная смена) в единый механизм мониторинга и противодействия инцидентам, постоянно адаптирующийся к новым угрозам. И если для технической составляющей SOC есть большое количество технического и методического материала, то для внутренних процессов работы SOC как подразделения таких материалов мало. И к тому же для каждой из организаций в SOC закладываются какие-то свои смыслы и задачи, и поэтому данные процессы становятся уникальными. Выстраивание процессов – это долгий путь, а результаты от SOC требуют показывать как можно раньше. Внешний консультант позволяет существенно ускорить данный процесс.

На какие аспекты нужно обращать внимание при проектировании и создании центра мониторинга ИБ (SOC)?

Центр мониторинга ИБ (SOC) как организационная единица департамента ИБ – это комбинация сотрудников, работающих в рамках определённых технологических процессов с различными техническими средствами. Его создание и трансформация, как правило, занимают не один год. Но ни одна организация не пойдёт на большие инвестиции в ИБ, не видя результата на таком отрезке времени. В связи с этим целесообразно применение фазовых подходов, когда SOC создаётся и модернизируется пошагово, на каждом шаге получая работоспособную, но всё более усложняющуюся структуру. С увеличивающимся на каждом шаге уровнем зрелости и глубиной решаемых задач.

В связи с этим один из ключевых вопросов при проектировании развития SOC – это постоянная синхронизация технической архитектуры, карты процессов и оргструктуры на протяжении всех точек развития. Только так можно достичь развития без отрыва от производственного процесса.

Какие типичные ошибки встречаются при внедрении стратегии защиты данных и как их избежать?

Наиболее частыми ошибками при внедрении стратегии защиты данных являются отсутствие у сотрудников департамента ИБ полной картины потоков данных в компании и возможного влияния на бизнес. Для современных корпоративных хранилищ данных с активным процессом разработки новых продуктов и работой специалистов в области Data Science и Data Engineering неконтролируемое расползание данных – это, скорее, норма, чем исключение. И в этой ситуации выстраивание процессов обнаружения и классификации данных является очевидным вызовом департаменту ИБ.

В чем заключается роль внешнего консультанта при построении системы защиты данных для крупных и средних компаний?

С одной стороны, внешний консультант может помочь выполнить регулярные задачи, такие как нахождение и классификация данных в целевых системах и хранилищах и сопоставление найденных данных с картой уязвимостей и рисков. С другой – он может помочь выстроить процессы внутри компании для регулярного проведения подобных исследований, а также помочь определить стратегию защиты данных компании, включая технический, организационный и процессный аспекты и с учётом требований регуляторов, отраслевых и национальных стандартов и бизнеса к защите тех или иных категорий данных, а также возможного влияния на бизнес нарушения их доступности, конфиденциальности и целостности.

Как оценить успешность внедренной стратегии ИБ, если она разрабатывалась при участии внешнего консультанта?

Для каждой разрабатываемой стратегии ИБ, как правило, предусматривается набор KPI и метрик, по которым можно оценивать прогресс её исполнения и вносить коррективы. Но KPI — это, скорее, инструмент проверки успешности внедрения стратегии, а не успешности самой стратегии.

Для самой стратегии ИБ успешность – это совпадение развития ИБ как с ожиданиями развития бизнеса и ИТ, так и с прогнозом ландшафта угроз на время действия данной стратегии. И это уже проверяется только временем. Поэтому важно тщательно подходить к выбору внешнего консультанта и к опыту его сотрудников.

Какие новые угрозы в ИБ требуют особого внимания при разработке стратегии защиты с привлечением консультантов?

Стратегия – это план развития ИБ на диапазон нескольких следующих лет, поэтому для неё важно быть проактивной, учитывать не только текущие угрозы, но в особенности угрозы новые, которые могут появиться в том числе в связи с развитием бизнеса самой компании. Если в планах компании, скажем, выход на рынок ритейла и электронной коммерции, то стратегия ИБ сразу должна учитывать это и делать упор на такие аспекты, как DevSecOps, безопасность разработки, а также развитие систем аутентификации клиентов и защиты веб-приложений.

Именно проактивный подход и учитывание стратегий и планов бизнеса позволяет ИБ развиваться параллельным курсом, становясь для бизнеса не «стоп-фактором», а являясь фактором снижения риска при выходе на новые рынки и при изменении моделей ведения бизнеса.