Cisco. Алексей Лукацкий. "Что движет ИБ на вашем предприятии?"

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
Что движет ИБ на вашем
предприятии?
Алексей Лукацкий
Бизнес-консультант по безопасности
alukatsk@cisco.com

Всего 3 драйвера ИБ на любом предприятии
• Самый простой способ «продажи» ИБ
• Можно вообще не знать особенностей и потребность заказчика и позицию
руководстваComplianceCompliance
• Самый первый и самый привычный способ «продажи» ИБ
• Срабатывает, если угроза имела место в недавнем прошлом
• Требует хорошего контакта с заказчиком/руководствомСтрахСтрах
• Новый и пока еще редкий способ «продажи» ИБ
• Требует серьезного знания бизнеса заказчика
• Требует выхода на уровень бизнеса
• Не реплицируется – каждое обоснование уникально
• Обоснование может показать, что ИБ невыгодна или не нужна заказчику!
ЭкономикаЭкономика

Почему угрозы в топку?
 Бизнес знает о кибер-угрозах!
Не думайте, что они не смотрят новости, не слышали про крепкий орешек 4.0 и т.п.
Но бизнес интересует, как угроза применима именно к нему!!!
 Статистика – это средняя температура по больнице. Ей мало верят
 Что является угрозой именно для вашего бизнеса, а не для авторов Verizon
DBIR?
 Каков ущерб?
 Как считали?

Почему законодательство в топку?
 Каково наказание?
Среднее? А максимальное?
 Есть правоприменительная практика?
 ИБ-compliance сегодня это пока не риск с точки зрения руководства в
большинстве случаев
Исключая отдельные случаи

6© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
Heartbleed – ошибка переполнения
буфера в криптографическом
программном обеспечении OpenSSL,
позволяющая несанкционированно читать
память на сервере или на клиенте, в том
числе для извлечения закрытого ключа
сервера
Определение из Wikipedia

Кстати, с аитишниками я не мог вообще
никогда вести переговоры. Мне казалось, что
я говорю на русском, а они – на козьем. Надо
иметь человека в компании, которыи
переводит с козьего, а нам с этим не везло
абсолютно. А переводчика с их стороны
практически никогда не бывало.
Евгений Чичваркин

Чем безопасники объясняют свои нужды?
Зачем?Зачем?Вы должныВы должны
Это недорогоЭто недорого
Если мы этого
не сделаем,
нас взломают
нас взломают
нас накажут
регуляторы
нас накажут
регуляторы
Все так
делают
Все так
делают
Эта
технология
решит все
наши
проблемы
Эта
технология
решит все
наши
проблемы

Ваш CEO не специалист по ИБ
Помните и поймите, что ваш CEO – не специалист по ИБ!

ночью и она может иметь воздействие на наши Web-
сервера. Эта ошибка позволяет украсть такие приватные
данные как имена пользователей, пароли, номера
кредитных карт и т.п.
Наша команда по безопасности немедленно начала
сканировать нашу сеть для оценки потенциального
воздействия на нее. В настоящий момент нет никаких
признаков того, что нам угрожает этот риск или мы были
скомпрометированы ранее.

И в чем разница?
 Бизнес не оперирует понятиями информационной безопасности. Бизнес
оценивает выгоды и потери от своей деятельности, включая и деятельность
по информационной безопасности
 Не надо просто использовать жаргонизм и просто просить денег
 Если говорить об инцидентах, то руководство интересует, как инцидент
относится к его компании, что произошло, каков ущерб и что было
предпринято?
 Если говорить о новых ИБ-проектах, то руководство интересует, как проект
относится к его компании, что он дает и как этого достичь/получить?

Начните с себя
 Кейс с одной российской промышленной компанией
 Попросили составить список метрик для бизнеса, чтобы идти к нему
 Сами не могут ответить на вопрос, на чем зарабатывает компания?
 Насколько информация и информационные технологии важны для компании?
 Какая информация и ИТ (активы) критичны для бизнеса?

Взгляните на себя как CEO
Вы сами можете оценить во сколько вы обходитесь компании?
Попробуйте посчитать!!!
А какие выгоды вы приносите компании?

Сколько я стою своей компании?
Попробуйте прикинуть сейчас и детально посчитать на работе

Маленькая подсказка
Оценка экономической эффективности информационной безопасности 15
70%
30%
стоимость
внедрения
стоимость
проекта
- лицензии
- оборудование
- услуги интегратора
- ФОТ сотрудников на
время внедрения
- Тех.поддержка на 3 года
- Модернизация оборудования
- услуги интегратора по допиливанию
- ФОТ сотрудников на время
использования
- смена версии
- услуги интегратора по допиливанию
новой версии
- …

А что взамен? Как меня видит руководство?
Фонд оплаты труда
Аренда помещений
Оборудование
Программное
обеспечение
Бухгалтерское ведение
АХО
Консалтинг
Х ХХХ ХХХ р.
ХХХ ХХХ р.
ХХ ХХ р.
ХХ ХХ р.
0 р.
0 р.
0 р.
0 р.
0 р.
0 р.
Стало безопаснее чем
вчера
Выполнили 382-П
Внедрили PCI DSS
Снижены риски
Сохранена банковская
тайна
Нашли 5 APT и 3-х
инсайдеров
ПРИБЫЛИ ( PROFIT ) & ( LOSS ) УБЫТКИ

Но ИБ только тратит деньги и ничего не зарабатывает!
Уверены?
Измерение эффективности информационной безопасности 17
Продукт компании
Цель
компании
Продукты
логистики
Продукты
маркетинга
Продукты
коммерции
Продукты
финансов
Продукты
HR
Продукты
юристов

ИБ как неотъемлемая часть внутреннего продукта
Проверка
остатка
Запрос
товара
Формирование
предложения
?
Выставление
счета
?
Получить
заказ товара
Принять
оплату
Отправить
заказанный
товар
Уведомить
о отправке
Безопасный
способ платежа
Корректные
данные
Коммерческая
тайна
Непрерывность
работы сервиса
Резервное
копирование
Собрать
данные для
BI
Закрыть заказ
товара
PCI DSS

Как правильно?
Какие
потребности/цел
и у бизнеса?
Какие
потребности/цел
и у бизнеса?
Зачем я
занимаюсь ИБ?
Зачем я
занимаюсь ИБ?
Как я могу
внести вклад в
достижение
бизнес-целей?
Как я могу
внести вклад в
достижение
бизнес-целей?

Цели ИБ никого не интересуют! Кроме вас и регуляторов

 Каковы ваши цели?
Чтобы было безопаснее? Чтобы соответствовало требованиям?
 Кому они интересны кроме вас?
 Сами по себе традиционные цели ИБ вторичны

Это никого не интересует
 Получение аттестата ФСТЭК на все АС/ИСПДн
 Сертификация ключевых процессов на соответствие ISO 27001
 Достижение 4 уровня по СТО БР ИББС
 Сокращение числа инцидентов ИБ до 3 в месяц
Зачем?

А вот это гораздо лучше
 Внедрение защищенного мобильного доступа для руководства,
работающего удаленно
 Внедрение VPN-доступа для географической экспансии
 Повышение устойчивости инфраструктуры к DDoS-атакам с целью
повышения лояльности клиентов и снижение их текучки
 Снижение затрат на ИБ на 15%

Какие цели у бизнеса?
ЦельЦельСнижение
издержек
Снижение
издержек
Отдача на
инвестиции
Отдача на
инвестиции
Получение
прибыли и рост
дивидендов
Получение
прибыли и рост
дивидендов
Выпуск
качественных и
«дешевых»
продуктов
Выпуск
качественных и
«дешевых»
продуктов
Рост
лояльности
заказчиков
Рост
лояльности
заказчиков
Географическая
экспансия
экспансия
Куда
движется
бизнес?!

Как узнать цели?
СпроситьСпросить у руководства
ПрочитатьПрочитатьна сайте
ПосмотретьПосмотреть лучшие практики

Что влияет на цели предприятия?
 Каким бизнесом занимается организация?
Складской бизнес, нефтепереработка…
 Какие стратегические продукты, сервисы и инициативы в организации?
SOX, выход на IPO, аудит PWC
 Каковы активности и потребности?
 В каких странах и индустриях делается бизнес?
Германия, Франция, банки
 Какие тенденции, законы и требования отличаются в разных странах?
 Каковы внутренние процессы и политики?
 С кем регулярно ведет бизнес организация?

Что влияет на цели предприятия?
 Какова политическая ситуация?
Регулярные маски-шоу
 Кто владельцы бизнеса?
 Каков уровень зрелости организации?
 Какие бизнес-задачи сложно или невозможно реализовать?
 Каковы риски?
Утечка кадров, сговор тендерного комитета
 Каковы стратегические ИТ-инициативы?
Облака, оффшоринг, продажа через Интернет…

Декомпозиция 4 сценариев изменения стратегии продаж
Рост выручкиРост выручки
Рост числа
клиентов
Рост числа
клиентов
экспансия
экспансия
Защищенный
удаленный
доступ
удаленный
доступ
Рост числа
сделок
Рост числа
сделок
Вынос PoS в
«поля»
Вынос PoS в
«поля»
мобильный
доступ
мобильный
доступ
Ускорение
сделок
Ускорение
сделок
Новый канал
продаж
Новый канал
продаж
Интернет-
магазин
Интернет-
магазин
Снижение
себестоимости
Снижение
себестоимости
Более дешевый
канал продаж
Более дешевый
канал продаж
Интернет-банк
Интернет-банк

Вы знаете, чем занимается банк?

Возьмем для примера процесс кредитования

Детализация процесса кредитования

Элементы процесса кредитования
 Типичный подход безопасника
Защитить персональные данные заемщика
Проверить на вирусы анкеты заемщика,
получаемые по e-mail (возможно)
 Все это бизнесу неинтересно 
 Бизнес интересует выгоды и
убытки
 Мы должны понимать бизнес-
процесс, его составные части и
статьи доходов/расходов

ИБ в процессе кредитования в банке
Регистрация заявки заемщикаРегистрация заявки заемщика
• Ключевой показатель процесса –
время регистрации
• Что может помешать процессу –
недоступность сайта банка
• К чему это приведет - к потере
клиента, то есть к потере денег
• Знаем ли мы, сколько нам денег
приносит средний клиент - да!
• Что надо сделать – обеспечить
доступность сайта и проверку
корректности заполнения полей Web-
анкеты
Проверка достоверности информации
о заемщике
Проверка достоверности информации
о заемщике
• Ключевой показатель процесса –
время проверки информации
• Как можно ускорить процесс
проверки – применить средства
анализа социальных сетей
• К чему это приведет – к снижению
времени на проверку заемщика,
росту его лояльности и увеличению
числа проверяемых заемщиков, что
может привести к росту числа
клиентов и денег от них
• Что надо делать – внедрить средство
автоматизации анализа соцсетей

ИБ в разных бизнес-процессах банка
Private BankingPrivate Banking
• Особенности процесса –
процентные ставки и условия
обслуживания определяются
банками индивидуально для
каждого клиента
• Что может помешать процессу –
раскрытие информации широкому
кругу лиц
• К чему это приведет - к потере
клиента, то есть к потере денег
• Что надо сделать – защитить
информацию о VIP-клиентах
Управление финансамиУправление финансами
• Финансовый директор имеет
потребность в оптимизации
финансовых затрат
(предсказуемость финансовых
потоков, кредит/рассрочка,
снижение налогов на прибыль и
имущество, ускоренная
амортизация и т.п.)
• Что надо сделать - предложить
финансовые услуги (кредит, лизинг,
рассрочка) или новые виды
сервисов ИБ (аутсорсинг, ИБ из
облака и т.п.)

ИБ в разных бизнес-процессах банка
Удержание персоналаУдержание персонала
• При удержании персонала важно
своевременно узнать о желании
сотрудника уйти
• К чему это приведет – к простою вакансии
и недополученной прибыли (поиск и
удержание персонала - 4:1)
• Что надо сделать – мониторить e-mail в
части рассылки резюме и получения job
offer, а также мониторить доступ к сайтам
для поиска работы
ДБОДБО
• Некорректная реализация сервиса ДБО
может привести к хищениям средств со
счетов клиентов
• К чему это может привести – не только к
необходимости возмещения средств
клиентам (не всегда и необязательно),
сколько к снижению лояльности клиентов
и их оттоку
• Число ушедших клиентов и причины их
ухода можно легко узнать в департаменте
работы с физлицами (юрлицами), как и
«стоимость» одного клиента
• Что надо делать - внедрять систему
защиты ДБО

ИБ в ИТ-процессах
Гостевой Wi-Fi-доступГостевой Wi-Fi-доступ
• Необходимо предоставить гостевой Wi-Fi
доступ для клиентов (в т.ч. и VIP) банка на
время нахождения в очереди или при
ожидании оформления договора
• К чему это приводит – к росту лояльности
клиентов, отслеживанию их поведения и
предложения персонализированных услуг
• Что требуется для предоставления
гостевого доступа – отвлечение
сотрудников ИТ на создание, ведение и
удаление временной учетной записи
• Что надо делать – внедрять средство
обеспечения гостевого доступа
Стандартизация ИТ-платформыСтандартизация ИТ-платформы
• Необходимо защититься от установки
неразрешенного ПО и подключения к
банковской сети неразрешенных
устройств
• К чему это приводит – к поиску
несоответствующих ИТ-политикам
устройств, заражению банковской сети с
несоответствующих политике устройств и
т.п.
• Что надо делать – внедрять средство
контроля сетевого доступа и
анализа/профилирования сетевого
трафика (NGFW/AVC)

ИБ для ИБ с точки зрения бизнеса
Борьба с криптолокерамиБорьба с криптолокерами
• Чем характеризуется криптолокер –
шифрованием диска и
вымогательством денег
• К чему приводит шифрование
диска – к потере доступа к файлам
и простою (компьютера,
сотрудника, процесса), что
приводит к потере денег
• Что надо делать – внедрять
средство защиты от вредоносного
кода
Борьба с вирусными эпидемиямиБорьба с вирусными эпидемиями
• Чем характеризуется эпидемия –
необходимость лечить и
восстанавливать
работоспособность большого
количества пострадавших ПК
• К чему это приводит – к затратам на
процесс локализации
пострадавших, их лечению и
восстановлению в предатакованное
состояние
средство защиты от вредоносного
кода

ИБ для иных задач с точки зрения бизнеса
Борьба с DDoSБорьба с DDoS
• Чем характеризуется DDoS –
простоем сайта банка или
Интернет-банка
• К чему приводит простой сайта – к
снижению лояльности клиентов и
уменьшению числа операций, что
приводит к потере денег
средство или сервис отражения
DDoS-атак
Рост продуктивности сотрудниковРост продуктивности сотрудников
• Что снижает продуктивность
работников – спам и
бессмысленный Интернет-серфинг
• К чему это приводит – к временным
затратам на чтение спама и
посещение ненужных для работы
сайтов, что в свою очередь
выливается в недополученную
прибыль
средство защиты от спама и
контроля доступа в Интернет

Борьба со снижением простоев – самый простой способ
перевести ИБ в бизнес-плоскость
 Простои могут быть
У сотрудника
У узла
У процесса
У приложения
…
 Простой всегда выражается в деньгах!
Криптолокеры, эпидемии, DDoS, спам, ненужные для работы сайта, отсутствие SSO и т.п.
Простой приводит к замедлению оформления кредитных договоров, замедлению осуществления
транзакций, что приводит к снижению их числа и потерям денег
 Снижение времени простоя (обеспечение доступности) должна является
одной из основных целей ИБ, т.к. она понятна бизнесу лучше
конфиденциальности и целостности информации

Жизненный цикл сбоя (простоя)
RPO – Recovery Point Objectives, RTO – Recovery Time Objectives, MAD – Maximum Allowable Downtime
 Степень влияния и составляющие цены «сбоя» меняется с течением
времени
Эта иллюстрация может использоваться при оценке времени
восстановления после атаки

Бизнес– это люди
 Бизнесом, подразделением, проектом
руководят люди, у которых тоже есть
свои цели
 А еще у руководства есть мотивация и
свои интересы (карьера, доходы,
интерес…)
 Не забывайте про центры влияния –
они могут помочь вам или будут
вставлять палки в колеса
 Используйте модель 3V
Veto (сказать «нет»)Veto (сказать «нет»)
Vote (сказать «да»)Vote (сказать «да»)Voice (влиять на других)Voice (влиять на других)

Поймите центры влияния
Центр
влияния
Центр
влияния
Что ими
движет?
Что ими
движет?
Что они
хотят
(могут
хотеть) от
вас?
Что они
хотят
(могут
хотеть) от
вас?
Какой у них
интерес в
вашей
работе?
Какой у них
интерес в
вашей
работе? Чем вы
можете им
помочь?
Чем вы
можете им
помочь?
Кому они
доверяют?
Кто им
советует?
Кому они
доверяют?
Кто им
советует?

Вам доверяют? А вас вообще знают?
Начните с малого – сообщите центру влияния как защитить их ПК,
ноутбук или смартфон или домашний ПК или газовый котел или
умный дом или счет в банке…
Заслужите доверие!!!

Domain-based message authentication, reporting and conformance
(идентификация сообщений, создание отчётов и определение соответствия
по доменному имени) или DMARC — это техническая спецификация,
созданная группой организаций, предназначенная для снижения количества
спамовых и фишинговых электронных писем, основанная на
идентификации почтовых доменов отправителя на основании правил и
признаков, заданных на почтовом сервере получателя.
Dmarc устанавливает стандарт для идентификации электронных
сообщений принимающими узлами с использованием механизмов sender
policy framework (структуры политики отправителя, SPF) и domainkeys
identified mail (почты, идентифицируемой при помощи доменных ключей,
DKIM).
Определение из Wikipedia

Решение предотвращает отправку злоумышленниками
мошеннических писем нашим заказчикам. Эти
мошеннические сообщения могут привести к краже
имени и паролей клиентов, а также их финансовой
информации. Решение <имярек> снижает число
украденных имен пользователей на 20%, мошенничество
- на 10% и общее число мошеннических транзакций на 20
миллионов рублей!

Три подхода к коммуникации с бизнесом
• Сколько стоит инцидент?
• Сколько стоит восстановление
после инцидента?
ЗатратныйЗатратный
• Как происходит у других?
• Как написано в лучших практиках?ИндустриальныйИндустриальный
• Что я получу, если сделаю это?
• Что получит бизнес, если мы
сделаем это?
ИнновационныйИнновационный

Какие угрозы действительно волнуют бизнес?
 Потери интеллектуальной собственности
Ноу-хау, патенты, списки клиентов, условия договоров
 Юридические потери
Штрафы и досудебные урегулирования
 Потери «собственности»
Курс акций, перехват управления, вывод из строя, информация, приводящая к задержкам в выпуске
продукции или услуг, кража денег со счета
 Репутационные потери
Снижение лояльности -> снижение ARPU, уход клиентов, негативные отзывы в прессе
 Потери времени (простои) на восстановление и расследование

Какие угрозы действительно волнуют бизнес?
 Административные затраты на
восстановление, взаимодействие с
клиентами и регуляторами, возврат
в предатакованное состояние
 Операционные
 Вред окружающей среде
 Ущерб жизни и здоровью
 Получение конкурентами
преимуществ
 Подрыв доверия инвесторов и
акционеров

Расходы считать просто. Что с доходами / выгодами?
 Получение новых доходов
 Снижение/оптимизация
расходов/потерь
 Снижение времени
 Снижение (высвобождение)
числа людей
 Добавление новых качеств
 Не во всех компаниях это
выгоды!
Поймите, что считается выгодой
именно у вас

Что ИБ может дать бизнесу?
 Географическая экспансия
 Вынос точки продаж «в поля» (ближе к клиенту)
 Новый или более дешевый канал продаж
 Снижение арендной платы
 Оптимизация складских запасов и ускорение вывода продукта на рынок
 Оптимизация финансовых затрат (EBITDA, CapEx/OpEx, лизинг,
амортизация…)
 Рост продуктивности сотрудников
 Уменьшение числа командировок и снижение рисков путешествий

Что ИБ может дать бизнесу?
 Сокращение затрат на интернет
 Снижение ит-издержек на внутренний helpdesk
 Рост лояльности заказчиков
 Стандартизация
 Предотвращение увольнения сотрудников
 Обнаружение сговоров и конфликтов интересов
 Снижение простоев

DDoS – это атака, в которой множество скомпрометированных
систем, которые часто инфицируются троянцами, используются
против одной цели приводят к распределенному отказу в
обслуживании. Жертвами DDoS-атак становятся как конечные
атакованные системы, так и все зараженные и контролируемые
хакерами системы, задействованные в распределенной атаке.
DDoS-атака использует множество компьютеров и интернет-
соединений для наводнения целевой системы. DDoS-атаки часто
являются частью глобальных атак, распространяемых через
ботнеты.

В пятницу ночью наш основной web-сайт был недоступен
в течение двух минут по причине вывода из строя
большим объемом трафика из интернет, направленного
киберпреступниками мы немедленно задействовали наш
план и процедуры реагирования на инциденты и смогли
восстановить работу нашего web-сайта с нулевым
эффектом на наших клиентов

© 2015 Cisco and/or its affiliates. All rights reserved. 53
Нет волшебных слов и
универсальных формул!
Изучайте свой бизнес и
учите бизнес-язык
Формируйте культуру ИБ у
руководства
Эффект наступит не сразу

Благодарю
за внимание

Cisco. Алексей Лукацкий. "Что движет ИБ на вашем предприятии?"

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Cisco. Алексей Лукацкий. "Что движет ИБ на вашем предприятии?"

Similar to Cisco. Алексей Лукацкий. "Что движет ИБ на вашем предприятии?" (20)

More from Expolink

More from Expolink (20)

Cisco. Алексей Лукацкий. "Что движет ИБ на вашем предприятии?"