"Безопасность" - слово-обман, обещающее рай и безмятежность, когда можно не беспокоиться об опасностях.
В реальном мире безопасности не существует. Но можно защищаться.
В реальном мире безопасности не существует. Но можно защищаться.
Два самых важных процесса защиты
Если бы меня спросили, какие процессы обеспечения безопасности (защиты) самые важные, на что потратить деньги, если их очень мало, то я бы сказала, что это повышение осведомленности работников и управление инцидентами.
Обучение будущих безопасников начинается с постулата о том, что человек - самое слабое звено в безопасности.
Ассоциации по безопасности твердят о том, что 50-95% инцидентов, приводящих к потерям, происходит из-за "человеческого фактора", а именно из-за действий или бездействий работников компаний.
Неясно, откуда берутся эти цифры, но работники могут причинить вам наибольший вред, даже если не хотят этого. Обучите их, чтобы они хотя бы не причиняли вам вред не со зла.
Почему управление инцидентами так важно?
С одной стороны, управление инцидентами - аналог обучения, но уже для бизнеса. Если вы обнаруживаете и расследуете большую часть происходящих инцидентов, вы знаете, где слабые места, и у вас появляются серьёзные аргументы для того, чтобы их закрыть. Или наоборот - вы понимаете, что такие инциденты не настолько страшны для вас, чтобы тратиться на защиту.
С другой стороны - даже если у вас хорошая система предотвращения угроз, не от всех угроз получится защититься, и вовремя замеченный инцидент может быть обработан и не привести к проблемам.
Если вы только начинаете строить безопасность в своей организации, и у вас не так много ресурсов, начните с этих двух процессов.
Не начинайте с аудита, сам по себе он не повышает защищенность. Не всегда результаты аудитов могут достаточно впечатлить тех, кто выделяет деньги на защиту.
Расскажите коллегам о базовых правилах безопасности, определите, как вы можете обнаруживать инциденты сейчас и что делать в случае инцидентов.
Если бы меня спросили, какие процессы обеспечения безопасности (защиты) самые важные, на что потратить деньги, если их очень мало, то я бы сказала, что это повышение осведомленности работников и управление инцидентами.
Обучение будущих безопасников начинается с постулата о том, что человек - самое слабое звено в безопасности.
Ассоциации по безопасности твердят о том, что 50-95% инцидентов, приводящих к потерям, происходит из-за "человеческого фактора", а именно из-за действий или бездействий работников компаний.
Неясно, откуда берутся эти цифры, но работники могут причинить вам наибольший вред, даже если не хотят этого. Обучите их, чтобы они хотя бы не причиняли вам вред не со зла.
Почему управление инцидентами так важно?
С одной стороны, управление инцидентами - аналог обучения, но уже для бизнеса. Если вы обнаруживаете и расследуете большую часть происходящих инцидентов, вы знаете, где слабые места, и у вас появляются серьёзные аргументы для того, чтобы их закрыть. Или наоборот - вы понимаете, что такие инциденты не настолько страшны для вас, чтобы тратиться на защиту.
С другой стороны - даже если у вас хорошая система предотвращения угроз, не от всех угроз получится защититься, и вовремя замеченный инцидент может быть обработан и не привести к проблемам.
Если вы только начинаете строить безопасность в своей организации, и у вас не так много ресурсов, начните с этих двух процессов.
Не начинайте с аудита, сам по себе он не повышает защищенность. Не всегда результаты аудитов могут достаточно впечатлить тех, кто выделяет деньги на защиту.
Расскажите коллегам о базовых правилах безопасности, определите, как вы можете обнаруживать инциденты сейчас и что делать в случае инцидентов.
💯2
Корневая проблема управления защитой организаций - целеполагание
В теории топ-менеджмент организации устанавливает цели деятельности по защите организации, а менеджер(ы) по защите (по безопасности) организуют работу по достижению этих целей.
Эти цели коррелируют с целями деятельности организации, помогают им и не противоречат.
На практике часто происходит что-то из следующего:
1) Топ-менеджмент не понимает возможностей деятельности по защите и требует чуда безопасности = отсутствия инцидентов.
2) Топ-менеджмент не представляет себе стоимость безопасности.
3) Участники выбора целей подразумевают, что целей достаточно достичь один раз и забить.
4) Менеджер по защите не понимает бизнес и не может помочь руководству установить цели защиты, адекватные целям бизнеса.
А руководство, не будучи специалистами по защите, думает, что так и надо - не зря же они специалиста наняли.
5) Менеджмент безопасности кажется менеджеру или руководству бесполезным перекладыванием бумажек, потому что использование документов внутри организации не в культуре компании. Большая часть документов компании плоха по структуре, содержанию, неактуальна, да и совершенно неудобна в использовании. Это препятствует долгосрочным инициативам.
6) Бизнес организации и её контекст, её руководство меняются настолько часто, что процесс достижения целей защиты не приносит пользы и не достигает когда-то поставленных целей. Даже если цели защиты были скоррелированы с целями бизнеса.
В теории топ-менеджмент организации устанавливает цели деятельности по защите организации, а менеджер(ы) по защите (по безопасности) организуют работу по достижению этих целей.
Эти цели коррелируют с целями деятельности организации, помогают им и не противоречат.
На практике часто происходит что-то из следующего:
1) Топ-менеджмент не понимает возможностей деятельности по защите и требует чуда безопасности = отсутствия инцидентов.
2) Топ-менеджмент не представляет себе стоимость безопасности.
3) Участники выбора целей подразумевают, что целей достаточно достичь один раз и забить.
4) Менеджер по защите не понимает бизнес и не может помочь руководству установить цели защиты, адекватные целям бизнеса.
А руководство, не будучи специалистами по защите, думает, что так и надо - не зря же они специалиста наняли.
5) Менеджмент безопасности кажется менеджеру или руководству бесполезным перекладыванием бумажек, потому что использование документов внутри организации не в культуре компании. Большая часть документов компании плоха по структуре, содержанию, неактуальна, да и совершенно неудобна в использовании. Это препятствует долгосрочным инициативам.
6) Бизнес организации и её контекст, её руководство меняются настолько часто, что процесс достижения целей защиты не приносит пользы и не достигает когда-то поставленных целей. Даже если цели защиты были скоррелированы с целями бизнеса.
Прекрасная лекция Максима Ильяхова о письменных коммуникациях в компаниях
https://www.youtube.com/watch?v=4h1mXRTKkG0
https://www.youtube.com/watch?v=4h1mXRTKkG0
YouTube
Как писать, чтобы вас понимали. 5 принципов ясного текста для работы и жизни
Enjoy the videos and music you love, upload original content, and share it all with friends, family, and the world on YouTube.
Тем временем российские чиновники считают, что существует не просто безопасность, но даже "гарантированная безопасность":
😁1
Forwarded from Листок бюрократической защиты информации
Инфофорум-2021. Н. Мурашов (НКЦКИ) в развитие высказывания В. Лютикова (ФСТЭК России) о том, что риск-ориентированный подход не работает в Российской Федерации и никакое увеличение размера наказания не поможет: «Риск-ориентированный подход изживает себя. .... существует и другой подход: «Подход гарантированной безопасности». Защищённая система должна строиться как защищённая с самого начала.»
Зачем придумали риски
Я, конечно, не могу залезть в голову человеку, который придумал понятие риска. Но судя по тому, как это слово определяется в международных стандартах, и наиболее популярному значению по разным отраслям, говоря о риске, подразумевают возможный ущерб и шанс, что этот ущерб наступит.
Риск обычно так и выражается: ущерб от события х вероятность (частота) события.
То есть риск - это мера предполагаемого события или сценария, приводящего к потерям.
Часто слово "риск" употребляют неправильно. Например, сейчас в Москве в общественном транспорте крутят объявление о том, что в Москве высок риск заражения коронавирусом. Здесь более уместно слово "вероятность", потому что заражение не всегда приводит к заболеванию, многие болеют бессимптомно. К тому же объявляющий не может оценить уровень потерь, потери здесь будут очень субъективными у каждого заразившегося: кому-то будет всё равно, что он потерял обоняние, а для кого-то это будет трагедией.
То есть у двух разных людей даже при равных шансах заразиться будет разное понимание их собственного события потерь (иногда даже не до конца формализованного), связанного с заражением коронавирусом, и разные уровни риска. Поэтому кто-то носит респираторы, а кто-то не носит маску в общественных местах совсем - даже если эти люди одинаково проинформированы.
Я, конечно, не могу залезть в голову человеку, который придумал понятие риска. Но судя по тому, как это слово определяется в международных стандартах, и наиболее популярному значению по разным отраслям, говоря о риске, подразумевают возможный ущерб и шанс, что этот ущерб наступит.
Риск обычно так и выражается: ущерб от события х вероятность (частота) события.
То есть риск - это мера предполагаемого события или сценария, приводящего к потерям.
Часто слово "риск" употребляют неправильно. Например, сейчас в Москве в общественном транспорте крутят объявление о том, что в Москве высок риск заражения коронавирусом. Здесь более уместно слово "вероятность", потому что заражение не всегда приводит к заболеванию, многие болеют бессимптомно. К тому же объявляющий не может оценить уровень потерь, потери здесь будут очень субъективными у каждого заразившегося: кому-то будет всё равно, что он потерял обоняние, а для кого-то это будет трагедией.
То есть у двух разных людей даже при равных шансах заразиться будет разное понимание их собственного события потерь (иногда даже не до конца формализованного), связанного с заражением коронавирусом, и разные уровни риска. Поэтому кто-то носит респираторы, а кто-то не носит маску в общественных местах совсем - даже если эти люди одинаково проинформированы.
Техника "пре-мортем"
"Пре-мортем" означает "перед смертью". Техника заключается в том, чтобы вообразить нечто катастрофическое, которое произошло, и провести мысленное расследование, почему оно произошло.
Технику можно использовать в разных сферах как в работе, так и в обычной жизни.
Например, в ИБ вы можете вообразить, что ваша самая главная и важная база утекла, и теперь её продают в даркнете.
Почему так произошло?
💀Её слили изнутри? Кто мог это сделать?
💀Или это хакеры вас взломали?
Как они это сделали? Почему вы вовремя это не заметили?
💀А может, вас и ломать не нужно было, база гуглилась через поисковик?
Как так вышло? Почему вы не знали об этом?
Ответив на эти вопросы, вы получите дерево сценариев, которые приводят к одному итогу, и болевые точки, влияя на которые можно снизить вероятность этого итога.
"Пре-мортем" означает "перед смертью". Техника заключается в том, чтобы вообразить нечто катастрофическое, которое произошло, и провести мысленное расследование, почему оно произошло.
Технику можно использовать в разных сферах как в работе, так и в обычной жизни.
Например, в ИБ вы можете вообразить, что ваша самая главная и важная база утекла, и теперь её продают в даркнете.
Почему так произошло?
💀Её слили изнутри? Кто мог это сделать?
💀Или это хакеры вас взломали?
Как они это сделали? Почему вы вовремя это не заметили?
💀А может, вас и ломать не нужно было, база гуглилась через поисковик?
Как так вышло? Почему вы не знали об этом?
Ответив на эти вопросы, вы получите дерево сценариев, которые приводят к одному итогу, и болевые точки, влияя на которые можно снизить вероятность этого итога.
Когда риск путают со страхом
На картинке - выдержка из отчета, прогнозирующего риски для бизнеса на 2021 год.
2020 научил всех бояться болезней. Но насколько вероятно, что в 2021 году болезни будут так же сильно воздействовать на бизнес? Вероятно ли, что начнётся новая пандемия или текущая пандемия будет с такой же силой "воздействовать" на бизнес? И даже если так - что бизнес, переживший 2020, не переживет новые ограничения и заболевания персонала?
Мне такие оценки кажутся довольно натянутыми, и вот почему:
1. Наиболее пострадавшие от ковида бизнесы не занимаются оценкой рисков: это мелкий бизнес, который не живёт такими понятиями. В статистику risk score они точно не попадают.
2. Опыт ковида - первый опыт пандемии в современном мире. За прошедший год страны многому научились, увидели экономический эффект разных видов ограничений, и в следующий раз, скорее всего, ограничения при прочих равных будут носить более мягкий характер.
——->>
На картинке - выдержка из отчета, прогнозирующего риски для бизнеса на 2021 год.
2020 научил всех бояться болезней. Но насколько вероятно, что в 2021 году болезни будут так же сильно воздействовать на бизнес? Вероятно ли, что начнётся новая пандемия или текущая пандемия будет с такой же силой "воздействовать" на бизнес? И даже если так - что бизнес, переживший 2020, не переживет новые ограничения и заболевания персонала?
Мне такие оценки кажутся довольно натянутыми, и вот почему:
1. Наиболее пострадавшие от ковида бизнесы не занимаются оценкой рисков: это мелкий бизнес, который не живёт такими понятиями. В статистику risk score они точно не попадают.
2. Опыт ковида - первый опыт пандемии в современном мире. За прошедший год страны многому научились, увидели экономический эффект разных видов ограничений, и в следующий раз, скорее всего, ограничения при прочих равных будут носить более мягкий характер.
——->>
Да, я говорю это из России, где строгость закона компенсируется необязательностью его исполнения. В Европе тем временем всё не становится легче. Но западные страны не могут не стрелять себе в ногу.
3. Помимо того, что мы поняли последствия различных мер и ограничений, мы улучшили санитарные условия. Какие-то меры останутся "на постоянку" (может быть, ношение масок в самолёте, дистанцирование) и будут предупреждать распространение других болезней.
4. Пандемия всё ещё остается маловероятным событием.
Конечно, новости о новых найденных потенциально смертоносных вирусах быстро становятся популярными, и за прошедший год мы видели несколько таких. Но всё же заболеванию, которое может привести к пандемии, нужно обладать определенными параметрами - заразностью, летальностью, способами передачи, чтобы стать инициатором пандемии.
Факт, что событие произошло, сам по себе не увеличивает вероятность повторения события. Думать иначе - когнитивное искажение.
5. Вряд ли непосредственно "заболевание, не связанное с работой" так сильно повлияло на чей-либо бизнес, чтобы ставить его наибольшим риском среди возможных влияний на бизнес. Да, несколько снизило эффективность рабочей силы. Но не более того. Люди всегда болеют, просто в прошлом году - немного чаще.
6. Формулирование риска как "заболевание, не связанное с работой" некорректно, потому что неясно, кто заболевает, и как именно это влияет на бизнес.
Формулировка в отчете больше похожа на то, что больше всего боится бизнес, но не как проанализированный и оцененный риск.
К отчетам даже больших и уважаемых организаций стоит относиться со скептицизмом.
3. Помимо того, что мы поняли последствия различных мер и ограничений, мы улучшили санитарные условия. Какие-то меры останутся "на постоянку" (может быть, ношение масок в самолёте, дистанцирование) и будут предупреждать распространение других болезней.
4. Пандемия всё ещё остается маловероятным событием.
Конечно, новости о новых найденных потенциально смертоносных вирусах быстро становятся популярными, и за прошедший год мы видели несколько таких. Но всё же заболеванию, которое может привести к пандемии, нужно обладать определенными параметрами - заразностью, летальностью, способами передачи, чтобы стать инициатором пандемии.
Факт, что событие произошло, сам по себе не увеличивает вероятность повторения события. Думать иначе - когнитивное искажение.
5. Вряд ли непосредственно "заболевание, не связанное с работой" так сильно повлияло на чей-либо бизнес, чтобы ставить его наибольшим риском среди возможных влияний на бизнес. Да, несколько снизило эффективность рабочей силы. Но не более того. Люди всегда болеют, просто в прошлом году - немного чаще.
6. Формулирование риска как "заболевание, не связанное с работой" некорректно, потому что неясно, кто заболевает, и как именно это влияет на бизнес.
Формулировка в отчете больше похожа на то, что больше всего боится бизнес, но не как проанализированный и оцененный риск.
К отчетам даже больших и уважаемых организаций стоит относиться со скептицизмом.
В The Business Continuity Institute (BCI) началась неделя осведомленности в теме непрерывности бизнеса.
На сайте недели есть анонсы вебинаров, кейсы и даже подкаст.
Среди прочего есть постеры, которые можно скачать и повесить в офисе. Не думаю, что от того, что их повесишь, будет эффект, но забавно, что большая часть постеров относится скорее к теме ИБ:
- Достаточно ли надежен ваш пароль и блокируете ли вы компьютер?
- Безопасен ли ваш Wi-Fi?
- Относитесь ли вы к подозрительным ссылкам и письмам с осторожностью?
и т.д.
И мне тоже уже тяжело провести границу между ИБ и непрерывностью бизнеса. И надо ли?
https://www.thebci.org/event-detail/event-calendar/business-continuity-awareness-week--bcaw--2021.html
На сайте недели есть анонсы вебинаров, кейсы и даже подкаст.
Среди прочего есть постеры, которые можно скачать и повесить в офисе. Не думаю, что от того, что их повесишь, будет эффект, но забавно, что большая часть постеров относится скорее к теме ИБ:
- Достаточно ли надежен ваш пароль и блокируете ли вы компьютер?
- Безопасен ли ваш Wi-Fi?
- Относитесь ли вы к подозрительным ссылкам и письмам с осторожностью?
и т.д.
И мне тоже уже тяжело провести границу между ИБ и непрерывностью бизнеса. И надо ли?
https://www.thebci.org/event-detail/event-calendar/business-continuity-awareness-week--bcaw--2021.html
www.thebci.org
Business Continuity Awareness Week (BCAW) 2021
Магическое мышление
Иногда бизнес-владельцам процессов и систем, да, бывает, и руководству компании очень тяжело ответить на вопрос "Какие будут последствия для бизнеса, если произойдет Х?", где Х - это нарушение процесса, сбой, взлом, какая-то нештатная ситуация. Что-то плохое или не очень плохое, но точно не хорошее.
Причины могут быть разные - человек недостаточно глубоко знает процесс, о котором его спрашивают, не вполне понимает связь с другими процессами компании. Инцидентов таких не происходило, и сложно вообразить, какими могут быть последствия. Это не всегда говорит о некомпетентности специалиста - возможно, именно ему не требовалось об этом думать.
Иногда даже глубоко знающий процесс специалист может отказаться отвечать на такой вопрос. Ему может быть почти физически больно задумываться о том, что что-то может пойти не так, если до этого всё шло только так, как следует. Ему может казаться, что ответ на этот вопрос или даже размышления о нем могут привести к тому, что страшное произойдет.
Убежденность, что мысли или слова могут повлиять на реальность сами по себе, позиция "давайте думать только о хорошем" - это когнитивное искажение, которое называется магическое мышление.
Такая позиция специалиста - серьёзное препятствие для любых работ по оптимальной защите бизнеса от любых угроз. Нежелание думать о плохом только раздувает страх плохого. В моей практике часто встречается, что то, что изначально было "критично" и "ни в коем случае нельзя, чтобы.." после разбора возможных последствий превращалось в "не факт, что приведет к..." и "даже если и случится, вряд ли нам навредит".
У меня нет универсального рецепта, как поступать в этом случае, потому что так реагировать могут разные по психологии и иерархии компании люди. Также многое зависит от корпоративной культуры, статуса проекта или активности. Но несколько советов, что делать, у меня есть:
🔮 в первую очередь попробуйте объяснить, зачем вам нужна эта информация, и что безопасники не смогут без бизнеса понять риски и выставить приоритеты по их обработке, потому что они не эксперты в этой сфере бизнеса, а эксперт и единственный, кто в состоянии сказать об этом - тот самый специалист перед вами;
🔮 попробуйте предположить абсурдно ужасные (но релевантные) последствия. Это может расслабить эксперта, он скажет "нет, ну такого точно не будет", и будет более склонен назвать реалистичные последствия;
🔮 объясните эксперту, что без его ответа вы не сможете адекватно защищать его бизнес-процесс и его придется исключить из активностей по защите, поскольку у вас не будет формальных оснований для дальнейшей работы, что может как раз привести к негативным последствиям;
🔮 попробуйте найти другого эксперта по этой сфере бизнеса;
🔮 сошлитесь на авторитет куратора проекта из руководства;
🔮 если процесс очевидно неважный - исключите его из проекта;
🔮 если так говорит руководитель, инициировавший или спонсирующий проект - этот проект с большой вероятностью обречен на провал, и вам придется бороться с ветряными мельницами. Оно вам нужно?
Иногда бизнес-владельцам процессов и систем, да, бывает, и руководству компании очень тяжело ответить на вопрос "Какие будут последствия для бизнеса, если произойдет Х?", где Х - это нарушение процесса, сбой, взлом, какая-то нештатная ситуация. Что-то плохое или не очень плохое, но точно не хорошее.
Причины могут быть разные - человек недостаточно глубоко знает процесс, о котором его спрашивают, не вполне понимает связь с другими процессами компании. Инцидентов таких не происходило, и сложно вообразить, какими могут быть последствия. Это не всегда говорит о некомпетентности специалиста - возможно, именно ему не требовалось об этом думать.
Иногда даже глубоко знающий процесс специалист может отказаться отвечать на такой вопрос. Ему может быть почти физически больно задумываться о том, что что-то может пойти не так, если до этого всё шло только так, как следует. Ему может казаться, что ответ на этот вопрос или даже размышления о нем могут привести к тому, что страшное произойдет.
Убежденность, что мысли или слова могут повлиять на реальность сами по себе, позиция "давайте думать только о хорошем" - это когнитивное искажение, которое называется магическое мышление.
Такая позиция специалиста - серьёзное препятствие для любых работ по оптимальной защите бизнеса от любых угроз. Нежелание думать о плохом только раздувает страх плохого. В моей практике часто встречается, что то, что изначально было "критично" и "ни в коем случае нельзя, чтобы.." после разбора возможных последствий превращалось в "не факт, что приведет к..." и "даже если и случится, вряд ли нам навредит".
У меня нет универсального рецепта, как поступать в этом случае, потому что так реагировать могут разные по психологии и иерархии компании люди. Также многое зависит от корпоративной культуры, статуса проекта или активности. Но несколько советов, что делать, у меня есть:
🔮 в первую очередь попробуйте объяснить, зачем вам нужна эта информация, и что безопасники не смогут без бизнеса понять риски и выставить приоритеты по их обработке, потому что они не эксперты в этой сфере бизнеса, а эксперт и единственный, кто в состоянии сказать об этом - тот самый специалист перед вами;
🔮 попробуйте предположить абсурдно ужасные (но релевантные) последствия. Это может расслабить эксперта, он скажет "нет, ну такого точно не будет", и будет более склонен назвать реалистичные последствия;
🔮 объясните эксперту, что без его ответа вы не сможете адекватно защищать его бизнес-процесс и его придется исключить из активностей по защите, поскольку у вас не будет формальных оснований для дальнейшей работы, что может как раз привести к негативным последствиям;
🔮 попробуйте найти другого эксперта по этой сфере бизнеса;
🔮 сошлитесь на авторитет куратора проекта из руководства;
🔮 если процесс очевидно неважный - исключите его из проекта;
🔮 если так говорит руководитель, инициировавший или спонсирующий проект - этот проект с большой вероятностью обречен на провал, и вам придется бороться с ветряными мельницами. Оно вам нужно?