пятница, 29 октября 2010 г.

Безопасность без границ

Именно так называется глобальное исследование по информационной безопасности компании Ernst & Young за 2010 год. По названию не трудно догадаться что, ключевые результаты и наблюдения посвящены "размытию" границ предприятия и технологиям, которые этому способствуют - "облачным" вычислениям, мобильным устройствам и социальным сетям.

Что осталось "за кадром".

В приведенных результатах просматриваются еще две интересные тенденции, которые не попали в отчет:
  • Осведомленность пользователей в вопросах информационной безопасности, а точнее ее отсутствие, признано проблемой №1 большинством компаний. Соответственно, повышение осведомленности попало приоритетные задачи ИБ на следующий год
  • Также заметен повышенный интерес к вопросам обеспечения непрерывности деятельности. Кстати, этот тренд очень характерен и для Украины. В одних только банках количество проектов по обеспечению непрерывности бизнеса бьет все рекорды. На то есть целый ряд причин - влияние Базель 2, которые банки активно внедряют, переосознание в период кризиса необходимости обеспечения непрерывности,  ну и самое главное НБУ снял запрет на использование средств на ИТ и консалтинг.

Текст отчета ниже. Детальные результаты выложу позже. Равно как и аналитику для Украины.

вторник, 19 октября 2010 г.

Ее аршином не измерить...

Hаша служба
И опасна, и трудна,
И на первый взгляд
Как будто не видна.
Не видна она как будто на второй.
И на третий тоже...

Финансовый кризис заставил многие компании задуматься над пользой информационной безопасности. Те компании, у которых функции ИБ не было, получили по лбу и начали создавать такую функцию. Те же, кто уже имел ИБ, задумались над ее эффективностью. И пошла мода на ее (еффективности) оценку ...
Консультанты тут же оживились и начали наперебой предлагать кто ROSI, кто разработку KPI.  И неважно, что специалисты по информационной безопасности при упоминании "дисконтирования денежных потоков" восклицают: "кто здесь ?"  не понимают о чем речь. Не важно, что KPI разрабатываются для процессов, которым до достижения хотя бы третьего уровня зрелости (кто не помнит, согласно СММ,  процесс формализован, и мы можем идентифицировать результат его работы) еще как до неба раком очень далеко.
Отдельная песня о том, какие KPI выбираются в качестве показателей эффективности работы ИБ. И как внедрение KPI влияет на поведение сотрудников безопасности. Известный факт - люди себя ведут по-разному в зависимости от того, как вы людей оцениваете.
Возьмем пару примеров из жизни. Не из ИБ, но из ИТ. Просто для наглядности. Есть некая компания, финансовая служба которой обеспокоена постоянно раздутым бюджетом ИТ. На столько, что готова потратиться на внешних консультантов, чтобы докопаться до истины. Консультанты анализируют бюджеты за несколько лет и выявляют странную тенденцию - каждый год раздутый бюджет ИТ недовыполняется. На лицо ежегодная экономия бюджета. А почему же ИТ менеджер его так раздувает?. Все банально просто - читаем его должностные обязанности и видим, что единственный показатель, влияющий на бонус ИТ-менеджера ... экономия бюджета.
Берем пример из жизни ИБ. Начальник ИБ, не мудрствуя лукаво, определяет основным показателем работы ИБ проверенный временем показатель - количество выявленных инцидентов. Ведь не секрет, что в ИБ много выходцев из силовых структур. А процент раскрываемости преступлений остался в крови... Что же может дать такой показатель для бизнеса? Как трактовать результаты? Много выявленных инцидентов - это хорошо? Или это значит, что ИБ работает плохо, раз они происходят? А если их (инцидентов) мало (или вообще нет)? Значит хорошо работает ИБ? Или просто не обнаруживает инциденты? А если к показателю привязаны бонусы? Устоит ли безопасник перед искушением "помочь" показателю в нужную сторону?

Теперь о KPI, основанных на финансовых показателях. В целом идея хороша, но подводных камней... Не буду, как заводная кукла, петь об отсутствии у большинства специалистов ИБ понимания финансов, а лучше расскажу о том, как можно этими показателями манипулировать.
Попадалась мне недавно забавная формула оценки эффективности работы подразделения ИБ, основанная на оценке рисков в деньгах, затратах на ИБ и т.д.
Вроде все красиво, но... Если промоделировать ситуации, мы обнаруживаем, что как только мы снижаем инвестиции в ИБ, эффективность работы ИБ, рассчитанная по чудо-формуле, неумолимо падает. Не зависимо от остальных показателей.
В общем, "как вы яхту назовете, так она и поплывет".

понедельник, 18 октября 2010 г.

Мониторинг событий на вооружении у финансового аудита

Давно собирался расширить тематику блога "аудитом ИТ" и заодно "ИТ в аудите". 

Неделю назад в Ялте прошла очередная (восьмая) конференция стран СНГ "Аудит и контроллинг в банках". Практически вся конференция была посвящена повышению эффективности работы службы внутреннего аудита. Много говорили о методиках оценки рисков, как инструменте повышения эффективности работы. И очень мало о том, что труд аудиторов пора начинать автоматизировать. Ведь речь идет об аудите не ларьков с носками, где учет ведется в потертой засаленной тетрадке. Не хочется уподобляться Капитану Очевидность, но даже самые отсталые банки уже давно учитывают свои операции в информационных системах. Почему же внутренний аудит до сих пор копается в бумажных документах?  Безусловно, им тоже необходимо уделять внимание, но не все же! И какую уверенность нам даст аудиторская выборка (в среднем 25 операций) на популяции в сотни тысяч и даже миллионы транзакций? Если мы тестируем контроли, что может что-то и даст. Но какова вероятность, что мы выборкой обнаружим мошенническую операцию? Такая же, как встретить динозавра - 50 на 50. А количество мошеннических операций в банках, как показывает несметное число исследований, растет со страшной скоростью.
Если мы используем ИТ для автоматизации учета, почему мы не используем его для автоматизации аудита? Идея совсем свежая - появилась всего лишь в 60-х годах прошлого века. И успешно игнорируется у нас по сей день.
Подходы те же, что и при постанове мониторинга событий информационной безопасности. Мониторим все транзакции, если попадают по определенные условия - генерируется событие, которое уходит на расследование в аудит. По количеству условий и тестов мы ограничены только своей фантазией - от банальных проверок превышения лимита, авторизации операций "не теми" сотрудниками, до сложных перекрестных проверок по нескольким системам.
Те же подходы, которые используются в системах обнаружения аномалий в сетях или при обнаружении карточного фрода, можно использовать для автоматического выявления новых рисковых областей. Например, берем усредненные показатели за период, сравниваем с предыдущими  - если сачок или проседание - задаемся вопросом что случилось. Слишком утрированно, но смысл такой. Или проверяем соответствие закону Бенфорда (там где это применимо естественно). Отклонение - выбрали то, что выделяется, посмотрели более детально.

Материалы моего выступления на данную тему: