На чём акцентировать своё внимание, когда проблемы повсюду?
Вероятно, вы знакомы с термином «критические активы». Это технологические активы в IT-инфраструктуре, которые необходимы для корректного функционирования организации. Если с этими активами, такими как серверы приложений, базы данных или привилегированные идентификаторы, что-либо случится, последствия для всего вашего бизнеса могут быть крайне серьёзными.
Отсюда возникает ряд резонных вопросов:
Критически важные для бизнеса активы — это технологические активы, лежащие в основе бизнеса. Однако необходимо также знать, что технологии — это лишь один из трёх важнейших столпов, необходимых для успешного ведения бизнеса.
В то же время, чтобы обеспечить полное управление кибербезопасностью, организации должны учитывать:
1) технологии;
2) бизнес-процессы;
3) ключевых сотрудников.
Когда эти три столпа объединяются вместе, организации начинают понимать все свои критически важные для бизнеса активы, а также чётко осознают, на что направить своё внимание и чему обеспечить наиболее надёжную защиту.
Исправить всё в системах безопасности той или иной организации просто невозможно. Существует слишком много проблем, требующих скорейшего решения — от открытых уязвимостей до неправильных конфигураций, чрезмерных привилегий сотрудников и многого другого.
В подобной ситуации организации зачастую не могут ответить на вопрос: «На чём нам следует сосредоточить усилия в первую очередь?». А ведь без чёткого пути исправления того, что важнее всего в первую очередь — многие организации начинают распыляться и пытаются исправить всё и сразу. Это приводит к напрасной трате времени, усилий и ресурсов.
Итак, когда дело доходит до критически важных активов бизнеса, существует четыре ключевых шага, позволяющих организациям выстроить корректный процесс определения и защиты этих активов. Все эти шаги мы и рассмотрим ниже.
Всегда очень приятно говорить инвесторам о сосредоточении внимания компании на критически важных активах, однако, как узнать, что эти активы в принципе определены верно? В частности, что критически важно для вашего бизнеса, а что нет?
Определение наиболее важных бизнес-процессов может оказаться сложной задачей, если ваша компания не провела надлежащую оценку бизнес-рисков. Получение таких отчётов от специалистов по управлению рисками должно быть очень полезным для понимания наиболее важных движущих сил вашего бизнеса и, следовательно, областей с наибольшим риском, с защиты которых и стоит начать.
Предположим, что вы никогда не проводили оценку рисков. Тогда этим вопросом стоит озадачиться как можно скорее, потому что в будущем полученный ответ поможет вашей компании сэкономить немало ресурсов.
Тем не менее, всегда есть альтернатива: можно провести собственное расследование, раскрывающее, как компания получает доходы, например, от продажи продуктов и услуг, а также, как она тратит эти деньги, например, на операционные расходы, маркетинг и т.д. Этот вариант послужит вам хорошим знакомством с бизнес-процессами компании, а также связанными с ними базовыми технологиями.
Теперь, когда у вас есть какое-то представление о наиболее важных бизнес-процессах компании, можно приступить к сопоставлению каждого бизнес-процесса с базовыми технологическими активами, включая серверы приложений, базы данных, безопасные файловые хранилища, привилегированные удостоверения и т.д. Это и будут критически важные активы вашего бизнеса.
Обратите внимание, что ваши файловые хранилища, содержащие наиболее конфиденциальные данные, тоже следует рассматривать как критически важные для бизнеса активы. После того, как вы учтёте все эти конкретные активы, вы по-настоящему начнёте понимать, что больше всего влияет на прибыль вашего бизнеса.
Как уже упоминалось ранее, невозможно исправить всё, а это означает, что во всём нужно расставлять приоритеты, чтобы обезопасить свой бизнес.
Даже если на руках есть полный список всех «драгоценностей», нам всегда следует спрашивать самих себя: «Какие 3-5 основных бизнес-областей или процессов компании являются самыми важными?». Это ещё один случай, когда следует тесно сотрудничать с командой по управлению рисками, чтобы обладать такой информацией заранее и расставить взвешенные приоритеты.
Теперь, когда у вас уже есть обширные знания о важнейших технологических активах компании, оказывающих прямое влияние на бизнес, пришло время мобилизовать команды безопасности для обеспечения надлежащей защиты этих активов.
Данный процесс включает в себя сбор соответствующих результатов проверки безопасности и разработку комплекса мероприятий по исправлению выявленных проблем. Так, начать можно, например, со сбора выходных данных из вашего программного решения по управлению уязвимостями, или же воспользоваться информацией, полученной в ходе оценки рисков. Она может многое сказать о первостепенных рисках вашей IT-инфраструктуры и позволит сформировать ещё один комплекс мероприятий по устранению этих недостатков.
Службы безопасности тратят огромное количество времени на вопросы по типу «Может ли злоумышленник потенциально скомпрометировать наш бизнес-процесс обработки платежей?» или «Адекватно ли мы защищаем наши наиболее чувствительные базы данных CRM, файловые хранилища и администраторов пользователей?». Однако без понимания того, что конкретно оказывает наибольшее влияние на бизнес, отвечать на эти вопросы, как правило, бессмысленно.
Используя описанную выше методологию, компания может отказаться от распыления усилий, которые снижают эффективность команды безопасности, и начать по-настоящему заниматься тем, что наиболее важно для бизнеса.
Такой подход позволит команде безопасности значительно улучшить свои коммуникационные процессы, научиться расставлять приоритеты и, в целом, стать гораздо более эффективной. А сильная и эффективная команда безопасности — залог функционирования и стабильности любого бизнеса.
Никаких овечек — только отборные научные факты