Security GRC: необходимость или баловство?

Данный обзор ставит своей целью разобраться с определением систем Security GRC, выявить современные тенденции, драйверы и предпосылки успешных и бизнес-ориентированных GRC-проектов.

Любая устойчивая система управления (и управления информационной безопасностью в частности) стоит на трех китах — это люди, процессы и технологии. Технологии сейчас растут столь стремительно, что два другие кита за ними не поспевают, и образующийся перекос приходится закрывать другими технологиями либо кардинально улучшать процессы — раз уж демографический кризис априори не позволит нам решить проблему банальным расширением штата.

Активно развивающийся рынок систем GRC (Governance, Risk management and Compliance) находится на перекрестье процессов и технологий, помогая выжать максимум из существующих и развить новые полезные для организации процессы.

С другой стороны — «еще одна технология безопасности» тоже потребует людей и сама по себе усложнит деятельности службы ИБ. Стремясь разобраться в этом, мы опросили экспертов рынка — вендоров и интеграторов.

Границы Security GRC
Традиционно понятие GRC отличалось некоторой размытостью, аналитическая корпорация Gartner даже разделила соответствующий магический квадрант сперва на две, а потом на шесть частей — шесть специализированных подмножеств рынка GRC.

Выделяя сегмент Security GRC (SGRC), директор по развитию ePlat4m Алексей Липатов определил его как «концепцию управления организацией (Governance) в сфере ИБ на основе оценки рисков (Risk) в соответствии с нормативными правовыми и корпоративными требованиями по защите информации (Compliance) и технологию реализации данной концепции». Он подчеркнул синергию между Governance, Risk и Compliance: «Все три вида деятельности связаны между собой, оказывают влияние друг на друга и в совокупности позволяют руководству принимать эффективные управленческие решения в области ИБ во взаимосвязи с другими корпоративными системами управления».

К г-ну Липатову присоединился руководитель центра экспертизы R-Vision Валерий Богдашов, подчеркнувший ориентацию SGRC-решений на менеджмент ИБ-процессов, таких как:

• управление активами на различных уровнях (от компьютера до комплексного описания сервиса). Этот процесс дает ответ на простой вопрос — «что защищаем?»;
• управление аудитами и контроль соответствия определенным требованиям (в том числе возможность автоматизировать Compliance-процедуры по внутренним документам организации или, например, по корпоративному стандарту холдинга);
• управление рисками ИБ (с возможностью адаптировать продукт под собственные наработки компании в этой области);
• стратегическое планирование ИБ с учетом ежедневных результатов, отображаемых в системе.

А вот заместитель генерального директора «SAP СНГ» Юрий Бондарь заострил внимание на актуальности комплексного подхода, на возможностях и преимуществах классических SGRC-cистем — повышении управляемости бизнеса в целом: «Задача классической SGRC-системы — вызвать уверенность бизнеса в том, что процессы в компании идут так, как было задумано». Он отметил также влияние современных трендов на эволюцию служб корпоративной и информационной безопасности: «С появлением Интернета вещей, облачных технологий, цифровой трансформации бизнеса задачи современной SGRC-системы состоят в обеспечении комплексного подхода к безопасности. Если раньше подразделение состояло из бывших сотрудников органов безопасности, то сегодня для расследования экономических преступлений их методов уже недостаточно. Необходима интегрированная система информационной и экономической безопасности, которая поможет аналитику выявить подозрительные операции и собрать необходимые факты для принятия взвешенного управленческого решения, а также наметить пути, по которым направление безопасности в организации должно развиваться дальше».

Генеральный директор ГК «Интеллектуальная безопасность» (бренд Security Vision) Руслан Рахметов и вовсе предложил «не укладываться в западные определения», в том числе потому, что «...SGRC имеет выраженную локальную характеристику и стойкое желание заказчика конструировать свой самолет с учетом местных норм и стандартов».

Развивая эту мысль, эксперт предложил российский термин АСУИБ (автоматизированная система управления информационной безопасностью), определив его как «саморегулирующаяся система ИБ, использующая математические методы для освобождения человека от участия в процессах получения, преобразования, передачи и использования информации либо для существенного уменьшения степени этого участия путем автоматизации рутинных операций».

Внутренние заказчики Security GRC
Любой корпоративной инициативе для успеха нужен свой внутренний заказчик, и в качестве такового для SGRC, по мнению наших экспертов, могут выступить самые разные подразделения. Валерий Богдашов выделил директоров по информационной безопасности и их заместителей (CISO, Deputy CISO), ведущий эксперт направления риск-менеджмента «SAS Россия/СНГ» Геннадий Чинский добавил департаменты корпоративной безопасности в целом, а начальник отдела управления рисками компании «Информзащита» Владимир Ермолаев дополнительно обрисовал целую плеяду — службы нефинансовых/операционных рисков, службы внутреннего контроля/аудита и службы Compliance.

Впрочем, по мнению г-на Бондаря, не контрольные подразделения, а акционер компании является лицом, наиболее заинтересованным в защите активов. Он обратил внимание на необходимость автоматизации процессов системы защиты активов ввиду того, что «...объем данных для анализа постоянно растёт, да и клиенты требуют повышения качества сервиса. Тут некогда заниматься ручным разбором подозрительных операций, необходима оперативность и автоматизация. При этом уровень риска не должен повышаться, иначе владелец может потерять деньги. Кроме того, заказчиком может выступать финансовый директор, которому GRC-решения помогут в контроле достоверности финансовой, управленческой и налоговой отчетности, а также департамент внутреннего аудита». Руслан Рахметов разделяет мнение г-на Бондаря о крайней актуальности ускорения бизнес-процессов, свою точку зрения он мотивирует тем, что «ручной грейд или ручная реакция уже не устраивают; всё, что медленно, сегодня умирает», а также отдельно отмечает драйвер повышения прозрачности процессов: «К прозрачности идут государство и общество, прозрачности требует и бизнес. Всё, что влияет на него, должно быть мгновенно оцифровано и приносить результат».

Драйверы проектов Security GRC
Плавно переходя от целевой аудитории Security GRC к драйверам инициации проектов, мы получили полярно распространенные мнения. Геннадий Чинский настаивает на первоочередности регуляторного драйвера (разбавленного потребностью в повышении инвестиционной привлекательности торгуемых на западных биржах компаний), а г-н Богдашов делает акцент на невозможности управлять сложной системой безопасности без автоматизации, на ограниченности доступного человеческого капитала в службах ИБ и приводит в пример научное изучение негативного эффекта человеческого фактора: «Последние исследования Гавайского университета об использовании электронных таблиц показали, что подавляющее их большинство (94%) содержат ошибки, причём в среднем по одной ошибке в каждой двадцатой ячейке. Из-за отсутствия механизмов контроля в таблицах специалисты очень часто меняют какое-либо значение ячейки или формулу (даже по случайности) и забывают применить изменения в остальных важных Excel-документах».

А согласно мнению г-на Ермолаева, GRC заряжается от всего (видимо, по чуть-чуть) на свете: «штрафные санкции со стороны регуляторов, претензии, иски... убытки вследствие экономической нестабильности или мошеннических действий, технологические сбои, а также злоумышленные действия вовред информационной безопасности».

Бизнес-выгоды проектов Security GRC
Юрий Бондарь предложил опираться на мировую статистику (исследование Ассоциации сертифицированных специалистов по расследованию хищений AFCE), согласно которой потенциально возможно увеличение выручки компании в размере до 5% за счет уменьшения потерь от злоупотреблений и мошенничества. Такого рода бизнес-выгоды в нашем обзоре мы будем называть «внешними», поскольку они являются таковыми по отношению к собственно процессам корпоративной или информационной безопасности.

Другой вводимый нами тип бизнес-выгод («внутренние») г-н Бондарь тоже упомянул, указав, что по данным SAP до 10% затрат на командировки, труд и проверки внутреннего аудита могут быть оптимизированы, в том числе и с перераспределением персонала на дополнительные проверки.

Геннадий Чинский упомянул целый ряд «внешних» выгод — проникновение риск-культуры в организации, более высокая управляемость процессов, выявление большего количества инцидентов, лучшее понимание рисков. А вот г-н Рахметов сделал упор на «внутренние» выгоды — в первую очередь скорость решения задач ИБ, а именно сокращение времени реакции на критические инциденты ИБ, улучшение возврата инвестиций в ранее закупленные технические средства, управление знаниями и инцидентами, повышение качества управленческих решений за счет предоставления правильной информации правильным руководителям, а также повышение эффективности системы ИБ благодаря синергии между ее процессами. «К примеру, если к автоматизированному процессу (модулю) управления инцидентами подключить процесс (модуль) повышения осведомленности, то модуль управления инцидентами получит данные об активах (персонале в том числе), об инцидентах, связанных с персоналом, выходы на отчетность и визуализацию, оповещение и эскалацию», — пояснил он.

Алексей Липатов присоединяется к г-ну Рахметову в ориентации на «внутренние» бизнес-выгоды; при этом он отдельно выделяет выгоду обеспечения прозрачности процессов ИБ и затрат на СУИБ для руководства организации и упоминает, что, согласно фирменной методике расчета окупаемости инвестиций (ROI) Security GRC ePlat4m, для крупной организации срок окупаемости Security GRC составляет порядка девяти месяцев, а совокупный ROI за трёхлетний период может составить до 285%.

Владимир Ермолаев также ориентируется на «внутренние» выгоды и отмечает наблюдаемое увеличение скорости процессов риск-менеджмента, в частности разработки и согласования новых периодических мероприятий, таких как оценка риска, проведение аудита и регистрация его результатов, заполнение листа самооценок. Кроме того, он видит повышение качества процессов риск-менеджмента благодаря автоматическому расчету параметра ожидаемого годового ущерба (annual loss expectancy, ALE) методом Монте-Карло (численный метод статистического моделирования).

Не ломает тренда ориентации большинства экспертов на «внутренние» выгоды и г-н Богдашов, который среди основных выгод упоминает оптимизацию распределения финансовых и кадровых возможностей службы ИБ: сведение к минимуму текучки, выделение приоритетных инвестиционных проектов, облегчение инвестиционного планирования в сфере ИБ.

Обязательные компоненты Security GRC
В ядерной физике есть понятие «критической массы» — минимальной массы делящегося вещества, необходимой для начала самоподдерживающейся цепной реакции деления. Есть такая масса и у решений SGRC, в частности г-н Бондарь рекомендует руководствоваться правилом трех линий защиты (обороны): первая — это функциональные подразделения, вторая — контрольно-надзорные подразделения (риск-менеджмент, безопасность, качество и др.) и третья — внутренний аудит. Все вместе они реализуют оценку рисков, контроль и регулярный аудит соответствия установленным требованиям. Кроме этого г-н Бондарь подчеркивает важность качественной проработки блока Governance: «На сегодняшний день в организации уже недостаточно реализовать только две функции — „риск“ и „контроль“. Необходимо эффективно распределить ответственность, чтобы выявить области отсутствия „контроля“, а также исключить дублирование функций. Четкие обязанности должны быть определены таким образом, чтобы каждая группа понимала границы своих обязанностей и знала, как они вписываются в общую структуру рисков и управления организацией». Он обращает внимание и на то, что благодаря конвергенции задач экономической и информационной безопасности сегодня стали востребованы решения по мониторингу противоправных действий и проведению всесторонних расследований инцидентов, в частности Fraud Management и Enterprise Threat Detection.

А вот г-н Чинский делает упор на богатство интеграционных возможностей, так как GRC должна быть интегрирована с другими различными системами, откуда она будет автоматически брать информацию по инцидентам, происшествиям, резервированию средств на покрытие убытков. Более того, для обеспечения конкурентоспособности на рынке в силу роста объема информации решению необходимы средства «продвинутой» аналитики, в том числе по машинному обучению, потому что использование таких инструментов выводит корпоративное управление рисками на новый уровень.

Алексей Липатов дает детальное перечисление функциональных возможностей, которыми должна обладать Security GRC. Как с технологической точки зрения — а именно реляционная база данных, механизмы потока работ (workflow), управления контентом, формирования отчетности, управления доступом, генерации уведомлений пользователей о событиях системы, а также механизмы анкетирования и тестирования персонала, позволяющие создавать опросные листы, применяемые во многих решениях GRC тесты и управлять ими. Так и с точки зрения прикладной функциональности — управление политиками ИБ, ИТ-активами в части ИБ, соответствием требованиям по ИБ, инцидентами, рисками ИБ, уязвимостями, внутренними аудитами в сфере ИБ и взаимоотношениями с третьими сторонами (заказчиками, поставщиками).

Противоположную сосредоточенной на конкретных модулях и процессах точке зрения г-на Липатова позицию занял г-н Ермолаев, подчеркивающий необходимость гибкости платформы GRC, поскольку «...это конструктор, который в смысле интеграции легко может быть дополнен нужными механизмами в соответствии с требованиями бизнеса».

И совсем особняком стоит мнение г-на Богдашова — для него главное не функциональность, а «объем аналитики, заложенной в продукт, всевозможные справочники, базы угроз и базы требований, всё то, что прорабатывалось вендором и может быть мгновенно использовано в продукте». А также наличие готовых коннекторов: «Фактором конкурентоспособности SGRC-решений на рынке является количество конекторов к внутренним системам организации и возможность интеграции (читай — работоспособный API) со средствами и системами защиты информации. Такая интеграция нужна любому SGRC-вендору для сбора и консолидации аналитики, статистики и других данных, необходимых для процессов менеджмента ИБ».

Современные технологии на службе Security GRC
В последние пару лет нарастают страхи по поводу распространения технологий машинного обучения, захвата роботами и ботами рабочих мест. Как платформа автоматизации рабочих процессов информационной безопасности SGRC может получить много выгод от новых технологий (дать новые качество и глубину решений), но и нанести удар по заказчикам — в том числе по службам ИБ. Видны ли ростки машинного обучения в SGRC?

Юрий Бондарь видит даже не ростки, а целые деревья, заявляя, что машинное обучение и психологически обусловленную визуализацию давно предлагает SAP. В частности, по всем инцидентам безопасности накапливается статистика нарушений и строится типовой портрет злоумышленника, что помогает превентивно выявлять подозрительные транзакции и всесторонне расследовать их. Кроме того, партнеры SAP предлагают систему визуализации связей между объектами, например взаимодействия поставщика с сотрудником компании через родственников, а также систему анализа социальных сетей и поиска неявных связей.

Руслан Рахметов согласен с необходимостью машинного обучения, алгоритмов обработки больших данных и технологий визуального и тактильного представления. Он считает критически важным компонентом редактор процессов Security GRC, так как он «приближает ИБ к бизнесу и придает ему новую степень свободы».

Тренды развития Security GRC
Валерий Богдашов нарисовал весьма футуристическую картину: «Всё движется в сторону роботизации, автоматизации, упрощения работы с продуктами, сервисами. Машины должны предлагать стратегические и тактические планы на выбор CISO. Планы должны быть просчитаны, а как только CISO подтвердят эти планы, их выполнение должны контролировать те же машины». При этом он все-таки отметил, что «роботы захватят мир, но не смогут полностью захватить сферу информационной безопасности».

А вот г-н Бондарь подчеркнул важность развития в сторону экономической безопасности, которая понятна бизнесу и где есть тренд интеграции с бизнес-системами, противодействия злоупотреблениям и мошенничеству, безопасного и удобного доступа, кибербезопасности и мониторинга событий ИБ на уровне приложений, контроля налогового и таможенного рисков.

И, конечно, не остался неотмеченным вездесущий тренд импортозамещения, его актуальность подчеркнул г-н Липатов.

Как не потратить бюджеты зря
Увы, согласованный бюджет, закупка решения и проведение работ по внедрению не являются гарантией успешного проекта. Среди общих рекомендаций экспертов — определенный уровень зрелости компании, предпроектный пилотный проект, осознание руководством организации необходимости системы ИБ и поддержка её развития.

Однако, как замечает г-н Липатов, существуют и другие факторы успеха — наличие у компании эффективной организационной структуры, обеспечивающей управление ИБ, обучение эксплуатации платформы SGRC, вовлечение в автоматизируемые с помощью SGRC процессы управления ИБ всего необходимого персонала: руководства организации, ИТ-подразделения, отделов внутреннего аудита и риск-менеджмента и др. А также гибкость платформы SGRC и возможность настройки прикладных модулей с использованием инструментов платформы без привлечения программистов.

Денег нет, но мы держимся
Большинство экспертов выделяют классический способ оптимизации бюджета в виде постепенной автоматизации (помодульная закупка), а также облачный/MSSP-вариант поставки решения. Половина реалистичным вариантом видит также рассрочку, а представители SAS и R-Vision рекомендуют вовлечь в проект больше, чем одно подразделение-заказчик и таким образом разделить расходы. В частности, г-н Чинский в роли потенциальных партнеров видит подразделения операционных рисков (очевидно, имея в виду финансовую сферу) и внутреннего аудита. А г-н Богдашов в качестве таковых усматривает подразделения риск-менеджмента, внутреннего контроля, физической безопасности и ИТ.

В дополнение г-н Липатов рекомендует редкий способ «поставки лицензий на ПО с ограниченным сроком предоставления неисключительных прав, например, на один год вместо поставки бессрочной лицензии».

Вывод
На рынке наличествуют предложения на любой вкус и кошелек и исходя из любого контекста организации — от широкой платформы SGRC с вовлечением всей компании в целом с попыткой улучшить качество и эффективность корпоративного управления до решения узких, актуальных именно сейчас задач соответствия требованиям регуляторов.