25 октября 2021 г.
Многие авторы исследовали влияние COVID-19 на различные аспекты экономики и культуры, и существует множество предположений о том, как будет выглядеть «новая реальность» для различных слоев общества и различных типов организаций. Важно рассмотреть, как пандемия повлияла на директоров по информационной безопасности (CISO), и как в ближайшие месяцы и годы мы можем ориентироваться в неопределенных водах восстанавливающегося после COVID мира.
Последние 15 месяцев не похожи ни на одно другое время. В начале февраля прошлого года одна очень уважаемая аналитическая фирма предсказала, что к 2023 году на 30% больше сотрудников будут работать из дома. Это было бы значительным увеличением доли удаленной рабочей силы и, возможно, считалось довольно смелым прогнозом. Но не прошло и месяца, как мир полностью изменился, и большинство офисных работников стали работать из дома.
Директора по информационной безопасности не понаслышке знают о суматохе тех первых двух месяцев. Практически в мгновение ока мы перестали понимать какие ИТ-устройства, методы подключения и программное обеспечение были в достаточной степени безопасными. Вместо этого нам было поручено принять экстренные меры для поддержания непрерывности и безопасности бизнеса, в то время как все рабочее пространство менялось на наших глазах. Затем, в конце 2020 года, многие из нас были ключевыми игроками в планировании постпандемического будущего наших компаний. Это будущее потребует целостного видения кибербезопасности, за которое большинство из нас ратовало еще до пандемии.
Погрузитесь в «Новую реальность»
По мере того, как во второй половине 2021 года мы вступаем в дивный новый мир, я думаю, будет полезно взглянуть на три аспекта роли CISO — все они в той или иной степени расширились в результате пандемии:
1. Технологическое измерение: ускорение цифровых инноваций
Цифровые инновации уже активно внедрялись, но пандемия заставила и без того ускоряющуюся тенденцию развиваться еще быстрее. Проекты, реализация которых была запланирована на несколько лет вперед, внезапно стали критически важными для бизнеса. Компании больше не могли просто поддерживать существующий уровень работы, вместо этого им требовалось обеспечить функционирование нового поколения сетей, средств взаимодействия сотрудников и облачных сервисов с широко распределенной архитектурой — и одновременно защитить их. Другими словами, мы должны делать две, казалось бы, противоречивые вещи: защищать и подключать. Таким образом, CISO становится все более важной частью этих процессов.
По мере выхода из пандемии никто не ожидает, что потребность в цифровых инновациях снизится. Но для гладкого внедрения этих инноваций все большее значение приобретает комплексный подход к кибербезопасности. Именно поэтому COVID-19, возможно, вбил последний гвоздь в крышку гроба подхода, основанного на выборе «точечных продуктов». Этот подход подразумевал подбор решения для каждого элемента сети или архитектуры безопасности, без учета того, как эти разрозненные продукты будут работать вместе. В конечном итоге, кто-то должен «склеивать» все это вместе. При этом, как правило, большое количество работы нужно выполнять вручную: например, сопоставлять информацию, исходящую от разных решений.
Комплексный подход подразумевает построение всей архитектуры в виде единой структуры. Это позволяет организациям одновременно внедрять цифровые инновации и обеспечивать безопасность за счет уже встроенных инструментов. Я должен отметить, что целостность не обязательно должна быть монолитной: чтобы воспользоваться преимуществами интегрированной защиты, не обязательно избавляться от уже существующей базовой инфраструктуры. Однако элементы безопасности следует выбирать так, чтобы они изначально работали вместе.
Комплексный подход имеет ряд преимуществ, которые соответствуют сегодняшним требованиям к рационализации. Прекрасным примером является массовое внедрение защищенных программно-определяемых глобальных сетей (защищенный SD-WAN). Спрос на эту технологию растет благодаря ее повышенной гибкости и снижению стоимости в сочетании с полной прозрачностью трафика. Умные компании внедряют сетевой подход, основанный на безопасности, поскольку они воспринимают необходимость внедрения сетевых инноваций и обеспечения передовой безопасности как единое целое. Это позволяет объединить две ранее разрозненные функции, повысить эффективность обеих и превратить безопасность в инструмент цифровых инноваций.
Еще один элемент комплексного подхода — адаптивная облачная безопасность. Облако — одна из важнейших ИТ-тенденций нашего поколения, обеспечивающая невероятную вычислительную мощность без значительных капитальных затрат. Некоторые предприятия пытались сосредоточиться на едином общедоступном облаке, потому что так проще обеспечить безопасность. Но это также заставляет предприятие следовать определенной технологической дорожной карте и будущей структуре затрат, которые оно может не контролировать. С другой стороны, если безопасность находится на вершине распределенной многооблачной инфраструктуры, у предприятия есть свобода выбора лучшего облака для каждой услуги.
Третий столп этого подхода — доступ к сети с нулевым доверием. При таком подходе доступ к ресурсам предоставляется динамически и переоценивается в зависимости от контекста в реальном времени и поведения запрашивающей стороны. Поскольку миллиарды новых устройств пытаются получить доступ к нашему подключенному миру, мы должны постоянно противодействовать всем нежелательным попыткам подключения к сети и различным ресурсам в ней.
2. Коммуникационное измерение: объяснение того, что произошло и что поставлено на карту
Более десяти лет назад CISO был руководителем с относительно низкой позицией, команда которого в основном занималась антивирусным администрированием. В то время не было необходимости в навыках публичного общения. Сегодня даже генеральный директор обращается к руководителям службы безопасности, когда приходит время объяснить заинтересованным сторонам нарушение, ответить прессе или обосновать позицию службы безопасности фактами.
Директор по информационной безопасности даже становится частью процесса принятия решений при слияниях и поглощениях. Объект приобретения с плохо развитой структурой кибербезопасности кибербезопасности может вызвать серьезные проблемы для более крупной организации, потенциально сводя на нет ценность, которая будет получена от сделки. Наше мнение как руководителей служб безопасности все больше и больше включается в процесс комплексной проверки.
Во время пандемии умение коммуницировать стало еще важнее, чем раньше. Кибератаки участились во многих отраслях, и CISO было поручено их объяснять. Директора по информационной безопасности также должны подготовить план восстановления компании таким образом, чтобы успокоить сотрудников, клиентов и акционеров. Внутри компании становится все более важным сообщать причину внедрения любой новой инициативы в области безопасности, особенно если она требует дополнительного внимания со стороны сотрудников.
3. Экономическое измерение: переход от центра затрат к центру создания стоимости
Десятилетие или два назад директора по информационной безопасности были хорошо изолированы от финансовой и управленческой сторон бизнеса. С точки зрения финансового директора, их деятельность была центром затрат — необходимым для бизнеса, но не защищенным от инициатив по оптимизации затрат. С точки зрения управления рисками, хотя инструменты CISO были необходимы для достижения контрольных показателей риска, они были простыми и в некоторой степени товарными, и поэтому не принимали участия в обсуждении стратегии.
Опять же, пандемия усилила необходимость перемен. Руководители служб безопасности должны были научиться говорить на языке бизнеса, чтобы объяснить, почему их команда является центром ценности для организации и жизненно важной частью стратегии управления рисками, а не центром затрат. Это было сложно для некоторых CISO, которые часто работали на своих должностях с технологической стороны, а не со стороны бизнеса. Но за последний год многие руководители служб безопасности оказались в ситуации, когда они могут вкладывать больше средств. Они также получили право голоса в корпоративных инвестициях, поскольку продемонстрировали, что понимают, что такое управление рисками.
Выгоды от инвестирования для снижения конкретного риска вычислить относительно легко. Если конкретный инцидент может происходить два раза в месяц, и связанные с этим убытки каждый раз составляют 1 миллион долларов, компания несет ежегодный риск в 24 миллиона долларов. В таком контексте имеет смысл потратить десятую часть этой суммы, и 2,4 миллиона долларов станут очень ответственным вложением. Существует большая разница в том, чтобы сформулировать этот бюджетный запрос таким образом, а не просто запросить дополнительные 2,4 миллиона долларов бюджетных ассигнований. По мере того, как директора по информационной безопасности учатся говорить на языке управления рисками, они заводят влиятельных друзей в совете директоров и получают свою долю внимания высшего руководства.
Связующая нить «Новой реальности»: человеческое измерение
Другим большим трендом, ставшим частью «новой реальности» в результате пандемии COVID-19, стали изменения в том, как организации нанимают, управляют и удерживают сотрудников. Это верно для всех отделов, но, возможно, особенно верно в отношении кибербезопасности, поскольку мы имеем дело с постоянной нехваткой навыков.
По сути, сейчас мы должны набирать сотрудников иначе, чем в прошлом. Раньше мы искали людей с определенными навыками — например, специалистов по нейронным сетям. С помощью автоматизации мы освобождаем человеческий мозг от повторяющихся корреляций и позволяем нашим командам заниматься более интересной работой. В описании должностных обязанностей есть не только технологии, но и сотрудничество человека с другими отделами. Экономический аспект кибербезопасности становится частью сферы его компетенции. После автоматизации повторяющихся задач людям предлагается более стратегически подходить к своей повседневной работе. Это дает компаниям возможность отдавать предпочтение таким навыкам, как критическое мышление, коммуникация и деловая хватка, а не только техническому опыту.
В 2021 году и в последующие годы идеальные лидеры в области безопасности будут технологическими, коммуникационными и финансовыми партнерами бизнеса. Они будут предоставлять последовательный и согласованный контент для кризисного управления и постоянный опыт для управления рисками организации. И они будут создавать системы, которые сделают наш гиперподключенный мир более безопасным местом, независимо от кризиса.
Источник: Пресс-служба компании Grayling