Руководители многих подразделений ИБ сталкиваются с тем, что информационная безопасность воспринимается как вспомогательный процесс: она не приносит прибыли, но требует дополнительных затрат и ресурсов, выделяемых обычно по остаточному принципу. При этом у служб информационной безопасности нет удобных и эффективных механизмов, чтобы регулярно демонстрировать вклад ИБ в бизнес и отдачу от вложенных в нее средств.
В последнее время сообщество специалистов по информационной безопасности часто обсуждает в качестве такого механизма процесс оценки эффективности ИБ, основанный на измерении соответствующих метрик. Во-первых, он позволяет количественно и качественно оценить ожидаемые результаты от внедрения мер по защите информации с точки зрения повышения уровня безопасности и эффективности расходования средств. Во-вторых, помогает определить степень соответствия внедряемых и уже внедренных мер ожиданиям компании. В-третьих — позволяет контролировать текущее состояние ИБ и формировать отчеты для руководства о его изменениях за определенный период. И в-четвертых, с мониторингом эффективности ИБ можно определить «узкие места», аномалии в функционировании мер по защите информации, а также их причины и способы устранения.
Регулярное отслеживание метрик позволяет выявлять реальные и потенциальные недостатки в обеспечении ИБ, принимать своевременные и обоснованные меры по его улучшению и устранению коренных причин возникших отклонений. Кроме того, появляется возможность отследить, как вносимые изменения отражаются на деятельности по обеспечению ИБ, и продемонстрировать, каким образом она вносит вклад в достижение целей бизнеса.
Этот процесс создает условия для полноценного диалога с бизнесом и демонстрации результатов деятельности службы информационной безопасности.
Мониторинг эффективности ИБ — о чем нужно помнить?
Успешность оценки эффективности ИБ, достижение ею поставленных целей и задач напрямую зависят от правильности сформулированных метрик. Но даже когда выстроена иерархия, определены целевые и пороговые значения метрик, конкретизированы источники необходимых для них данных, мы все равно можем столкнуться со сложностями при вычислении искомых значений. Часто оказывается, что данные, необходимые для расчета метрик, разрознены. Например, для определения такого технического показателя, как «процент устраненных уязвимостей из числа подлежащих устранению», необходимы данные о количестве уязвимостей, от которых нужно защититься, предоставляемые подразделением ИБ. А также — данные от ИТ-подразделения о том, сколько их устранено в итоге. Но это пример для расчета несложной технической метрики. Бизнес-ориентированные метрики ИБ основываются на большем количестве информации, хранящейся в разнообразных источниках в разных форматах. Так процесс оценки эффективности информационной безопасности становится сложным и неповоротливым. Но с этой проблемой можно справиться при помощи комплексной системы мониторинга эффективности ИБ, в которую входят три элемента.
Первый — четко выстроенная иерархия показателей эффективности (от бизнес-ориентированных метрик безопасности до низкоуровневых технических). В основе такой иерархии лежит взаимосвязь между «техническими» и бизнес-ориентированными показателями. Если правильно подходить к выстраиванию иерархии, верхние позиции займут те из них, которые наиболее интересны и понятны бизнесу.
Второй элемент системы мониторинга ИБ — средство автоматизации оценки метрик безопасности и сбора соответствующей аналитики. В данном случае необходимо найти такой инструмент, который позволяет оценивать значения метрик эффективности в автоматическом режиме и не требует дополнительных трудозатрат от сотрудников, а это снижает влияние человеческого фактора на производимые измерения. Этот же инструмент, собирая аналитическую информацию о работе процессов ИБ, позволяет одновременно видеть сами значения метрик и сводную информацию, на которой они основаны. И это неоспоримый плюс. Когда необходимо автоматизировать сложную аналитику, применяются системы класса BI (Business Intelligence). Эти средства с неменьшим успехом могут использоваться в области информационной безопасности. Современные BI-системы позволяют собирать данные практически из любых источников, имеющихся в компании, рассчитывать любые показатели и демонстрировать аналитику на основе собранных данных, а также быстро и удобно представлять руководству аналитические отчеты и результаты расчета показателей.
Третий немаловажный элемент системы мониторинга эффективности ИБ — настроенные отчеты. Они позволяют быстро предоставлять результаты измерений и аналитики всем заинтересованным сторонам, даже если таких сторон окажется много и каждая из них будет нуждаться в разных срезах данных.
BI и ИБ — успешный тандем
Обычно в бизнес-анализе выделяется несколько уровней:
- отчетность, позволяющая ответить на вопрос «Что случилось?»
- анализ, дающий ответ на вопрос «Почему это случилось?»
- мониторинг, отвечающий на вопрос «Что происходит сейчас?»
Гибкое BI-средство дает возможность максимально быстро получать точные и полные ответы на эти вопросы. Если задуматься, то для подразделений ИБ использование подобных средств открывает очень заманчивые перспективы. Например, подразделение сможет быстро рассчитывать значения метрик эффективности информационной безопасности, оценивать ее соответствие ожиданиям бизнеса и оперативно выявлять «узкие» места в функционировании процессов и мер ИБ. Использование BI-систем позволит также локализовать возможные проблемы взаимодействия между подразделениями, обеспечивающими информационную безопасность, и, как следствие, сделает работу ИБ максимально понятной и прозрачной для руководства.
Подход к созданию систем мониторинга эффективности информационной безопасности, который мы обычно используем, имеет две схемы развития. Во-первых, система мониторинга эффективности может базироваться на уже имеющихся у заказчика BI-системах. Во-вторых, если заказчик еще не обладает опытом использования BI-систем, решение может быть построено с применением BI-системы «по запросу».
Часто, учитывая предпочтения и требования заказчика, мы используем в качестве BI-системы, позволяющей полноценно анализировать работу подразделения ИБ, решение QlikView. Этот программный продукт может быть инсталлирован и на рабочую станцию, и на корпоративный сервер. Кроме того, в QlikView реализована возможность доступа к данным с мобильных устройств через сеть Интернет. Это решение позволяет анализировать данные, поступающие из разнородных источников, консолидировать их и решать задачи любого уровня — вплоть до рассмотрения конкретных единичных транзакций. Стандартная конфигурация данной системы не только обеспечивает возможность создания различных отчетов, но и позволяет выбрать нужную настройку для их оформления или для рассылки уведомлений, интегрировать данные в Microsoft Office и экспортировать их в форматы XML, Excel, CSV и TXT.
Еще одним плюсом используемой нами BI-системы мы считаем экономию времени, затрачиваемого на внедрение. Средняя длительность внедрения составляет один месяц. Это несравнимо меньше, чем может потребоваться в случае использования любых других BI-систем. Кроме того, здесь не требуется построение хранилища данных.
Решение, основанное на технологии QlikView, помогает по-новому посмотреть на имеющиеся данные о работе ИБ и объективно оценить положение дел. «Новизна» взгляда во многом определяется возможностями решения — которое позволяет, к примеру, наглядно демонстрировать топ-менеджменту вклад ИБ в бизнес и представлять данные с помощью эффектной современной графики, работая в интерактивном режиме. Все это способствует принятию нестандартных решений.
Внедрение целостной и продуманной системы мониторинга эффективности ИБ, состоящей из иерархии метрик, средства автоматизации расчета значений метрик, настроенных аналитических отчетов, позволяет наглядно и понятно продемонстрировать бизнесу деятельность по обеспечению ИБ. Возникает возможность планировать развитие системы обеспечения ИБ в краткосрочной и долгосрочной перспективе, отслеживать эффективность внедряемых мер по обеспечению информационной безопасности и контролировать изменения уровня защищенности компании на регулярной основе.