Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини ИТ мениджмънт
бр. 7, 2017

Как да изградим рамка от показатели за стратегическа сигурност

За да дефинирате своята рамка, отидете там, където са парите. В нашия случай, рискът и сигурността са свързани с ИТ и информационните активи в нашата среда

от , 25 юли 2017 1 553 прочитания,

От години насам специалистите по сигурността са на едно мнение, че програмата от показатели за сигурност е инструмент с все по-голямо значение за управлението на сигурността в дадена среда. Обичаме да цитираме клишета като „не можете да управлявате нещо, което не можете да измерите“ и да пеем заедно „кумбая“ за достойнствата и ползите от програмите, но в действителност липсват достатъчно примери за успех.

Някои програми са с основен фокус върху оперативните показатели. Тези компании се управляват от разходните си центрове по традиционен начин, като сравняват изходящия резултат от „работата“ на групата по сигурност с входящите „ресурси“, обикновено персонал, време и разходи. Така те разбират колко специалисти по сигурността са необходими за да сменят една крушка, но не и дали това хвърля повече светлина върху програмата. Със сигурност такива показатели имат своите достойнства като всеки разходно ориентиран управленски инструмент, защото принципно винаги се стремим да намалим разходите на работна единица.

Но тези показатели не ни помагат да намерим отговор на един настойчив, натрапващ се въпрос, който обикновено чуваме при случайна среща в асансьора с някой ръководен кадър: „Та, в безопасност ли сме?“

Естествено, отговорът не е толкова прост и точно в това е смисълът. За да се стигне до обсъждане на стратегически въпроси с висшето ръководство, трябва да сме в състояние компетентно да отговорим на този въпрос. Това е въпросът, който вълнува всички, и ние го знаем.

Много специалисти по сигурността смятат, че ще отговорят на този въпрос, като създадат система от метрики, която е съвкупност от числа, свързани с някаква контролна рамка като COBIT или ISO 27002. В най-добрия случай, индивидуалните показатели са подредени по азбучен ред. В най-лошия, те се обобщават в една страница всеки месец и могат да се използват за псевдо-случаен генератор на числа за захранване на нашите криптиращи алгоритми. Но това не са числата, които висшето ръководство иска да види.

Това, което изпълнителният директор иска да чуе, е нещо кратко и точно. Иначе, той би казал: “Какви са тези числа и защо трябва да ме интересуват?”. Затова успешният специалист ще напише накратко описание на тези числа, като това:

Миналия месец нашите ИТ и информационни активи генерираха $20 приход, осигурявайки поддръжка на 15000 души, с помощта на 350 приложения. За да постигнем този подвиг, се осъществиха над 32 милиона връзки в рамките на нашите системи и бяха приложени специални контролни мерки средно 2,4 пъти на връзка, за да се гарантира целостта и точността на нашите транзакции. В резултат на това, над 4 милиона връзки бяха блокирани веднага, тъй като не отговаряха на основните ни изисквания (за 99,75% успеваемост) и бяха идентифицирани 1700 подозрителни връзки, които се нуждаеха от по-нататъшен анализ. В крайна сметка установихме, че пет от тези 1700 връзки бяха опити за неправомерен достъп, срещу които бяха взети мерки според установените процедури. Във връзка с тези инциденти не са регистрирани никакви загуби.“

За да дефинирате своята рамка, послушайте съвета на извесният с многобройните си обири на банки в САЩ, Уили Сатън и отидете там, където са парите. В нашия случай, рискът и сигурността са свързани с ИТ и информационните активи в нашата среда. Работата на системата между източници и крайни точки под формата на връзки и транзакции придават стойност на организацията. Като специалисти по сигурността, ние прилагаме различни мерки за контрол на транзакциите. Понякога проблеми с контрола водят до инциденти, които от своя страна водят до загуби. Всеки от тези случаи изисква специално внимание.

Смисълът

Ползата от ИТ и информационните активи е причината технологията да съществува. Технологията съществува, за да добавя стойност в организацията или чрез увеличаване на приходите, или чрез намаляване на разходите. Това е проста мисия, която се изпълнява по много начини. Понякога тя осигурява механизъм за осъществяване на транзакции с клиенти и партньори по целия свят. Друг път, тя проследява приходите и разходите по финансовите ни сметки. А понякога тя съществува, просто за да ни прави по-ефективни.

Отчитането на показатели, измерващи добавената стойност, е задача предимно на ИТ директорите, но мениджърите по управление на риска не могат да вземат правилни решения, без да разбират тези показатели. Повечето директори и мениджъри имат интуитивна представа за стойност, която се корени в системите и приложенията в цялата среда.

Стойността не е нещо, което е общовалидно или абсолютно. Нашата представа за стойност се променя по същия начин, по който се променя броят на хората, желаещи да платят за билети за мача Red Sox срещу Yankees, или броят на компаниите, желаещи да закупят друг бизнес. Най-често срещаният начин за оценка на стойността в организациите е чрез поглед върху възможността да се генерират приходи или да се намалят разходи.

Може би най-лесният начин да се определи минималната стойност в нашата среда е да се разгледат ИТ бюджетите. Звучи логично, че нашите ИТ и информационни активи струват поне толкова, колкото сме склонни да платим за тях. Следователно, цифрата в бюджета представлява минималното изходното ниво, с което да се работи.

Рискът се крие в транзакциите

Първото нещо, което трябва да вземем под внимание, е, че ако няма дейност, няма инциденти и следователно рискът е присъщ на дейността. Една транзакция се осъществява при приключването на връзка между източник и цел. На ниво мрежа, това са потоци. Те могат да бъдат също потребителски сесии, съобщения на приложенията, търсения в база данни или всякакъв друг вид дейност с този източник и крайна цел.

Има ключово изискване за транзакциите, които се отразяват като събитие – те трябва да имат както желан, така и нежелан изход в рамките на компютърната сигурност. Именно нежеланите изходи са тези, които предлагат историческата честота, полезна за разбиране на риска. Най-малкото, те служат за индикатори на риска за целите на анализа и отчетността.

Контролните мерки

Именно те гарантират сигурност, която намалява риска. Специалистите по сигурността вземат решения за прилагането на мерки за контрол въз основа на общоприети вярвания, законови изисквания и лични заключения. С осъществяването на сесии и транзакции в дадена среда, ние прилагаме мерки за контрол, които оценяват тяхното съдържание и контекст, за да преценим дали ще доведат до желан или нежелан изход. Следователно, мерките за контрол са програмирани да вземат решения, които или позволяват, или блокират дадена дейност.

Тънкият момент с мерките за контрол е в решенията, които се взимат. Има четири възможни изхода от прилагането им: вярно положителен, вярно отрицателен, погрешно положителен и погрешно отрицателен. Нашата цел е правилно да категоризираме тези транзакции, но това практически е невъзможно. Следователно, управлението на грешно положителните резултати, които забраняват законосъобразна дейност, увеличават разходите и намаляват производителността, както и грешно отрицателните, които позволяват незаконосъобразна дейност, причиняват инциденти и свързаните с тях загуби – е основна функция на всяко звено по сигурността.

Инцидентите – метрика за успехите и провалите

Във всяка организация се случват инциденти. За щастие, много са от обикновения вид и са по-скоро досадни, отколкото критични. Те могат да се случат в резултат на проблем с контрола – класифициран като погрешно отрицателен изход според нашите контролни показатели – или на пропуск.

Понякога е предизвикателство да се идентифицират погрешно отрицателните изходи, тъй като отчетите показват, че хакерите могат да действат незабелязано за дълги периоди от време – седмици и месеци, понякога и повече. Все пак значимите инциденти впоследствие се идентифицират и са полезни при оценка на риска и силата на контролните мерки.

Разходите и загубите са показатели за последствията

Финалният тест за всяка програма по сигурността е оценката на щетите. Щетите са под формата на разходи (дори разходи по сигурността) и загуби и всеки мениджър на програма по сигурността трябва да търси начини за намаляване на разходите без намаляване на производителността.

В исторически план, загубите, свързани с време за отговор и възстановяване, формират основната част от загубите, но това може да е така само поради факта, че те са най-лесно количествено измерими. Освен това, преките разходи като правни такси и законови глоби също са доста конкретни. Изчисляването на пропуснатите приходи е малко по-трудно, но вече има техники, които се прилагат от по-зрелите организации.

В заключение

И така, рамката от стойност на ИТ и информационните активи, транзакции (събития), контролни мерки, инциденти и загуби предлагат конструктивен и същевременно гъвкав начин за класифициране на всички дейности в мрежовата среда. Могат да се създадат съотношения, които гарантират сравнимост. Информацията може да се разбие по географски признак, бизнес единици, технически платформи или други критерии и да се сравни във времето, за да се получи поглед върху оперативната среда.

С развитие на информацията, може да се вземат предвид подходи за намаляване и/или оздравяване на контролната среда за постигане на по-високи нива на производителност и ефективност. На този етап, успешният специалист ще напише:

Дейността през изминалия месец хвърли светлина върху някои възможности за подобрение. Преразгледахме политиките си, свързани с 4-те милиона блокирани връзки, определихме, че приблизително 10 000 (0,25%) е трябвало да бъдат позволени и направихме конфигурационни промени, за да решим този проблем. Освен това, политиките, свързани с 1695-те връзки, първоначално определени като съмнителни, бяха преоценени и бяха направени промени в нашето отношение към сигурността, които да намалят тези погрешно положителни показатели с 50%. По отношение на останалите 5 инцидента, проведохме коригиращо обучение на участниците и снабдихме системите с нови средства за откриване на неправомерен достъп."

„В безопасност ли сме?“ – това е най-сложният въпрос, но и най-важният. С правилната рамка и отношение, специалистите по сигурността могат да отговорят на този въпрос и да предоставят стратегически значими детайли, които достатъчно лесно да бъдат разбрани от нетехническия персонал.

Източник: Building out your strategic security metric framework, Pete Lindstrom, CSO US

КОМЕНТАРИ ОТ  

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов