Руслан Рахметов, Security Vision
В прошлой части статьи про ресурсно-сервисную модель мы рассказали, из чего состоят компании (активы, конфигурационные единицы, ресурсы, сервисы и т.д.) и как они обеспечивают безопасность всех активов. Но в современной корпоративной среде наблюдается парадоксальная ситуация: с одной стороны, кибербезопасность признана топ-приоритетом (согласно отчетам, 57% компаний малого и среднего бизнеса ставят ИБ выше роста и удержания клиентов, а глобальные расходы на защиту информации исчисляются триллионами долларов), но с другой – руководители служб информационной безопасности (CISO) продолжают сталкиваться с колоссальным давлением при попытке защитить свои бюджеты. Советы директоров и финансовые руководители все чаще требуют не просто технических отчетов, а финансово обоснованных доказательств возврата инвестиций, поэтому сегодня мы сосредоточимся на том, как ресурсно-сервисная модель может с этим помочь.
Службы ИТ и ИБ традиционно оперируют техническими метриками: количеством уязвимостей, числом отраженных атак или временем бесперебойной работы и т.д. Бизнес же мыслит категориями прибыли, рисков, непрерывности процессов и стоимости обслуживания клиентов, поэтому когда CISO запрашивает бюджет на новый межсетевой экран или систему предотвращения утечек, для него это часто выглядит как «черный ящик», когда деньги инвестируются в аббревиатуры, влияние которых на бизнес-сервис остается неочевидным (кстати, про эти самые аббревиатуры у нас недавно выходил обзор-классификация). Если вспомнить «слоёный пирог» ресурсно-сервисной модели, который мы описывали в прошлой части (инфраструктура, приложения, процессы и сервисы), можно перейти от языка «уязвимостей ИТ-активов» к языку «рисков сервиса». Именно этому мы уделим сегодня отдельное внимание.
1. Построение грамотной РСМ
a. Определение сервисов и услуг
b. Построение графов и зависимостей
2. Финансовая прозрачность
a. TBM
b. Прямая аллокация
c. Аллокация по потреблению
d. Аллокация по количеству активов
e. Равномерная аллокация
3. Обоснование бюджета
a. BIA
b. KPI
c. Time-to-market
1. Построение грамотной РСМ
Построение эффективной РСМ требует кропотливой работы по маппингу зависимостей и пониманию логики работы бизнеса.
а. Определение сервисов и услуг
Первым шагом является формирование каталога услуг: критически важно использовать терминологию, принятую в бизнесе. Бизнес-сервис (или бизнес-услуга) – это то, за что бизнес готов платить или потеря чего несет прямые убытки.
- Так, например, критический тип сервиса (Mission Critical) при остановке приводит к мгновенным финансовым потерям и репутационному ущербу. Это может быть онлайн-банкинг или сервис процессинга карт.
- Остановка операционного типа (Business Operational) блокирует внутренние процессы, отгрузки, продажи. Например, при обновлениях CRM-системы происходит временная остановка процессов, ERP-системы (вроде 1C или SAP) также влияют на операционные сервисы.
- Коммуникационные сервисы (корпоративные почта и мессенджер, сервисы ВКС) обеспечивают общение как внутри команды, так и с внешними подрядчиками и заказчиками. Нарушение сервиса останавливает или замедляет взаимодействие, но кратковременный простой обычно считается допустимым.
- Другой тип, вспомогательный, оказывает минимальное влияние на бизнес. Простои в системе бронирования переговорных комнат или замена систем кондиционирования в офисе не вызывают серьезных проблем для прибыли.
Определение критичности сервиса на этом этапе позволяет в дальнейшем применять дифференцированный подход к защите: инвестировать миллионы в защиту «Онлайн-банкинга» и использовать базовые меры для вспомогательных систем.
b. Построение графов и зависимостей
После определения сервисов необходимо построить граф зависимостей:
1. Определяется точка входа в сервис (например, URL-адрес веб-портала);
2. Система определяет балансировщик нагрузки, распределяющий трафик;
3. Выявляются веб-серверы и серверы приложений, обрабатывающие запросы;
4. Определяются базы данных, к которым обращаются приложения;
5. Фиксируются сетевые устройства (коммутаторы, маршрутизаторы), обеспечивающие связность;
6. Выявляются ИТ-ресурсы (виртуальные машины, хосты), на которых запущены все вышеперечисленные компоненты.
Ключевая задача CISO на этом этапе – интегрировать в эту карту средства защиты. Связь ИБ с бизнес-процессами реализуется через привязку СЗИ к защищаемым объектам, как это происходит в модуле управления активами Security Vision AM. Например, межсетевой экран не просто «стоит» в сети, а является шлюзом безопасности для конкретного сегмента, где размещен сервис CRM. Отказ или некорректная настройка этого фаервола напрямую влияет на доступность или конфиденциальность CRM.
2. Финансовая прозрачность
Одной из самых сложных задач для CISO является финансовая прозрачность: как объяснить, почему бюджет на ИБ растет, если бизнес не запускает новых заводов? Ответ дает сервисно-финансовая модель, являющаяся надстройкой над РСМ. И тут можно предложить несколько методик:
а) TBM (Technology Business Management)
Предлагает таксономию, позволяющую перевести технические расходы в стоимость бизнес-услуг, когда затраты проходят через несколько слоев:
1. Cost Pools (Пулы затрат), или первичные расходы (зарплаты персонала, лицензии ПО, амортизация оборудования, внешние услуги);
2. IT Towers (Технологические башни), функциональные области ИТ (ЦОД, Сеть, Вычисления, Безопасность);
3. Solutions/Services (Решения/Сервисы), конечные услуги для бизнеса.
С помощью РСМ мы можем точно распределить затраты из «башни» кибербезопасности на конкретные сервисы.
б) Прямая аллокация (Direct Allocation)
Применяется, когда СЗИ выделено исключительно под один сервис. Когда, например, аппаратный шифратор (HSM) используется только для подписи транзакций в системе Клиент-Банк. 100% его стоимости (амортизация + поддержка) относится на себестоимость банковского сервиса.
в) Аллокация по потреблению (Consumption-Based)
Распределение пропорционально измеряемому потреблению ресурсов. Так, например, стоимость WAF (Web Application Firewall) распределяется между защищаемыми веб-порталами пропорционально объему входящего HTTP-трафика или количеству обрабатываемых запросов (RPM). Сервис, генерирующий больше трафика и требующий большей мощности WAF, «платит» большую долю в стоимость.
г) Аллокация по количеству активов (Count-Based)
Распределение пропорционально числу защищаемых единиц. Так, стоимость лицензий антивируса или EDR распределяется на бизнес-сервисы в зависимости от количества серверов и рабочих станций, задействованных в предоставлении каждого сервиса. Если сервис Бухгалтерия использует 5 серверов и 20 АРМ, а сервис Сайта компании – 2 сервера, то Бухгалтерия понесет большую долю затрат на Endpoint Security.
д) Равномерная аллокация (Even Spread) по численности (Headcount)
Применяется для общекорпоративных сервисов ИБ, вроде платформ обучения сотрудников (Security Awareness Training) или защиты корпоративной почты от спама распределяются на все бизнес-подразделения пропорционально количеству сотрудников.
Такая детализация позволяет вести предметный диалог, когда бизнес хочет снизить затраты, CISO может показать: «Мы можем отключить Anti-DDoS и сэкономить $5,000, но тогда риск простоя сервиса вырастет до 48 часов в год».
3. Обоснование бюджета
Успешное обоснование бюджета на ИБ предоставляет базу для защиты инвестиций, основанную на данных, а не на эмоциях или FUD (Fear, Uncertainty, Doubt или Страх, Неопределенность, Сомнение). Этот подход основан на расчетах влияния на бизнес BIA (Business Impact Analysis), GAP-анализе (Good, Average, Poor) и внедрении KPI (Key Performance Indicator).
1) Моделирование ущерба для обоснования бюджета согласно BIA разделяет ущербы на типы, например: остановка операций, реагирование, восстановление, отток клиентов, упущенная выгода, штрафы регуляторов. У каждого типа есть своя вероятность, финансовые последствия, а итоговая сумма потенциального ущерба позволяет CISO обоснованно запросить бюджет. BIA в такой терминологии входит в модуль управления непрерывностью бизнеса Security Vision BCM.
2) Метрики KPI для ИБ резонируют с целями совета директоров: технические показатели должны быть трансформированы в бизнес-индикаторы. Так, например, Количество критических уязвимостей (CVSS>9), обнаруженных модулем Security Vision VS, показывает вероятность сбоя ключевых процессов (это интегральный уровень риска бизнес-сервисов), а среднее время закрытия инцидента (MTTR), т.е. время восстановления бизнес-функции после атаки (которое можно снизить за счет автоматизации Security Vision SOAR) обеспечит минимизацию финансового простоя.
3) Ценность информационной безопасности для бизнеса не ограничивается предотвращением потерь. С помощью РСМ можно показать, как ИБ способствует ускорению Time-to-Market. Когда автоматизация проверок безопасности в CI/CD пайплайне (DevSecOps через Security Vision ASOC), показывает сокращение времени вывода новых релизов бизнес-приложений.
Демонстрация высокого уровня защиты клиентских данных становится конкурентным преимуществом, позволяя маркетингу использовать безопасность, как аргумент продаж. А выявление через РСМ дублирующихся средств защиты или «зомби-сервисов» (потребляющих лицензии безопасности, но не используемых бизнесом, о которых мы говорили ранее) позволяет сократить OpEx.
Переход к ресурсно-сервисной модели управления активами является необходимым эволюционным шагом для зрелой функции информационной безопасности. Эта модель служит универсальным «переводчиком», позволяющим трансформировать сложные технические моменты киберзащиты в понятные бизнесу категории денег, рисков и качества услуг.
Кибербезопасность, построенная на РСМ, перестает быть вещью в себе и полностью синхронизируется с целями бизнеса. Бюджеты на ИБ становятся прозрачным, обоснованным и привязанным к конкретным потребителям услуг, а возможность видеть реальное влияние уязвимостей и инцидентов на бизнес-процессы в режиме реального времени ускоряет общение между отделами.
CISO, применяющий ресурсно-сервисную модель, становится бизнес-партнером, который помогает зарабатывать деньги безопасно, а не просто блокирует угрозы. Внедрение такой модели требует усилий по наведению порядка в учете активов и изменению мышления ИТ и ИБ команд, но в условиях цифровой экономики (где бизнес-сервисы и есть сам бизнес), отсутствие такой модели создает неприемлемые риски слепого полета, которые современная компания не может себе позволить.
