Что движет кибербезопасностью на вашем предприятии?

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1


Что движет ИБ на вашем предприятии?Алексей ЛукацкийБизнес-консультант по безопасности[email protected]


Всего 3 драйвера ИБ на любом предприятии

• Самый простой способ «продажи» ИБ• Можно вообще не знать особенностей и потребность заказчика и позицию

руководстваCompliance

• Самый первый и самый привычный способ «продажи» ИБ• Срабатывает, если угроза имела место в недавнем прошлом• Требует хорошего контакта с заказчиком/руководствомСтрах

• Новый и пока еще редкий способ «продажи» ИБ• Требует серьезного знания бизнеса заказчика• Требует выхода на уровень бизнеса• Не реплицируется – каждое обоснование уникально• Обоснование может показать, что ИБ невыгодна или не нужна заказчику!

Экономика


Почему угрозы в топку?

§ Бизнес знает о кибер-угрозах!Не думайте, что они не смотрят новости, не слышали про крепкий орешек 4.0 и т.п.Но бизнес интересует, как угроза применима именно к нему!!!

§ Статистика – это средняя температура по больнице. Ей мало верят

§ Что является угрозой именно для вашего бизнеса, а не для авторов Verizon DBIR?

§ Каков ущерб?

§ Как считали?


Почему законодательство в топку?

§ Каково наказание?Среднее? А максимальное?

§ Есть правоприменительная практика?

§ ИБ-compliance сегодня это пока не риск с точки зрения руководства в большинстве случаевИсключая отдельные случаи


6© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.

Heartbleed – ошибка переполнения буфера в криптографическом программном обеспечении OpenSSL, позволяющая несанкционированно читать память на сервере или на клиенте, в том числе для извлечениязакрытого ключа сервера

Определение из Wikipedia



Кстати, с аитишниками я не мог вообще никогда вести переговоры. Мне казалось, что я говорю на русском, а они – на козьем. Надо иметь человека в компании, которыи переводит с козьего, а нам с этим не везло абсолютно. А переводчика с их стороны практически никогда не бывало.

Евгений Чичваркин


Чем безопасники объясняют свои нужды?

Зачем?Вы должны

Это недорого

Если мы этого не сделаем,

нас взломают

Если мы этого не сделаем, нас накажут регуляторы

Все так делают

Эта технология решит все

наши проблемы


Ваш CEO не специалист по ИБ

Помните и поймите, что ваш CEO – не специалист по ИБ!



Уязвимость Heartbleed была обнаружена в понедельник ночью и она может иметь воздействие на наши Web-сервера. Эта ошибка позволяет украсть такие приватные данные как имена пользователей, пароли, номера кредитных карт и т.п.

Наша команда по безопасности немедленно начала сканировать нашу сеть для оценки потенциального воздействия на нее. В настоящий момент нет никаких признаков того, что нам угрожает этот риск или мы были скомпрометированы ранее.


И в чем разница?

§ Бизнес не оперирует понятиями информационной безопасности. Бизнес оценивает выгоды и потери от своей деятельности, включая и деятельность по информационной безопасности

§ Не надо просто использовать жаргонизм и просто просить денег

§ Если говорить об инцидентах, то руководство интересует, как инцидент относится к его компании, что произошло, каков ущерб и что было предпринято?

§ Если говорить о новых ИБ-проектах, то руководство интересует, как проект относится к его компании, что он дает и как этого достичь/получить?


Начните с себя

§ Кейс с одной российской промышленной компанией

§ Попросили составить список метрик для бизнеса, чтобы идти к нему

§ Сами не могут ответить на вопрос, на чем зарабатывает компания?

§ Насколько информация и информационные технологии важны для компании?

§ Какая информация и ИТ (активы) критичны для бизнеса?


Взгляните на себя как CEO

Вы сами можете оценить во сколько вы обходитесь компании? Попробуйте посчитать!!!

А какие выгоды вы приносите компании?


Сколько я стою своей компании?

Попробуйте прикинуть сейчас и детально посчитать на работе


Маленькая подсказка

Оценка экономической эффективности информационной безопасности 15

70%30%

стоимость внедрения

стоимость проекта

- лицензии- оборудование- услуги интегратора- ФОТ сотрудников на

время внедрения

- Тех.поддержка на 3 года- Модернизация оборудования- услуги интегратора по допиливанию- ФОТ сотрудников на время

использования- смена версии- услуги интегратора по допиливанию

новой версии- …


А что взамен? Как меня видит руководство?

Фонд оплаты трудаАренда помещенийОборудованиеПрограммное обеспечениеБухгалтерское ведениеАХОКонсалтинг

Х ХХХ ХХХ р.ХХХ ХХХ р.

Х ХХХ ХХХ р.Х ХХХ ХХХ р.

ХХ ХХ р.ХХ ХХ р.

Х ХХХ ХХХ р.

0 р.

0 р.0 р.0 р.0 р.

0 р.

Стало безопаснее чем вчера

Выполнили 382-ПВнедрили PCI DSS

Снижены рискиСохранена банковская

тайнаНашли 5 APT и 3-х

инсайдеров

ПРИБЫЛИ ( PROFIT ) & ( LOSS ) УБЫТКИ


Но ИБ только тратит деньги и ничего не зарабатывает! Уверены?

Продукт компании Цель компании

Продукты логистики

Продукты маркетинга

Продукты коммерции

Продукты финансов

Продукты HR

Продукты юристов

Из презентации Дмитрия Мананникова


ИБ как неотъемлемая часть внутреннего продукта

Проверка остатка

Запрос товара

Формирование предложения

Выставление счета

Получить заказ товара

Принять оплату

Отправить заказанный

товар

Уведомить о отправкеБезопасный

способ платежа

Корректные данные

Коммерческая тайна

Непрерывность работы сервиса

Резервное копирование

Собрать данные для

BI

Закрыть заказ товара

PCI DSS

Из презентации Дмитрия Мананникова


Как правильно?

Какие потребности/цели

у бизнеса?Зачем я

занимаюсь ИБ?

Как я могу внести вклад в

достижение бизнес-целей?


Цели ИБ никого не интересуют! Кроме вас и регуляторов L

§ Каковы ваши цели?Чтобы было безопаснее? Чтобы соответствовало требованиям?

§ Кому они интересны кроме вас?

§ Сами по себе традиционные цели ИБ вторичны


Это никого не интересует

§ Получение аттестата ФСТЭК на все АС/ИСПДн

§ Сертификация ключевых процессов на соответствие ISO 27001

§ Достижение 4 уровня по СТО БР ИББС

§ Сокращение числа инцидентов ИБ до 3 в месяц

Зачем?


А вот это гораздо лучше

§ Внедрение защищенного мобильного доступа для руководства, работающего удаленно

§ Внедрение VPN-доступа для географической экспансии§ Повышение устойчивости инфраструктуры к DDoS-атакам с целью

повышения лояльности клиентов и снижение их текучки§ Снижение затрат на ИБ на 15%


Какие цели у бизнеса?

ЦельСнижение издержек

Отдача на инвестиции

Получение прибыли и рост

дивидендов

Выпуск качественных и

«дешевых» продуктов

Рост лояльности заказчиков

Географическая экспансия

Кудадвижетсябизнес?!


Как узнать цели?

Спросить у руководства

Прочитатьна сайте

Посмотреть лучшие практики


Что влияет на цели предприятия?

§ Каким бизнесом занимается организация?Складской бизнес, нефтепереработка…

§ Какие стратегические продукты, сервисы и инициативы в организации?SOX, выход на IPO, аудит PWC

§ Каковы активности и потребности?

§ В каких странах и индустриях делается бизнес?Германия, Франция, банки

§ Какие тенденции, законы и требования отличаются в разных странах?

§ Каковы внутренние процессы и политики?

§ С кем регулярно ведет бизнес организация?


Что влияет на цели предприятия?

§ Какова политическая ситуация?Регулярные маски-шоу

§ Кто владельцы бизнеса?

§ Каков уровень зрелости организации?

§ Какие бизнес-задачи сложно или невозможно реализовать?

§ Каковы риски?Утечка кадров, сговор тендерного комитета

§ Каковы стратегические ИТ-инициативы?Облака, оффшоринг, продажа через Интернет…


Декомпозиция 4 сценариев изменения стратегии продаж

Рост выручки

Рост числа клиентов

Географическая экспансия

Защищенныйудаленный

доступ

Рост числа сделок

Вынос PoS в «поля»

Защищенныймобильный

доступ

Ускорение сделок

Новый канал продаж

ЗащищенныйИнтернет-магазин

Снижение себестоимости

Более дешевый канал продаж

ЗащищенныйИнтернет-банк


Вы знаете, чем занимается банк?


Возьмем для примера процесс кредитования


Детализация процесса кредитования


Элементы процесса кредитования

§ Типичный подход безопасникаЗащитить персональные данные заемщикаПроверить на вирусы анкеты заемщика, получаемые по e-mail (возможно)

§ Все это бизнесу неинтересно L

§ Бизнес интересует выгоды и убытки

§ Мы должны понимать бизнес-процесс, его составные части и статьи доходов/расходов


ИБ в процессе кредитования в банке

Регистрация заявки заемщика

• Ключевой показатель процесса –время регистрации

• Что может помешать процессу –недоступность сайта банка

• К чему это приведет - к потере клиента, то есть к потере денег

• Знаем ли мы, сколько нам денег приносит средний клиент - да!

• Что надо сделать – обеспечить доступность сайта и проверку корректности заполнения полей Web-анкеты

Проверка достоверности информации о заемщике

• Ключевой показатель процесса –время проверки информации

• Как можно ускорить процесс проверки – применить средства анализа социальных сетей

• К чему это приведет – к снижению времени на проверку заемщика, росту его лояльности и увеличению числа проверяемых заемщиков, что может привести к росту числа клиентов и денег от них

• Что надо делать – внедрить средство автоматизации анализа соцсетей


ИБ в разных бизнес-процессах банка

Private Banking

• Особенности процесса –процентные ставки и условия обслуживания определяются банками индивидуально для каждого клиента

• Что может помешать процессу –раскрытие информации широкому кругу лиц

• К чему это приведет - к потере клиента, то есть к потере денег

• Что надо сделать – защитить информацию о VIP-клиентах

Управление финансами

• Финансовый директор имеетпотребность в оптимизации финансовых затрат (предсказуемость финансовых потоков, кредит/рассрочка, снижение налогов на прибыль и имущество, ускоренная амортизация и т.п.)

• Что надо сделать - предложить финансовые услуги (кредит, лизинг, рассрочка) или новые виды сервисов ИБ (аутсорсинг, ИБ из облака и т.п.)


ИБ в разных бизнес-процессах банка

Удержание персонала

• При удержании персонала важно своевременно узнать о желании сотрудника уйти

• К чему это приведет – к простою вакансии и недополученной прибыли (поиск и удержание персонала - 4:1)

• Что надо сделать – мониторить e-mail в части рассылки резюме и получения job offer, а также мониторить доступ к сайтам для поиска работы

ДБО

• Некорректная реализация сервиса ДБО может привести к хищениям средств со счетов клиентов

• К чему это может привести – не только к необходимости возмещения средств клиентам (не всегда и необязательно), сколько к снижению лояльности клиентов и их оттоку

• Число ушедших клиентов и причины их ухода можно легко узнать в департаменте работы с физлицами (юрлицами), как и «стоимость» одного клиента

• Что надо делать - внедрять систему защиты ДБО


ИБ в ИТ-процессах

Гостевой Wi-Fi-доступ

• Необходимо предоставить гостевой Wi-Fiдоступ для клиентов (в т.ч. и VIP) банка на время нахождения в очереди или при ожидании оформления договора

• К чему это приводит – к росту лояльности клиентов, отслеживанию их поведения и предложения персонализированных услуг

• Что требуется для предоставления гостевого доступа – отвлечение сотрудников ИТ на создание, ведение и удаление временной учетной записи

• Что надо делать – внедрять средство обеспечения гостевого доступа

Стандартизация ИТ-платформы

• Необходимо защититься от установки неразрешенного ПО и подключения к банковской сети неразрешенных устройств

• К чему это приводит – к поиску несоответствующих ИТ-политикам устройств, заражению банковской сети с несоответствующих политике устройств и т.п.

• Что надо делать – внедрять средство контроля сетевого доступа и анализа/профилирования сетевого трафика (NGFW/AVC)


ИБ для ИБ с точки зрения бизнеса

Борьба с криптолокерами

• Чем характеризуется криптолокер –шифрованием диска и вымогательством денег

• К чему приводит шифрование диска – к потере доступа к файлам и простою (компьютера, сотрудника, процесса), что приводит к потере денег

• Что надо делать – внедрять средство защиты от вредоносного кода

Борьба с вирусными эпидемиями

• Чем характеризуется эпидемия –необходимость лечить и восстанавливать работоспособность большого количества пострадавших ПК

• К чему это приводит – к затратам на процесс локализации пострадавших, их лечению и восстановлению в предатакованноесостояние

• Что надо делать – внедрять средство защиты от вредоносного кода


ИБ для иных задач с точки зрения бизнеса

Борьба с DDoS

• Чем характеризуется DDoS –простоем сайта банка или Интернет-банка

• К чему приводит простой сайта – к снижению лояльности клиентов и уменьшению числа операций, что приводит к потере денег

• Что надо делать – внедрять средство или сервис отражения DDoS-атак

Рост продуктивности сотрудников

• Что снижает продуктивность работников – спам и бессмысленный Интернет-серфинг

• К чему это приводит – к временным затратам на чтение спама и посещение ненужных для работы сайтов, что в свою очередь выливается в недополученную прибыль

• Что надо делать – внедрять средство защиты от спама и контроля доступа в Интернет


Борьба со снижением простоев – самый простой способ перевести ИБ в бизнес-плоскость§ Простои могут быть

У сотрудникаУ узлаУ процессаУ приложения…

§ Простой всегда выражается в деньгах!Криптолокеры, эпидемии, DDoS, спам, ненужные для работы сайта, отсутствие SSO и т.п.Простой приводит к замедлению оформления кредитных договоров, замедлению осуществления транзакций, что приводит к снижению их числа и потерям денег

§ Снижение времени простоя (обеспечение доступности) должна является одной из основных целей ИБ, т.к. она понятна бизнесу лучше конфиденциальности и целостности информации


Жизненный цикл сбоя (простоя)

RPO – Recovery Point Objectives, RTO – Recovery Time Objectives, MAD – Maximum Allowable Downtime

§ Степень влияния и составляющие цены «сбоя» меняется с течением времениЭта иллюстрация может использоваться при оценке времени восстановления после атаки


Бизнес– это люди

§ Бизнесом, подразделением, проектом руководят люди, у которых тоже есть свои цели

§ А еще у руководства есть мотивация и свои интересы (карьера, доходы, интерес…)

§ Не забывайте про центры влияния –они могут помочь вам или будут вставлять палки в колеса

§ Используйте модель 3V

Veto (сказать «нет»)

Vote (сказать «да»)

Voice(влиять на

других)


Поймите центры влияния

Центр влияния

Что ими движет?

Что они хотят (могут хотеть) от

вас?

Какой у них интерес в

вашей работе? Чем вы

можете им помочь?

Кому они доверяют?

Кто им советует?


Вам доверяют? А вас вообще знают?

Начните с малого – сообщите центру влияния как защитить их ПК, ноутбук или смартфон или домашний ПК или газовый котел или умный дом или счет в банке…

Заслужите доверие!!!



Domain-based message authentication, reporting and conformance (идентификациясообщений, созданиеотчётовиопределение соответствияподоменномуимени) илиDMARC — это техническая спецификация, созданная группойорганизаций, предназначеннаядля сниженияколичества спамовыхи фишинговыхэлектронных писем, основанная на идентификации почтовых доменов отправителя на основании правил и признаков, заданных на почтовом сервере получателя.

Dmarcустанавливает стандарт для идентификации электронных сообщений принимающими узлами с использованием механизмов sender policy framework (структуры политики отправителя, SPF) и domainkeys identified mail (почты, идентифицируемой при помощи доменных ключей, DKIM).

Определение из Wikipedia



Решение предотвращает отправку злоумышленниками мошеннических писем нашим заказчикам. Эти мошеннические сообщения могут привести к краже имени и паролей клиентов, а также их финансовой информации. Решение <имярек> снижает число украденных имен пользователей на 20%, мошенничество - на 10% и общее число мошеннических транзакций на 20 миллионов рублей!


Три подхода к коммуникации с бизнесом

• Сколько стоит инцидент?• Сколько стоит восстановление

после инцидента?Затратный

• Как происходит у других?• Как написано в лучших практиках?Индустриальный

• Что я получу, если сделаю это?• Что получит бизнес, если мы

сделаем это?Инновационный


Какие угрозы действительно волнуют бизнес?

§ Потери интеллектуальной собственностиНоу-хау, патенты, списки клиентов, условия договоров

§ Юридические потериШтрафы и досудебные урегулирования

§ Потери «собственности»Курс акций, перехват управления, вывод из строя, информация, приводящая к задержкам в выпуске продукции или услуг, кража денег со счета

§ Репутационные потериСнижение лояльности -> снижение ARPU, уход клиентов, негативные отзывы в прессе

§ Потери времени (простои) на восстановление и расследование


Какие угрозы действительно волнуют бизнес?

§ Административные затраты на восстановление, взаимодействие с клиентами и регуляторами, возврат в предатакованное состояние

§ Операционные

§ Вред окружающей среде

§ Ущерб жизни и здоровью

§ Получение конкурентами преимуществ

§ Подрыв доверия инвесторов и акционеров


Расходы считать просто. Что с доходами / выгодами?

§ Получение новых доходов

§ Снижение/оптимизация расходов/потерь

§ Снижение времени

§ Снижение (высвобождение) числа людей

§ Добавление новых качеств

§ Не во всех компаниях это выгоды!Поймите, что считается выгодой именно у вас


Что ИБ может дать бизнесу?

§ Географическая экспансия

§ Вынос точки продаж «в поля» (ближе к клиенту)

§ Новый или более дешевый канал продаж

§ Снижение арендной платы

§ Оптимизация складских запасов и ускорение вывода продукта на рынок

§ Оптимизация финансовых затрат (EBITDA, CapEx/OpEx, лизинг, амортизация…)

§ Рост продуктивности сотрудников

§ Уменьшение числа командировок и снижение рисков путешествий


Что ИБ может дать бизнесу?

§ Сокращение затрат на интернет

§ Снижение ит-издержек на внутренний helpdesk

§ Рост лояльности заказчиков

§ Стандартизация

§ Предотвращение увольнения сотрудников

§ Обнаружение сговоров и конфликтов интересов

§ Снижение простоев



DDoS – это атака, в которой множество скомпрометированных систем, которые часто инфицируются троянцами, используются против одной цели приводят к распределенному отказу в обслуживании. Жертвами DDoS-атак становятся как конечные атакованные системы, так и все зараженные и контролируемые хакерами системы, задействованные в распределенной атаке. DDoS-атака использует множество компьютеров и интернет-соединений для наводнения целевой системы. DDoS-атаки часто являются частью глобальных атак, распространяемых через ботнеты.



В пятницу ночью наш основной web-сайт был недоступен в течение двух минут по причине вывода из строя большим объемом трафика из интернет, направленного киберпреступникамимы немедленно задействовали наш план и процедуры реагирования на инциденты и смогли восстановить работу нашего web-сайта с нулевым эффектом на наших клиентов


© 2015 Cisco and/or its affiliates. All rights reserved. 53

Нет волшебных слов и универсальных формул!

Изучайте свой бизнес и учите бизнес-язык

Формируйте культуру ИБ у руководства

Эффект наступит не сразу


Пишите на [email protected]

Быть в курсе всех последних новостей вам помогут:

Где вы можете узнать больше?

http://www.facebook.com/CiscoRu

http://twitter.com/CiscoRussiahttp://www.youtube.com/CiscoRussiaMedia

http://www.flickr.com/photos/CiscoRussia

http://vkontakte.ru/Cisco

http://blogs.cisco.ru/

http://habrahabr.ru/company/cisco

http://linkedin.com/groups/Cisco-Russia-3798428

http://slideshare.net/CiscoRu

https://plus.google.com/106603907471961036146/postshttp://www.cisco.ru/


Благодарюза внимание

Что движет кибербезопасностью на вашем предприятии?

Business