Бенчмаркинг как инструмент управления кибербезопасностью
Высокие технологии и цифровизация экономики задают образ современной жизни. Ещё относительно недавно роботы, виртуальная реальность и «умные часы» были частью фантастических сюжетов, а сегодня это часть нашего бытия. Чтобы выжить и развиваться в наше время, компании вынуждены адаптироваться к быстрым технологическим изменениям.
Метаморфозы затрагивают и кибербезопасность. С одной стороны, новые технологии можно использовать для противодействия киберугрозам. С другой стороны, сами эти технологии порождают огромное количество киберугроз, от которых нужно защититься. Сделать это в одиночку едва ли возможно, поэтому сейчас активно развивается взаимодействие между сотрудниками безопасности: появляются различные комьюнити, форумы, конференции по кибербезопасности.
Топ-менеджмент компаний также интересуется опытом других организаций в области кибербезопасности. Такая информация является одним из инструментов управления, так как позволяет учиться на чужих успехах. Для того чтобы формализовать и использовать чужой опыт, можно провести сравнительный анализ систем кибербезопасности других компаний. Иначе говоря, бенчмаркинг кибербезопасности.
Что такое бенчмаркинг?
Бенчмаркинг — эталонное тестирование. Это сравнение характеристик чего-либо
с аналогичными характеристиками конкурентов. Бенчмаркинг появился в 70-80-х годах в США как инструмент маркетинговых исследований, и постепенно практика его проведения распространилась по всему миру и по многим отраслям.
Бенчмаркинг можно использовать для сравнения внутренних процессов компании с внутренними процессами других компаний. Проведя такую активность, мы сможем определить области для улучшения своих процессов. Другими словами, мы сможем понять, где мы отстаём от общемировой практики и что нам сделать для того, чтобы уменьшить это отставание.
Как провести бенчмаркинг?
Бенчмаркинг состоит из трёх основных этапов:
- определение методологии, то есть области сравнения, показателей и референтной (сравнительной) группы;
- сбор информации по нашей компании;
- сравнение наших показателей с аналогичными показателями по референтной группе.
Определение методологии
Сначала нам нужно определиться: что, с кем и по каким показателям мы хотим сравнить.
Определение области сравнения
Областью сравнения в нашем случае будет кибербезопасность. Чтобы получить более полную картину, нужно разделить область сравнения на несколько доменов. В данном случае под доменом будем понимать различные направления кибербезопасности.
Домены кибербезопасности описаны, например, в таких известных стандартах, как NIST, ISO 27001, CobiT и многих других. Когда мы первый раз проводили бенчмаркинг, мы проанализировали эти документы и составили агрегированную модель, при этом адаптировав её под те направления кибербезопасности, которые есть в Сбербанке. Получились следующие домены:
- Стратегия кибербезопасности
- Оргструктура
- Архитектура КБ
- Отчётность в области кибербезопасности
- Коммуникации в области кибербезопасности
- Оценка рисков КБ
- Взаимодействие с дочерними компаниями
- Взаимодействие с третьими сторонами
- Политики в области кибербезопасности
- Безопасность разработки ПО
- Защита приложений в процессе эксплуатации
- Управление доступом
- Безопасность данных
- Управление информационными активами
- Мониторинг событий
- Управление инцидентами
- Расследования
- Сетевая безопасность
- Безопасность конечных устройств
- Управление уязвимостями
- Киберразведка
- Тесты на проникновение
- Осведомлённость
- Обучение сотрудников службы кибербезопасности
- Мониторинг требований законодательства и регуляторов
- Соответствие требованиям законодательства и регуляторов
- Защита персональных данных
- Противодействие кибермошенничеству
- Непрерывность бизнеса
Определение референтной группы
При определении референтной группы необходимо учитывать, что в разных отраслях экономики разные бизнес-процессы, различная информация и, как следствие, используются различные методы и средства для обеспечения кибербезопасности. Поэтому в качестве референтной группы необходимо брать компании из той же отрасли, что и наша компания. Например, сравнение процессов кибербезопасности банка и энергетической компании практически не имеет смысла, потому что банки в основном озабочены защитой финансовых операций, а энергетические компании — безопасностью АСУ ТП. Такое сравнение покажет, например, что в энергетической компании намного слабее развит антифрод. Но почти наверняка энергетической компании антифрод вообще не нужен, в то время как в банке с очень большой вероятностью не будет развиваться безопасность АСУ ТП.
Сравнивать компании с числом сотрудников 1000 человек с компанией со 100000 сотрудников не имеет смысла, так как у них совершенно разная зрелость бизнес-процессов, включая процессы кибербезопасности. В компании с 1000 человек может не быть сложной распределённой инфраструктуры, автоматизации многих бизнес-процессов, возможности удалённой работы с планшетов и смартфонов. В компании со 100000 человек, скорее всего, всё это есть, поэтому она подвержена большему количеству угроз и вынуждена инвестировать в кибербезопасность и развивать её.
Таким образом, можно сделать вывод, что сравнивать себя нужно с релевантными вам компаниями, то есть похожими по размеру и из той же отрасли.
Определение показателей сравнения
Очень часто в качестве показателя используют процентное соотношение бюджета на КБ от бюджета на ИТ.
Другой очень популярный показатель — численность службы кибербезопасности (тоже в процентах от ИТ). По таким и подобным показателям проводится сравнение, например, в ежегодных опросах от известных мировых консультантов.
Но большое количество сотрудников КБ или огромные бюджеты ещё не говорят о том, что наши процессы кибербезопасности работают результативно и эффективно. Поэтому при создании нашей методологии мы решили пойти дальше и посчитать интегральный показатель зрелости кибербезопасности.
Такой интегральный показатель можно определить, используя известную модель зрелости CMMI (Capability Maturity Model Integration). CMMI говорит о пяти уровнях зрелости процессов:
- Начальный
- Управляемый
- Определённый
- Управляемый на основе количественных данных
- Оптимизируемый
Рассмотрим эту модель на примере домена управления инцидентами КБ:
1 уровень. Производится реагирование ad-hoc на резонансные инциденты. Процессы реагирования на инциденты не описаны, в компании не используется SIEM-система (Security Information and Event Management).
2 уровень. Разработаны некоторые документы по реагированию на инциденты. Отчётность руководству предоставляется только после того, как произошли серьёзные инциденты. Производится реагирование на инциденты, но пока нет SIEM. Выполняется анализ корневых причин инцидента, но только в случае самых крупных и критичных инцидентов.
3 уровень. Мы реагируем на инциденты в режиме 24/7. Разработаны и утверждены все необходимые документы для реагирования на инциденты, описаны процессы реагирования на инциденты. Также формально описан процесс анализа корневых причин. Разработана и используется классификация инцидентов. Для значительной части инцидентов разработаны детальные инструкции по их устранению. Отчётность предоставляется периодически. Начато взаимодействие с CERT’ами. Сотрудники, задействованные в процессах, проходят обучение. Есть SIEM.
4 уровень. Разработаны процессы взаимодействия с подразделениями ИТ и бизнеса в случае возникновения инцидента. Сформирована система KPI и метрик процессов. Сотрудники, задействованные в процессах, обладают необходимыми компетенциями и постоянно обучаются. Мы используем систему тикетов, внедрённую для управления инцидентами КБ.
5 уровень. Описаны и внедрены все процессы, внедрены KPI. Процессы пересматриваются и совершенствуются на периодической основе. Отчётность автоматизирована и работает в режиме, максимально приближенном к режиму реального времени. Есть SIEM и IRP (Incident Response Platform). Мы постоянно сотрудничаем с различными организациями, включая CERT’ы, по реагированию на инциденты.
Аналогичным образом описываются все остальные домены кибербезопасности.
Как рассчитать необходимые показатели по компании?
Итак, методика оценки есть. Теперь нам нужно рассчитать зрелость нашей компании в области кибербезопасности. Для этого потребуется провести интервью с ключевыми сотрудниками, изучить внутренние документы компании и провести расчёты.
Основная проблема, с которой можно столкнуться на этом этапе, — это непонимание сотрудниками цели проводимых работ. Очень многие воспринимают бенчмаркинг как очередной аудит. Любой аудит, даже самый дружественный, у многих людей вызывает стресс. Человек всегда хочет представить свою работу в самом выгодном свете. При проведении бенчмаркинга важно, чтобы сотрудники максимально честно отвечали на вопросы, не приукрашивая текущую действительность. Только тогда это мероприятие принесёт эффект.
Правильным шагом станет проведение совместной встречи для руководителей подразделений, чтобы вовлечь их в процесс и объяснить им его суть.
Как сравнить получившиеся показатели с аналогичными показателями по референтной группе?
Основной вопрос этого этапа: где взять данные по референтной группе?
Тут возможны два варианта: либо запрашивать непосредственно у компаний из референтной группы, либо пользоваться услугами различных консультантов, которые работали с этими компаниями.
Первый вариант весьма сомнителен — вряд ли кто-то будет массово раскрывать информацию об организации кибербезопасности внутри своей компании.
Работать с консультантами — значительно проще и быстрее. Но при выборе этого варианта стоит учитывать, что конкретных данных по каждому из членов референтной группы мы не получим, так как консультанты связаны с клиентами соглашениями о неразглашении информации. Таким образом, они не смогут рассказать нам, как организована кибербезопасность у каждой из компаний нашей референтной группы. Максимум, на что можно рассчитывать, — это среднее значение по референтной группе по каждому из доменов. Ваши результаты могут выглядеть примерно так:
Рис.1. Пример результата бенчмаркинга кибербезопасности
Какие проблемы могут возникнуть при проведении бенчмаркинга?
Выше уже описаны некоторые из проблем, с которыми можно столкнуться при проведении бенчмаркинга. К ним относится труднодоступность данных или непонимание сотрудниками целей работ.
Но есть ещё одна проблема: бенчмаркинг — это всегда субъективно. Во-первых, методика обычно довольно общая, и различные компании по-разному могут интерпретировать её пункты, а, следовательно, у кого-то результат по домену получится 2, а у кого-то 2,5.
Во-вторых, оценка консультанта — это не более чем его мнение. Во время проведения бенчмаркинга мы привлекли две консалтинговые компании для проведения одних и тех же работ и получили разные результаты. Итоговые оценки отличались друг от друга. Различие можно объяснить тем, что были разные референтные группы, и оценивали разные люди.
Чтобы снизить такой субъективизм, можно и нужно привлекать разных консультантов, а также проводить такие работы самостоятельно.
Как использовать результаты?
Главная цель бенчмаркинга — понять, какие действия нужно предпринять, чтобы не отставать от компаний референтной группы. То есть не столько важны цифры, сколько выводы по итогам сравнения. Модель CMMI хорошо для этого подходит. Она хоть и эфемерна, но на стратегическом, концептуальном уровне даст представление о том, куда нам двигаться дальше.
Получившаяся «роза ветров» наглядно показывает, по каким доменам у нас наблюдается наибольшее отставание от референтной группы. Именно эти домены нужно развивать в первую очередь.
Бенчмаркинг необходимо проводить периодически. Сейчас в мире регулярно появляются новые вызовы, поэтому направление развития может в любой момент измениться. Поэтому периодический бенчмаркинг можно рассматривать как инструмент непрерывного совершенствования.
Таким образом, бенчмаркинг является неплохим инструментом стратегического планирования. Он призван помочь нам разобраться, по какому пути идти дальше и какой проект запустить следующим.
Однако стоит помнить о том, что не всегда нашей компании подходит тот путь, который подошёл большинству других — ведь все организации имеют уникальные особенности. Бенчмаркинг послужит ориентиром при выборе дальнейших направлений развития и его нужно принимать во внимание, но бездумно опираться на результаты не стоит.
Ольга МАКЛАШИНА,
руководитель направления отдела киберкультуры Сбербанка
Опубликовано 16.04.2018