(343)286-12-03
Новости
Статьи
Security GRC: необходимость или баловство?
Дата: 04.04.2017
Автор: Александр Бодрик

Данный обзор ставит своей целью разобраться с определением систем Security GRC, выявить современные тенденции, драйверы и предпосылки успешных и бизнес-ориентированных GRC-проектов.

Любая устойчивая система управления (и управления информационной безопасностью в частности) стоит на трех китах — это люди, процессы и технологии. Технологии сейчас растут столь стремительно, что два другие кита за ними не поспевают, и образующийся перекос приходится закрывать другими технологиями либо кардинально улучшать процессы — раз уж демографический кризис априори не позволит нам решить проблему банальным расширением штата.

Активно развивающийся рынок систем GRC (Governance, Risk management and Compliance) находится на перекрестье процессов и технологий, помогая выжать максимум из существующих и развить новые полезные для организации процессы.

С другой стороны — «еще одна технология безопасности» тоже потребует людей и сама по себе усложнит деятельности службы ИБ. Стремясь разобраться в этом, мы опросили экспертов рынка — вендоров и интеграторов.

Алексей Липатов, директор по развитию бизнеса ООО «КИТ» (бренд ePlat4m)

Юрий Бондарь, заместитель генерального директора «SAP СНГ»

Владимир Ермолаев, начальник отдела управления рисками «Информзащита»

Руслан Рахметов, генеральный директор ГК «Интеллектуальная безопасность» (бренд Security Vision)

Геннадий Чинский, ведущий эксперт направления риск-менеджмента «SAS Россия/СНГ»

Валерий Богдашов, руководитель Центра компетенций R-Vision

 

Границы Security GRC

Традиционно понятие GRC отличалось некоторой размытостью, аналитическая корпорация Gartner даже разделила соответствующий магический квадрант сперва на две, а потом на шесть частей — шесть специализированных подмножеств рынка GRC.

Выделяя сегмент Security GRC (SGRC), директор по развитию ePlat4m Алексей Липатов определил его как «концепцию управления организацией (Governance) в сфере ИБ на основе оценки рисков (Risk) в соответствии с нормативными правовыми и корпоративными требованиями по защите информации (Compliance) и технологию реализации данной концепции». Он подчеркнул синергию между Governance, Risk и Compliance: «Все три вида деятельности связаны между собой, оказывают влияние друг на друга и в совокупности позволяют руководству принимать эффективные управленческие решения в области ИБ во взаимосвязи с другими корпоративными системами управления».

К г-ну Липатову присоединился руководитель центра экспертизы R-Vision Валерий Богдашов, подчеркнувший ориентацию SGRC-решений на менеджмент ИБ-процессов, таких как:

  • управление активами на различных уровнях (от компьютера до комплексного описания сервиса). Этот процесс дает ответ на простой вопрос — «что защищаем?»;
  • управление аудитами и контроль соответствия определенным требованиям (в том числе возможность автоматизировать Compliance-процедуры по внутренним документам организации или, например, по корпоративному стандарту холдинга);
  • управление рисками ИБ (с возможностью адаптировать продукт под собственные наработки компании в этой области);
  • стратегическое планирование ИБ с учетом ежедневных результатов, отображаемых в системе.

А вот заместитель генерального директора «SAP СНГ» Юрий Бондарь заострил внимание на актуальности комплексного подхода, на возможностях и преимуществах классических SGRC-cистем — повышении управляемости бизнеса в целом: «Задача классической SGRC-системы — вызвать уверенность бизнеса в том, что процессы в компании идут так, как было задумано». Он отметил также влияние современных трендов на эволюцию служб корпоративной и информационной безопасности: «С появлением Интернета вещей, облачных технологий, цифровой трансформации бизнеса задачи современной SGRC-системы состоят в обеспечении комплексного подхода к безопасности. Если раньше подразделение состояло из бывших сотрудников органов безопасности, то сегодня для расследования экономических преступлений их методов уже недостаточно. Необходима интегрированная система информационной и экономической безопасности, которая поможет аналитику выявить подозрительные операции и собрать необходимые факты для принятия взвешенного управленческого решения, а также наметить пути, по которым направление безопасности в организации должно развиваться дальше».

Генеральный директор ГК «Интеллектуальная безопасность» (бренд Security Vision) Руслан Рахметов и вовсе предложил «не укладываться в западные определения», в том числе потому, что «...SGRC имеет выраженную локальную характеристику и стойкое желание заказчика конструировать свой самолет с учетом местных норм и стандартов».

Развивая эту мысль, эксперт предложил российский термин АСУИБ (автоматизированная система управления информационной безопасностью), определив его как «саморегулирующаяся система ИБ, использующая математические методы для освобождения человека от участия в процессах получения, преобразования, передачи и использования информации либо для существенного уменьшения степени этого участия путем автоматизации рутинных операций».

Внутренние заказчики Security GRC

Любой корпоративной инициативе для успеха нужен свой внутренний заказчик, и в качестве такового для SGRC, по мнению наших экспертов, могут выступить самые разные подразделения. Валерий Богдашов выделил директоров по информационной безопасности и их заместителей (CISO, Deputy CISO), ведущий эксперт направления риск-менеджмента «SAS Россия/СНГ» Геннадий Чинский добавил департаменты корпоративной безопасности в целом, а начальник отдела управления рисками компании «Информзащита» Владимир Ермолаев дополнительно обрисовал целую плеяду — службы нефинансовых/операционных рисков, службы внутреннего контроля/аудита и службы Compliance.

Впрочем, по мнению г-на Бондаря, не контрольные подразделения, а акционер компании является лицом, наиболее заинтересованным в защите активов. Он обратил внимание на необходимость автоматизации процессов системы защиты активов ввиду того, что «...объем данных для анализа постоянно растёт, да и клиенты требуют повышения качества сервиса. Тут некогда заниматься ручным разбором подозрительных операций, необходима оперативность и автоматизация. При этом уровень риска не должен повышаться, иначе владелец может потерять деньги. Кроме того, заказчиком может выступать финансовый директор, которому GRC-решения помогут в контроле достоверности финансовой, управленческой и налоговой отчетности, а также департамент внутреннего аудита». Руслан Рахметов разделяет мнение г-на Бондаря о крайней актуальности ускорения бизнес-процессов, свою точку зрения он мотивирует тем, что «ручной грейд или ручная реакция уже не устраивают; всё, что медленно, сегодня умирает», а также отдельно отмечает драйвер повышения прозрачности процессов: «К прозрачности идут государство и общество, прозрачности требует и бизнес. Всё, что влияет на него, должно быть мгновенно оцифровано и приносить результат».

Драйверы проектов Security GRC

Плавно переходя от целевой аудитории Security GRC к драйверам инициации проектов, мы получили полярно распространенные мнения. Геннадий Чинский настаивает на первоочередности регуляторного драйвера (разбавленного потребностью в повышении инвестиционной привлекательности торгуемых на западных биржах компаний), а г-н Богдашов делает акцент на невозможности управлять сложной системой безопасности без автоматизации, на ограниченности доступного человеческого капитала в службах ИБ и приводит в пример научное изучение негативного эффекта человеческого фактора: «Последние исследования Гавайского университета об использовании электронных таблиц показали, что подавляющее их большинство (94%) содержат ошибки, причём в среднем по одной ошибке в каждой двадцатой ячейке. Из-за отсутствия механизмов контроля в таблицах специалисты очень часто меняют какое-либо значение ячейки или формулу (даже по случайности) и забывают применить изменения в остальных важных Excel-документах».

А согласно мнению г-на Ермолаева, GRC заряжается от всего (видимо, по чуть-чуть) на свете: «штрафные санкции со стороны регуляторов, претензии, иски... убытки вследствие экономической нестабильности или мошеннических действий, технологические сбои, а также злоумышленные действия вовред информационной безопасности».

Бизнес-выгоды проектов Security GRC

Юрий Бондарь предложил опираться на мировую статистику (исследование Ассоциации сертифицированных специалистов по расследованию хищений AFCE), согласно которой потенциально возможно увеличение выручки компании в размере до 5% за счет уменьшения потерь от злоупотреблений и мошенничества. Такого рода бизнес-выгоды в нашем обзоре мы будем называть «внешними», поскольку они являются таковыми по отношению к собственно процессам корпоративной или информационной безопасности.

Другой вводимый нами тип бизнес-выгод («внутренние») г-н Бондарь тоже упомянул, указав, что по данным SAP до 10% затрат на командировки, труд и проверки внутреннего аудита могут быть оптимизированы, в том числе и с перераспределением персонала на дополнительные проверки.

Геннадий Чинский упомянул целый ряд «внешних» выгод — проникновение риск-культуры в организации, более высокая управляемость процессов, выявление большего количества инцидентов, лучшее понимание рисков. А вот г-н Рахметов сделал упор на «внутренние» выгоды — в первую очередь скорость решения задач ИБ, а именно сокращение времени реакции на критические инциденты ИБ, улучшение возврата инвестиций в ранее закупленные технические средства, управление знаниями и инцидентами, повышение качества управленческих решений за счет предоставления правильной информации правильным руководителям, а также повышение эффективности системы ИБ благодаря синергии между ее процессами. «К примеру, если к автоматизированному процессу (модулю) управления инцидентами подключить процесс (модуль) повышения осведомленности, то модуль управления инцидентами получит данные об активах (персонале в том числе), об инцидентах, связанных с персоналом, выходы на отчетность и визуализацию, оповещение и эскалацию», — пояснил он.

Алексей Липатов присоединяется к г-ну Рахметову в ориентации на «внутренние» бизнес-выгоды; при этом он отдельно выделяет выгоду обеспечения прозрачности процессов ИБ и затрат на СУИБ для руководства организации и упоминает, что, согласно фирменной методике расчета окупаемости инвестиций (ROI) Security GRC ePlat4m, для крупной организации срок окупаемости Security GRC составляет порядка девяти месяцев, а совокупный ROI за трёхлетний период может составить до 285%.

Владимир Ермолаев также ориентируется на «внутренние» выгоды и отмечает наблюдаемое увеличение скорости процессов риск-менеджмента, в частности разработки и согласования новых периодических мероприятий, таких как оценка риска, проведение аудита и регистрация его результатов, заполнение листа самооценок. Кроме того, он видит повышение качества процессов риск-менеджмента благодаря автоматическому расчету параметра ожидаемого годового ущерба (annual loss expectancy, ALE) методом Монте-Карло (численный метод статистического моделирования).

Не ломает тренда ориентации большинства экспертов на «внутренние» выгоды и г-н Богдашов, который среди основных выгод упоминает оптимизацию распределения финансовых и кадровых возможностей службы ИБ: сведение к минимуму текучки, выделение приоритетных инвестиционных проектов, облегчение инвестиционного планирования в сфере ИБ.

Обязательные компоненты Security GRC

В ядерной физике есть понятие «критической массы» — минимальной массы делящегося вещества, необходимой для начала самоподдерживающейся цепной реакции деления. Есть такая масса и у решений SGRC, в частности г-н Бондарь рекомендует руководствоваться правилом трех линий защиты (обороны): первая — это функциональные подразделения, вторая — контрольно-надзорные подразделения (риск-менеджмент, безопасность, качество и др.) и третья — внутренний аудит. Все вместе они реализуют оценку рисков, контроль и регулярный аудит соответствия установленным требованиям. Кроме этого г-н Бондарь подчеркивает важность качественной проработки блока Governance: «На сегодняшний день в организации уже недостаточно реализовать только две функции — „риск“ и „контроль“. Необходимо эффективно распределить ответственность, чтобы выявить области отсутствия „контроля“, а также исключить дублирование функций. Четкие обязанности должны быть определены таким образом, чтобы каждая группа понимала границы своих обязанностей и знала, как они вписываются в общую структуру рисков и управления организацией». Он обращает внимание и на то, что благодаря конвергенции задач экономической и информационной безопасности сегодня стали востребованы решения по мониторингу противоправных действий и проведению всесторонних расследований инцидентов, в частности Fraud Management и Enterprise Threat Detection.

А вот г-н Чинский делает упор на богатство интеграционных возможностей, так как GRC должна быть интегрирована с другими различными системами, откуда она будет автоматически брать информацию по инцидентам, происшествиям, резервированию средств на покрытие убытков. Более того, для обеспечения конкурентоспособности на рынке в силу роста объема информации решению необходимы средства «продвинутой» аналитики, в том числе по машинному обучению, потому что использование таких инструментов выводит корпоративное управление рисками на новый уровень.

Алексей Липатов дает детальное перечисление функциональных возможностей, которыми должна обладать Security GRC. Как с технологической точки зрения — а именно реляционная база данных, механизмы потока работ (workflow), управления контентом, формирования отчетности, управления доступом, генерации уведомлений пользователей о событиях системы, а также механизмы анкетирования и тестирования персонала, позволяющие создавать опросные листы, применяемые во многих решениях GRC тесты и управлять ими. Так и с точки зрения прикладной функциональности — управление политиками ИБ, ИТ-активами в части ИБ, соответствием требованиям по ИБ, инцидентами, рисками ИБ, уязвимостями, внутренними аудитами в сфере ИБ и взаимоотношениями с третьими сторонами (заказчиками, поставщиками).

Противоположную сосредоточенной на конкретных модулях и процессах точке зрения г-на Липатова позицию занял г-н Ермолаев, подчеркивающий необходимость гибкости платформы GRC, поскольку «...это конструктор, который в смысле интеграции легко может быть дополнен нужными механизмами в соответствии с требованиями бизнеса».

И совсем особняком стоит мнение г-на Богдашова — для него главное не функциональность, а «объем аналитики, заложенной в продукт, всевозможные справочники, базы угроз и базы требований, всё то, что прорабатывалось вендором и может быть мгновенно использовано в продукте». А также наличие готовых коннекторов: «Фактором конкурентоспособности SGRC-решений на рынке является количество конекторов к внутренним системам организации и возможность интеграции (читай — работоспособный API) со средствами и системами защиты информации. Такая интеграция нужна любому SGRC-вендору для сбора и консолидации аналитики, статистики и других данных, необходимых для процессов менеджмента ИБ».

Современные технологии на службе Security GRC

В последние пару лет нарастают страхи по поводу распространения технологий машинного обучения, захвата роботами и ботами рабочих мест. Как платформа автоматизации рабочих процессов информационной безопасности SGRC может получить много выгод от новых технологий (дать новые качество и глубину решений), но и нанести удар по заказчикам — в том числе по службам ИБ. Видны ли ростки машинного обучения в SGRC?

Юрий Бондарь видит даже не ростки, а целые деревья, заявляя, что машинное обучение и психологически обусловленную визуализацию давно предлагает SAP. В частности, по всем инцидентам безопасности накапливается статистика нарушений и строится типовой портрет злоумышленника, что помогает превентивно выявлять подозрительные транзакции и всесторонне расследовать их. Кроме того, партнеры SAP предлагают систему визуализации связей между объектами, например взаимодействия поставщика с сотрудником компании через родственников, а также систему анализа социальных сетей и поиска неявных связей.

Руслан Рахметов согласен с необходимостью машинного обучения, алгоритмов обработки больших данных и технологий визуального и тактильного представления. Он считает критически важным компонентом редактор процессов Security GRC, так как он «приближает ИБ к бизнесу и придает ему новую степень свободы».

Тренды развития Security GRC

Валерий Богдашов нарисовал весьма футуристическую картину: «Всё движется в сторону роботизации, автоматизации, упрощения работы с продуктами, сервисами. Машины должны предлагать стратегические и тактические планы на выбор CISO. Планы должны быть просчитаны, а как только CISO подтвердят эти планы, их выполнение должны контролировать те же машины». При этом он все-таки отметил, что «роботы захватят мир, но не смогут полностью захватить сферу информационной безопасности».

А вот г-н Бондарь подчеркнул важность развития в сторону экономической безопасности, которая понятна бизнесу и где есть тренд интеграции с бизнес-системами, противодействия злоупотреблениям и мошенничеству, безопасного и удобного доступа, кибербезопасности и мониторинга событий ИБ на уровне приложений, контроля налогового и таможенного рисков.

И, конечно, не остался неотмеченным вездесущий тренд импортозамещения, его актуальность подчеркнул г-н Липатов.

Как не потратить бюджеты зря

Увы, согласованный бюджет, закупка решения и проведение работ по внедрению не являются гарантией успешного проекта. Среди общих рекомендаций экспертов — определенный уровень зрелости компании, предпроектный пилотный проект, осознание руководством организации необходимости системы ИБ и поддержка её развития.

Однако, как замечает г-н Липатов, существуют и другие факторы успеха — наличие у компании эффективной организационной структуры, обеспечивающей управление ИБ, обучение эксплуатации платформы SGRC, вовлечение в автоматизируемые с помощью SGRC процессы управления ИБ всего необходимого персонала: руководства организации, ИТ-подразделения, отделов внутреннего аудита и риск-менеджмента и др. А также гибкость платформы SGRC и возможность настройки прикладных модулей с использованием инструментов платформы без привлечения программистов.

Денег нет, но мы держимся

Большинство экспертов выделяют классический способ оптимизации бюджета в виде постепенной автоматизации (помодульная закупка), а также облачный/MSSP-вариант поставки решения. Половина реалистичным вариантом видит также рассрочку, а представители SAS и R-Vision рекомендуют вовлечь в проект больше, чем одно подразделение-заказчик и таким образом разделить расходы. В частности, г-н Чинский в роли потенциальных партнеров видит подразделения операционных рисков (очевидно, имея в виду финансовую сферу) и внутреннего аудита. А г-н Богдашов в качестве таковых усматривает подразделения риск-менеджмента, внутреннего контроля, физической безопасности и ИТ.

В дополнение г-н Липатов рекомендует редкий способ «поставки лицензий на ПО с ограниченным сроком предоставления неисключительных прав, например, на один год вместо поставки бессрочной лицензии».

Вывод

На рынке наличествуют предложения на любой вкус и кошелек и исходя из любого контекста организации — от широкой платформы SGRC с вовлечением всей компании в целом с попыткой улучшить качество и эффективность корпоративного управления до решения узких, актуальных именно сейчас задач соответствия требованиям регуляторов.

 

Источник: https://www.pcweek.ru/security/article/detail.php?ID=193966