Будни ИБ-аутсорсера: Выводы, которые я сделал из работы с заказчиками

Будни ИБ-аутсорсера: Выводы, которые я сделал из работы с заказчиками
Меня зовут Александр, я аналитик отдела обзоры востребованности кадров в ИБ, вообще преисполняешься гордостью.
Но в работе с заказчиками это не очень помогает, потому что сложившегося опыта на рынке нет, значит шишки ты набиваешь свои собственные. Поэтому возникла идея рассказать, чем я занимаюсь, какие выводы делаю из работы с заказчиками.


Работать аналитиком внутренней безопасности – это как отправиться на фабрику Вилли Вонка с золотым билетом. С «картой мародеров». И в мантии-невидимке. С полной санкции директора Хогвартса. Есть с чего потерять голову. Но только в мечтах.
Проза жизни довольно быстро приземляет, ведь аутсорсинг – это по сути своей клиентский сервис с тремя его «столпами»:
· четкий запрос;
· доверие;
· обратная связь.

С поправками на то, что работаешь ты с такой деликатной историей как инциденты внутренней безопасности.

Запросы и вопросы
Классический заказчик ИБ-аутсорсинга – компания от 50 до 200 сотрудников. ИБ-службы как правило нет, потому что в контроле сотрудников приоритетнее была дисциплина. Инфобез перестает быть пустым звуком, когда что-то произошло – утечка или воровство.
Разворачивать DLP и прочее большое защитное ПО своими силами для такой компании дело как правило неподъемное – некому. У собственника и так хронический дефицит времени и куча других головных болей, чтобы разбираться еще в одной. Да и непонятно – окупится ли вообще? Поэтому аутсорсинг для такой компании – это реальный выход.
Чтобы понять, что у бизнеса «болит», прошу заполнить анкету. Мне это нужно, чтобы понимать, на что обращать более пристальное внимание, что работодатель считает нарушением, а что нет и т.д.

Это только выдержка из опросника, чтобы вы могли составить представление:
- приоритеты контроля;
- список уволенных сотрудников;
- список контрагентов;
- список конкурентов;
- перечень почтовых доменов компании и конкурентов;
- оргструктура;
- список сотрудников, в том числе удаленных.


Вот пример, почему нужна развернутая информация в анкете.

Вижу сработку, что сотрудник явно обсуждает какой-то заказ, в переписке упоминает: «оплата на сбер по номеру телефона». И называет сумму – 35 000 рублей. Любой ИБ-специалист обратит внимание на такой инцидент. Прежде чем передать информацию заказчику, сверяюсь с анкетой: принята ли такая форма расчета в компании, есть ли среди контрагентов адресат переписки. Собираю также информацию о том, какие документы участвуют в оплате. Когда смотрю на всю эту информацию в целом, становится понятно, что вероятность того, что сотрудник «левачит», приближается к 100%. Передаю информацию заказчику.
Понятно, что к нам у заказчика тоже есть вопросы. Если компания с нами уже была знакома (например, пользовалась тайм-трекером Timeinformer), обычно спрашивают: что именно и как мы собираемся делать в DLP-системе? Один из клиентов также хотел, чтобы у его специалиста по безопасности остался полный доступ к программе.

У тех заказчиков, у кого не было никакого опыта работы с нами, вопросов бывает больше.

Вот примерный набор*
По сути услуги :
· какую программу устанавливаем для контроля;
· какие каналы она мониторит;
· что мы сможем видеть в программе;
· подписываем ли NDA;
· в каком виде будем отдавать отчеты;
· как часто, сколько времени на них будет тратить аналитик (то есть я);
· останется ли у заказчика доступ к системе.
Технические вопросы:
· как разворачивать ПО (на сервере заказчика, нашем или в облаке).
Организационные:
· кто общается на стороне заказчика;
· как связываться в случае срочного инцидента.
*(Не планировал отвечать на эти вопросы в рамках поста. Поэтому просто коротко уточню: внедряем и сопровождаем собственную DLP, разворачиваем ее на своем сервере или мощностях заказчика, NDA подписываем, отчитываемся по найденным инцидентам по утвержденной форме. Если будут вопросы – отвечу в комментариях).


Все вопросы у заказчика снимаются во время теста (мы его проводим в течение месяца). Дважды собираю отчет, из которого понятна и суть услуги, и есть ли от нее толк для клиента.
По моей практике, за первые три часа работы уже обнаруживаются инциденты. Обсуждаем с заказчиком, и можно при необходимости скорректировать работу.

Например, от одного клиента после первого отчета я узнал, что ему нужен другой график реагирования на инциденты. Сначала мы договорились, что экстренно я должен сообщать только об опасных нарушениях, например, об утечках. Но выяснилось, что клиенту важно в том же режиме узнавать и про нарушения трудовой дисциплины. В других компаниях достаточно получать эту информацию в рамках регулярных отчетов.


Доверие

Сам раньше читал, что если что-то нельзя передавать на аутсорсинг, то это вопросы внутренней безопасности. Сейчас эти разговоры тоже есть, но уже редко.
Когда клиент приходит ко мне, на главные его вопросы уже ответил менеджер, поэтому базовый уровень доверия уже создан. Иногда еще во время переговоров заказчику важно что называется посмотреть аналитику в глаза, увидеть, что с ним будет работать живой адекватный человек.
Если настороженность сначала была, в процессе работы она сходит на нет. Мне кажется, что клиенту становится понятно, что я эмоционально не вовлекаюсь в процесс, не стремлюсь судить о его компании или сотрудниках, ведь я с ними не обедаю, не отмечаю корпоративные праздники.

Я передаю информацию бесстрастно. Если произошло что-то критическое – то срочно. О других нарушениях – в рамках регулярных отчетов.
Например, уведомлениями о таких нарушениях дисциплины, как затянувшиеся перекуры, я заказчика каждый день не дергаю, сообщаю в рамках регулярного отчета. Обращаю внимание, мол, картина такая: в бухгалтерии ежедневно около 2,5 часов – неактивное время. Это полчаса, которые сотрудники тратят на утренний кофе + час до обеда на чтение новостей + полчаса на разговор после. Еще полчаса компьютер бездействует перед выходом с работы. Дальше заказчик сам решает, насколько критичны эти нарушения.

Обратная связь
Эффективное взаимодействие можно организовать только в том случае, когда налажена обратная связь между заказчиком и аутсорсером. Так бывает не всегда. Случается, что отправляю отчет клиенту, а реакции нет. Тогда я рискую недооценить важность какого-то нарушения, не увидеть признак более крупного инцидента. В компании всегда виднее, что критично, насколько быстро нужно действовать, чтобы успеть предотвратить проблему.

Кроме того, когда есть хороший контакт, я могу направить внимание клиента на какой-то риск.
Например, вижу, что один из сотрудников планирует увольняться. Для компании это кадровая проблема, для меня – проблема безопасности, т.к. при увольнении могут слить данные – из мести или просто, чтобы забрать наработки. Поэтому мое дело обратить внимание заказчика на такие моменты, усилить контроль.
Реакция на инциденты у клиентов разная. Кто-то реагирует моментально и сразу принимает меры. Только я сообщил о том, что сотрудник в обход правил использует TeamViewer, как в течение часа программу уже удалили. В других компаниях руководство занимает наблюдательную позицию.

Первый подход позволяет быстро купировать проблему, что в ряде случаев необходимо. Но тогда на какое-то время мы можем перестать видеть информацию по другим инцидентам, т.к. сотрудники, получив внушение, начинают использовать обходные пути. Второй подход позволяет вскрывать крупные мошеннические схемы, которые открываются только в результате длительного мониторинга. Но иногда приходится мириться с небольшими потерями. Такой вот гамбит.

Есть свои плюсы и минусы у обоих подходов. В процессе работы, если она выстроена правильно и основана на доверии, мы с клиентом быстро приходим к пониманию, как действовать. Был даже такой интересный опыт, когда заказчик перед закупкой DLP для самостоятельной работы заказал нам аутсорсинг. ИБ-служба хотела посмотреть на то, как мы работаем с инцидентами, перенять опыт, выработать подход в реагировании. Это не типичная история, но образцовая.

В общем, талант выигрывает игры, команда – чемпионаты.

Оригинал
информационная безопасность аутсорсинг ИБ аутсорсинг ИТ утечки информации
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.