Как известно техническим директорам по информационной безопасности (CISO), эффективная программа безопасности не может быть статичной. Напротив, она должна адаптироваться к меняющемуся ландшафту угроз и постоянно развивающейся бизнес-среде.
Чтобы адаптироваться и совершенствоваться, CISO должны постоянно оценивать свою текущую программу. Это начинается с постановки сложных вопросов об их эффективности, инвестициях и стратегиях.
В данном материале руководители служб безопасности делятся 15 вопросами, которые должен задать себе каждый CISO, чтобы убедиться, что их программы могут удовлетворить текущие потребности и будущие запросы.
1. Какую проблему или инцидент решила моя программа безопасности, которые в противном случае помешали бы бизнесу?
Роланд Палмер, CISO и вице-президент по безопасности в технологической компании JumpCloud, говорит, что регулярно задает себе этот вопрос, поскольку он заставляет его определять и сообщать о том, какие усилия по обеспечению безопасности предотвращают негативное влияние на бизнес.
«Речь идет о том, чтобы мы продемонстрировали рентабельность инвестиций (ROI) и смогли это сформулировать», — говорит он. «Это определяет, как я смотрю на свою роль и куда мне следует направить информационную кампанию [для информирования] бизнеса о том, что мы делаем, что демонстрирует ценность безопасности».
2. Как мы защищаем наиболее важные бизнес-процессы нашей организации?
«Многие организации по-прежнему придерживаются широкого, оборонительного подхода, а не фокусируют свою киберстратегию вокруг критически важных процессов. В среде угроз, усиленной ИИ, задача состоит не столько в выявлении каждой уязвимости, сколько в защите критически важных процессов и обеспечении устойчивости при возникновении инцидентов. Это также все чаще подкрепляется нормативными актами», — говорит Ричард Уотсон, руководитель направления глобальной кибербезопасности в фирме по оказанию профессиональных услуг EY, приводя в пример европейский регламент DORA.
3. Знаем ли мы реальное влияние на бизнес недоступности критически важных сервисов?
Помимо знания того, какие процессы критичны для организации, CISO должны понимать истинное влияние успешной атаки на эти процессы. Эти знания помогают согласовать их стратегию безопасности и артикулировать ценность их инвестиций в безопасность для коллег из высшего руководства.
«Понимание того, какие системы генерируют доход, поддерживают клиентов, выполняют нормативные обязательства или обеспечивают критически важные операции, помогает организациям расставить приоритеты в инвестициях в безопасность там, где это наиболее важно», — говорит Дейл Хоак, CISO в фирме-разработчике ПО RegScale. «Анализ влияния на бизнес должен регулярно пересматриваться и обновляться при любых существенных организационных изменениях».
Аналогичным образом, Шон Мёрфи, старший вице-президент и CISO в BECU, пятом по величине кредитном союзе страны, спрашивает: «Какие действия в области безопасности могут остановить бизнес?» Он отмечает, что этот вопрос помогает службе безопасности согласовать и приоритизировать свою работу с учетом бизнес-рисков, что обеспечивает зависимость бизнеса, а не только отказоустойчивость ИТ.
4. Если бы нас взломали завтра, как быстро мы бы узнали?
Среднее время обнаружения (MTTD), а также среднее время реагирования (MTTR) и среднее время сдерживания (MTTC) остаются критически важными метриками для измерения эффективности программ безопасности, поскольку низкий MTTD, как правило, коррелирует с меньшим радиусом поражения и меньшим влиянием на бизнес.
Именно поэтому, по словам Хоака, критически важно задавать этот вопрос.
«Реальность такова, что каждая организация должна предполагать, что злоумышленник в конечном итоге получит доступ где-либо в среде. Более важным становится вопрос о том, как быстро команды безопасности смогут обнаружить вредоносную активность, понять ее масштаб и эффективно отреагировать», — говорит он. «Этот вопрос следует оценивать непрерывно посредством мониторинга, учений на основе сценариев (tabletop exercises), учений purple team и тестирования реагирования на инциденты».
5. Работаем ли мы со скоростью машины или со скоростью человека?
По словам Уотсона, CISO должны задуматься об общей скорости работы своего департамента и о том, достаточно ли она высока.
«Современные операционные модели кибербезопасности и ИТ, процессы управления и средства контроля были созданы для более медленного ландшафта угроз. Поскольку ИИ ускоряет как наступательные, так и оборонительные возможности, организациям необходимо оценить, успевают ли они за темпами, или же возникают пробелы по мере того, как злоумышленники все чаще используют передовую автоматизацию и ИИ», — говорит он.
6. Чего мы не знаем?
Это вопрос, который Мёрфи регулярно задает своей команде безопасности, чтобы помочь им подготовиться ко всему, что может произойти.
«Мы должны думать о том, где у нас нет видимости, где наши слепые зоны, что мы не знаем, но должны знать, будь то в отношении людей, процессов или технологий», — говорит он. «Это неудобный разговор, но мы должны подумать о том, где могут быть пробелы. Мы должны подумать о том, где у нас может появиться новая подверженность риску».
Мёрфи и его команда используют разведданные об угрозах и информацию от коллег, партнерских групп, отраслевых ассоциаций и собственных систем безопасности, «чтобы понять, что мы видим. Это большое количество поступающей информации. И это требует любопытства и критического подхода, сомнения и отказа от предположений. Я пытаюсь заглянуть за горизонт».
7. Какие сторонние поставщики могут существенно повлиять на нашу деятельность в случае компрометации?
«Недавние атаки продемонстрировали, что компрометация одного доверенного поставщика может создать каскадный риск для тысяч организаций», — отмечает Хоак. «Многие компании имеют более сильную видимость в своих собственных средах, чем в средах организаций, от которых они зависят».
Поэтому CISO должны постоянно задаваться этим вопросом, добавляет он, «поскольку отношения с поставщиками, зависимости от программного обеспечения и ландшафт угроз постоянно меняются».
8. Насколько отлажена наша программа IAM для человеческих и нечеловеческих идентификаторов?
Управление идентификацией и доступом (IAM) стало центральным компонентом современных программ безопасности. Поэтому Палмер считает крайне важным, чтобы CISO точно знали, сколько человеческих и нечеловеческих идентификаторов действует в их организациях и ограничены ли их доступы только соответствующими сценариями использования.
«Это стало ежедневным вопросом. Я бы пошел дальше и сказал, что это вопрос, который нужно задавать каждый час», — говорит Палмер, отмечая, что распространение использования ИИ, теневого ИИ и агентов ИИ означает, что количество идентификаторов и их прав доступа постоянно меняется.
9. Как мы защищаем наши нечеловеческие идентификаторы?
В продолжение темы ИИ Уотсон отмечает, что CISO по всему миру должны задаться вопросом, обеспечивают ли они адекватную защиту своих нечеловеческих активов.
«Нечеловеческие идентификаторы — это новая граница киберрисков, и многие традиционные инструменты управления идентификацией еще не эволюционировали для их решения. По мере того как организации внедряют все больше автоматизированных и управляемых агентами процессов, управление доступом и привилегиями для этих идентификаторов становится все более важным», — говорит он.
10. Знаем ли мы, где используется ИИ, какими данными обмениваются и кто несет ответственность за эти решения?
Как отмечает Даг Керстен, CISO в компании-разработчике ПО Appfire, «многие сотрудники самостоятельно внедряют инструменты ИИ для решения реальных бизнес-задач еще до того, как руководство узнает о существовании этих инструментов, что создает неопознанные риски безопасности. Это порождает те же проблемы с видимостью и подотчетностью, которые мы наблюдали годами с теневым ИТ; [это] просто происходит гораздо быстрее».
Чтобы гарантировать возможность ответить «да» на эти вопросы, CISO необходимы процессы управления, которые успевают за быстро развивающимися технологиями и в которых участвуют юридический отдел, отдел закупок, отдел кадров, инженеры и бизнес-команды, а также служба безопасности, говорит он.
11. Построена ли моя программа безопасности приложений для мира, где каждый является кодером?
ИИ сделал разработку приложений доступной для всех в организации, поэтому CISO необходимо рассмотреть, имеют ли их программы безопасности надлежащие средства контроля для этой новой реальности.
«CISO должны определить рамки [для организации], чтобы безопасно заниматься «виртуальным кодированием» (vibe coding), и эти рамки должны соответствовать скорости такого кодирования», — говорит Нико Вайсман, CISO в компании по разработке технологий безопасности XBOW.
12. Готовы ли мы к расширяющейся поверхности атаки, которую создает «виртуальное кодирование»?
Аналогично, Вайсман отмечает, что он и другие CISO должны задуматься, способны ли их программы безопасности защитить расширяющуюся поверхность атаки и технический долг, создаваемый «виртуальным кодированием» (vide coding).
«Если кто угодно может создать собственный продукт, у нас появятся приложения, возникающие повсюду в сети и среде. Это означает, что [организация, вероятно,] накапливает технический долг, потому что люди любят создавать программное обеспечение, но никто не любит его поддерживать. А если никто его не поддерживает, то могут появиться уязвимости, за которыми никто не следит и которые никто не исправляет. В итоге этим может заниматься только служба безопасности», — говорит Вайсман.
Чтобы избежать такого сценария, CISO должны быть усердны в инвентаризации активов и назначении владельцев для каждого приложения, говорит он.
13. Что мы делаем, чтобы подготовиться к миру, где у хакеров есть Mythos?
Claude Mythos — это передовая модель ИИ от Anthropic, которая может автономно находить и использовать уязвимости программного обеспечения. В руках хакеров это еще больше сократит скорость создания и запуска атак.
«Скорость и масштаб теперь другие», — говорит Вайсман. «Модели Anthropic и OpenAI открыли двери для масштаба атак, которого мы никогда раньше не видели. Поэтому CISO должны подумать о том, как это повлияет на их позицию безопасности и как они будут защищаться от атак, поскольку масштаб и скорость меняются еще больше».
14. Достаточно ли я уверен, чтобы поделиться нашей реальной позицией в области безопасности, если об этом попросит клиент?
Палмер из JumpCloud регулярно подвергает себя и свою команду безопасности проверке, спрашивая, будет ли он рад поделиться снимком своей программы безопасности в реальном времени.
«Комфортно ли мне с нашим управлением исправлениями, управлением уязвимостями, и с тем, что наши клиенты увидят эти статистические данные? Комфортно ли мне, что клиенты заглядывают за кулисы?» — спрашивает он.
Палмер говорит, что такие вопросы помогают ему оценить, находится ли его программа безопасности там, где должна быть. Он отмечает, что в большинстве случаев может ответить «да» на эти вопросы, но признает, что иногда отвечает «нет». И хотя «нет» время от времени ожидаемо, Палмер говорит, что если таких ответов два или более за квартал, он понимает, что должен сосредоточить усилия команды безопасности на том, чтобы вернуть его к более утвердительным ответам.
15. Защищаем ли мы бизнес, который у нас есть сегодня, и бизнес, который у нас будет через год?
Учитывая скорость технологических достижений, изменения в ландшафте угроз и бизнес-стратегии, Хоак из RegScale понимает, что должен смотреть вдаль и иметь план, чтобы встретить будущее лицом к лицу.
«Программы безопасности часто отстают от роста бизнеса и инициатив по трансформации. Организации быстро внедряют ИИ, модернизируют приложения, расширяют облачные среды и интегрируют новые сторонние сервисы. Если стратегии безопасности сосредоточены только на рисках текущего состояния, они быстро устаревают», — объясняет он.
Поэтому он активно спрашивает себя, готов ли он к будущему, отмечая, что «этот вопрос следует пересматривать всякий раз, когда появляются стратегические бизнес-планы, слияния и поглощения, крупные технологические инициативы или новые рыночные возможности».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Mary K. Pratt
