Блог 07.08.2023

Отчеты нового поколения

Отчеты нового поколения

Михаил Пименов, аналитик Security Vision


Вступление

Одни из самых древних, обнаруженных антропологами, отчетов принадлежали инкам и представляли собой сложные верёвочные сплетения и узелки, изготовленные из шерсти альпака или ламы. За без малого пять тысяч лет человечество проделало долгий путь. Гаджеты стремительно ворвались в нашу жизнь, и теперь никого не удивит картина с человеком, изучающим диаграммы и таблицы на планшете, сидя в шезлонге на берегу моря. Давайте рассмотрим, какие же они — современные цифровые отчеты, какие новые возможности открывают, а также окунемся в специфику отчетности в сфере информационной безопасности и рассмотрим несколько реальных ситуаций с заказчиками.

Преимущества «цифры»

Электронные версии отчетов появились раньше, чем отпала необходимость в печати, и первым значительным преимуществом цифрового отчета была возможность предпросмотра. Данные можно было изучить и при необходимости подправить, прежде чем нести на стол начальнику. Но аппетит, как известно, приходит во время еды, и электронные носители стали сами подсказывать новые возможности.

К примеру, вы помните из исторических кинолент длиннющие свитки, по которым глашатаи зачитывали народу царскую волю? Такой вид документа был начисто лишен навигации: чтобы найти какое-то конкретное место в документе, надо было пробегать его глазами, ориентируясь только на собственную память и смысл написанного. Когда люди научились резать свитки на равные куски (формата А4) и нумеровать их, появились оглавление и возможность ссылаться на определенные фрагменты текста. Так родилась навигация в документах. Электронные документы стали ещё удобнее, потому что переход по гиперссылке мгновенно переносил вас к нужной части текста.

Цифровые отчеты пошли ещё дальше, отказавшись от двухмерности и обретя третье измерение — глубину. Теперь из любой круговой диаграммы можно всего парой кликов «проваливаться» к списку значений, а из него — в карточку объекта и обратно. Это позволило сделать отчеты гораздо лаконичней, выводя на первый план наиболее важную информацию в самом простом для восприятия формате.

Личный опыт

Различных отчетов существует великое множество. Для примера возьмем отчеты систем, в которых лучше всего разбираемся, — систем, относящихся к средствам защиты информации, таких как IRP/SOAR, DLP, CMDB, VM. Давайте для начала введем условную классификацию отчетов по назначению и принадлежности к тому или иному виду средств защиты информации (СЗИ) и далее рассмотрим каждый отдельный вид отчета.

Виды отчетов в зависимости от назначения и СЗИ:

  • За период — формируются в системах управления активами (CMDB) или системах управления уязвимостями (VM). Отражают результат работы ПО или команды за определенный период.

  • Мониторинг — формируются в DLP-системах. Отражают срезы по времени для подсвечивания критических моментов в работе.

  • Проблема — формируются в системах класса TIP или SOC. Отражают существующую проблему и, как следствие, запрос действия у лиц, принимающих решения. Отчет выступает в роли своеобразного ТЗ.

Отчеты за период должны максимально просто и быстро донести до исполнителя ответы на три вопроса: что делать, где делать и как быстро. Отчеты старой формации, хоть и отвечают на эти вопросы, заставляют исполнителя сначала пролистать несколько страниц, затем, продравшись сквозь дебри сложносочиненных предложений, перечитать задачу несколько раз и только потом перейти к ее исполнению. В отчетах нового формата такой словесный шум должен быть убран до минимума, чтобы в итоге он мог быть прочтен за один подход, а в голове у человека выстроилась четкая схема «условие-действие-результат», без необходимости тратить время на самостоятельную разработку такой схемы.

Отчеты с функцией мониторинга (на примере отчетов, предоставляемых DLP-системами) должны представлять собой доказательную базу и говорить на языке фактов. Главную роль в таких отчетах играют именно приложения-доказательства, которые включаются в отчет в неизмененном виде, но также важно правильно оформить выводы, основанные на фактах, в чем и заключается работа оператора/аналитика. В таких отчетах на первый план выходит уже структура, позволяющая логично и кратко выстроить повествование об инциденте.

Отчеты, информирующие о проблеме, требующей реагирования, весьма разнообразны. Их результаты могут представлять собой как временные срезы, так и отдельные наборы информации о ресурсах (причем, в качестве «ресурсов» могут выступать и оборудование, и живые люди). Например, требуется доказать и отстоять выбор СЗИ в зависимости от результатов работы или сформировать на бизнес-языке потребности в новых средствах или ресурсах, основываясь на показателях эффективности. В таких случаях одних доказательств недостаточно, их нужно еще грамотно оформить и представить, чтобы сформировать у читающего отчет менеджера стройную цепочку аргументов, не позволяющих усомниться в достоверности данных. Обычно проблемой становится именно неспособность многих высококлассных исполнителей «перевести» свои вполне обоснованные опасения на язык финансовой целесообразности. На основе отчетов принимаются серьезные решения об объеме бюджета, расширении штата и прочих кадровых задачах. Исполнители отчитываются перед руководством и заказчиком, сотрудники взаимодействуют друг с другом при помощи универсального языка отчетов, и от того, насколько стройно и качественно, без лишней «воды», он будет выстроен, зависит эффективность работы многих процессов и людей.

Вопросы и решения

В теории всё звучит здорово, но реальные проекты иногда подкидывали проблемы и ситуации, которые было бы очень сложно предусмотреть заранее. Конечно, это вызывало вопросы, а вопросы подсказывали решение. Вот как это было.

А вам очень нужен титульный лист? На самом деле, вопрос заказчику дословно так и звучал. Проблема была в том, что в большом аналитическом отчете всю первую страницу занимала информация о том, в каком городе, в каком году и кем был подготовлен отчет, а также название отчета, название и логотип компании. На второй странице шло содержание, далее — глоссарий, и содержательная часть отчета начиналась страницы с пятой. Люди работали с отчетом постоянно, но каждый раз работа с ним начиналась с ритуального перелистывания до пятой страницы.

Название компании мы убрали совсем: отчет был внутренний и люди в основном помнили, где они работают. Название отчета разместили по центру верхнего края первой страницы. Информацию о периоде отчета и составителе уменьшили и поместили в левый верхний угол, а логотип тоже уменьшили и убрали в правый верхний угол. Глоссарий и содержание перенесли на последние страницы отчета. Таким образом, полезная информация в отчете началась с первой страницы, и людям стало проще и приятней с ним работать. Это подвело нас к следующему вопросу.

Куда вы смотрите в первую очередь? Когда мы попросили показать, как именно проходит работа с отчетом, оказалось, что заказчик сначала смотрит статистику происшествий, затем — текущие активы с изменениями за последний год, а только потом переходит к рекомендациям отдела защиты информации и их обоснованию. Мы просто поменяли разделы отчета местами, разместив их в порядке рассмотрения, добавили перекрестные ссылки и несколько диаграмм по основным показателям. В итоге эргономика отчета существенно улучшилась. Далее мы принялись не просто раскладывать и группировать информацию, а переводили набор понятий на язык бизнеса — так появился дополнительный уровень абстракции, называемый «Выводом». «Вывод» был разным: это могло быть и большое число, и красивые пересекающиеся графы (на которых иногда «удав съедал слона»), но одно у наших выводов было общим — беглый взгляд на значок, слово, абзац или картинку однозначно давал понимание, хорошо или плохо то, что мы сейчас видим. Однако всегда можно что-то улучшить, поэтому мы задали следующий вопрос.

Отчет точно должен быть черно-белым? Оказалось, монохромность отчетов была пережитком прошлого: ранее в компании использовались лазерные принтеры без возможности цветной печати. Однако со временем их заменили на МФУ, а отчеты и вовсе перестали печатать. Готовились отчеты в соответствующем программном обеспечении, презентовались руководству на проекторе и дополнительно рассылались участникам встречи на почту. Заказчик не понимал, зачем делать отчет цветным: «И так всё видно, вся информация есть. Это же не комикс!». Тем не менее, мы добавили цветные отбивки к каждому разделу отчета — после этого ориентироваться в печатной версии стало значительно проще, даже не обращаясь к оглавлению. Мы сделали цветными сравнительные диаграммы, выделили цветом наиболее важные показатели. Отчет стал восприниматься совершенно по-другому, и через неделю заказчик уже не мог себе представить, как он жил без всего этого до сих пор.

Заключение

Если подытожить, то самое важное в подготовке макетов отчетности — всегда пользоваться аналитическим подходом и начинать с потребностей бизнеса. При этом чем глубже вы погрузитесь в суть вопроса, тем лучше будет результат. И всегда нужно идти в ногу со временем, чтобы использовать все последние достижения человечества, адаптируя работу заказчика под новые гаджеты, технологии и актуальные тенденции в оформлении и стилистике.

#DLP #TIP #Управление ИТ-активами #SOAR (Security Orchestration, Automation and Response) #Отчеты ИБ #Управление уязвимостями #IRP #Управление ИБ
news
Интересные публикации
Похожие статьи
IPS / IDS системы. Обнаружение и предотвращение вторжений

IPS / IDS системы. Обнаружение и предотвращение вторжений

Подробнее
Реагирование на инциденты ИБ. Киберпреступность (конспект лекции)

Реагирование на инциденты ИБ. Киберпреступность (конспект лекции)

Подробнее
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»

Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»

Подробнее
Тренды информационной безопасности. Часть 3

Тренды информационной безопасности. Часть 3

Подробнее
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия

Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия

Подробнее
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»

Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»

Подробнее


Мы используем файлы cookies для улучшения качества обслуживания. Оставаясь на сайте, вы соглашаетесь с использованием данных технологий.

 Согласен