1. Главная
  2. Статьи
  3. От фрагментации к экосистеме: как компании навести порядок в ИБ

От фрагментации к экосистеме: как компании навести порядок в ИБ

От фрагментации к экосистеме: как компании навести порядок в ИБ
Ольга Попова
Ольга Попова

Главный юрист продуктовой группы Контур.Эгида и Staffcop

В любой компании может сложиться такая ситуация: внедрили много инструментов инфобезопасности, но вместо высокого уровня защиты получили фрагментированную архитектуру безопасности с противоречивыми настройками, конфликтующими компонентами и слепыми зонами. Ольга Попова, главный юрист продуктовой группы Контур.Эгида и Staffcop, в своей колонке для Cyber Media рассказала, как можно решить этот парадокс.

Почему компании используют разрозненные решения

Причин фрагментации систем безопасности несколько, и все они взаимосвязаны.

Во-первых, многие организации до сих пор используют ранее приобретенные программные продукты, в том числе зарубежные. Компании вложились в эти решения несколько лет назад, они продолжают работать. А если куплена бессрочная лицензия, для бизнеса это экономичнее, и он не хочет переходить на более новое, современное, интегрированное решение.

Вторая распространенная причина — реактивный подход к безопасности. Многие работают по принципу: гром грянет — будем что-то менять. Не грянет — значит, нас не касается, не будем пока решать эту проблему.

Немаловажным фактором является и позиция государства, которое дает организациям (особенно государственным) переходный период до 2030 года, в течение которого можно использовать импортные решения при соблюдении определенных условий их закупки.

Еще одна причина — дефицит квалифицированных ИТ-специалистов. Опытные профессионалы часто сфокусированы на узкой специализации: они не стремятся осваивать новые интегрированные решения и предпочитают работать в привычной области. Молодым же специалистам для приобретения необходимой экспертизы требуется дополнительное обучение. Однако компании неохотно инвестируют в их развитие, опасаясь, что сотрудники, получив ценные навыки, потребуют повышения зарплаты или уйдут к конкурентам.

Не стоит забывать и о децентрализованных закупках в крупных организациях с филиальной сетью. Если у компании несколько филиалов, и каждый приобрел различные решения в разных городах, то управляемость снижается, и непонятно, какое подразделение каким уровнем защиты обладает.

Риски фрагментированной безопасности

Отсутствие интеграции между средствами защиты создает серьезные риски. Прежде всего, нет общей картины информационной безопасности в компании, потому что нет единой архитектуры.

Возникают и технические конфликты между решениями разных производителей. Характерный пример: у антивирусного ПО происходит обновление и возникает конфликт с другим программным продуктом для инфобезопасности в компании — антивирус блокировал его как пиратское решение.

Кроме того, разрозненные системы требуют больше ресурсов на поддержку и интеграцию, и компании приходится прилагать больше усилий, платить вендору за адаптацию его решения под свою ИТ-систему. Это значительно увеличивает как финансовые затраты, так и нагрузку на ИТ-персонал.

Когда избыточность безопасности становится опасной

Случай из практики: в компании было несколько серверов с разными антивирусными решениями. На внешних серверах стояли два разных антивируса, а на внутреннем — третий. Системный администратор обновил лицензии на внешних серверах, но забыл про внутренний. Когда сотруднику подкинули флешку с вирусом, якобы с фотографиями, устаревшая версия антивируса не смогла обнаружить угрозу. В итоге система была скомпрометирована.

Это яркая иллюстрация парадокса избыточной безопасности: компания вроде бы защищена несколькими решениями, но из-за отсутствия централизованного управления и актуализации возникают уязвимости.

Как «лоскутная» архитектура влияет на защищенность

«Лоскутная» архитектура безопасности, где «здесь залечили, там залечили, здесь прикрыли, там что-то построили», существенно снижает способность организации эффективно реагировать на инциденты. Специалисты вынуждены переключать внимание между разными системами и тратить время на устранение конфликтов вместо системного мониторинга и анализа угроз.

В совокупности нет корреляции всех событий, и невозможно посмотреть сверху, что происходит во всем периметре безопасности. Особенно опасна ситуация, когда разные инструменты по-разному классифицируют инциденты: какое-то решение считает происходящее инцидентом, а какое-то нет. Это искажает общую картину.

От фрагментации к экосистеме: как решать проблему

Существует ли оптимальное количество решений для организации? Подход должен быть индивидуальным, но есть базовый набор функций, которые должны быть реализованы в любой компании:

  1. Управление доступом и аутентификация.
  2. Защита данных и криптозащита.
  3. Мониторинг и реагирование на инциденты.
  4. Резервное копирование и восстановление.
  5. Единое доменное имя и шлюзы для доступа извне.
  6. Антивирусная защита.

Чтобы выстроить эффективную экосистему безопасности, самое первое, что нужно сделать компании, — проанализировать, что есть у компании сейчас, какие активы требуют защиты и какие последствия может вызвать их взлом.

Затем сравнить две архитектуры информационной безопасности — существующую и ту, которая должна быть в идеале.

И, наконец определить необходимые ресурсы: трудовые, технические, финансовые, — и поставить конкретные цели и дорожную карту их достижения. Если компания знает, какие есть чувствительные активы и какими возможностями обладает, то сможет принять взвешенное решение: какую потенциальную цель, в какие сроки и набором каких решений она может закрыть и каким бюджетом воспользоваться.

Роль руководства в построении безопасности

В процессе построения интегрированной системы защиты особенно важна позиция руководства компании. Руководитель должен понять, что информационная безопасность компании важна, что нужно выделить бюджет на развитие отдела информационной безопасности и постоянно держать руку на пульсе.

Но даже если отдел инфобезопасности уже есть, руководитель не должен снимать с себя ответственность, а наоборот: должен контролировать параметры защиты, требовать отчеты о том, с какими угрозами столкнулась компания, предприняты ли действия по повышению безопасности.

Полезной практикой является проведение регулярного внешнего аудита. Компания может заключить NDA с приглашенным исполнителем и собственным IT-отделом, провести независимый аудит и принять решение: эффективна ли их система, нужно ли заменить какое-то ПО, или, может быть, дело в человеческом факторе, кто-то не справляется.

Как преодолеть парадокс избыточной безопасности?

Для этого необходимо перейти от накопления отдельных решений к построению интегрированной экосистемы безопасности, важно не просто покупать инструменты «на всякий случай», а формировать целостную архитектуру, основанную на понимании реальных рисков и потребностей организации.

Также критически важно помнить, что даже самые совершенные технические решения бесполезны без постоянного обновления, мониторинга и повышения квалификации специалистов. Первичное вложение не станет панацеей от уязвимостей навсегда. Несмотря на то, что ПО куплено и работает, оно требует регулярных обновлений.

И, наконец, ключом к успеху является осознание того, что информационная безопасность — это непрерывный процесс, требующий внимания на всех уровнях организации: от рядовых сотрудников до высшего руководства.

Теги:

РЕКОМЕНДУЕМ

похожие материалы

Стрелочка
Стрелочка
Конвергентный BRAS, как первый эшелон обороны оператора против массированных DDoS-атак
Конвергентный BRAS, как первый эшелон обороны оператора против массированных DDoS-атак

Современные операторы связи сталкиваются с беспрецедентными вызовами: взрывном рост трафика, усложнением архитектуры сетей, участившиеся кибератаки и постоянно растущие ожидания абонентов от качества и непрерывности сервиса.

подробнее Стрелочка