Слова о производительности труда всё активнее звучат с правительственных трибун и входят в повестку служб информационной безопасности. Уже нельзя, как раньше, просить деньги на все технологии и штатные позиции подряд – требуется подготовка бизнес-кейсов и простое человеческое объяснение, что тот или иной конкретный ход даст компании. Между тем, задача повышения производительности труда была актуальна для ИТ-сектора с самого его рождения, и мы (сектор ИБ) можем многое у него почерпнуть. Другой хороший источник – международные компании, которые прошли много циклов внутренней оценки эффективности и набили шишки на «лучших» практиках. И, как и любая задача, производительность труда может повышаться благодаря использованию управленческих методик и методик классических направлений: «Персонал», «Технологии» и «Процессы». 12 из них опишем ниже.
УПРАВЛЕНЧЕСКИЕ МЕТОДИКИ
Производительность, как и любая другая характеристика, требует измерения. Измерять нужно в понятных бизнесу метриках, например, затратах на обеспечение безопасности одного ПК. Однако условные 100 000 рублей/ПК в год (пример реальной цифры крупной структуры) сами по себе ничего не значат: получается, как в истории про «42», ответ на все вопросы вселенной.
1. Тарификация услуг. Хочет того служба ИБ или нет, но большая часть ее деятельности заключается в оказании операционных сервисов безопасности. Фиксация определенного натурального и денежного объёма стимулирует владельцев сервисов (например, начальников отделов службы ИБ) управлять их себестоимостью, а также позволяет в принципе понять,во сколько нам обходится та или иная активность, не проводя дни в аллокации новых проектов, затрат на продление лицензий и других трат в конкретную услугу.
2. Нормализация затрат. Затраты могут расти и вне зависимости от службы ИБ, например, из-за инфляции. Структурирование изменения затрат на затраты из-за ввода новых сервисов и из-за внешних факторов – полезный инструмент при обсуждении с бизнесом.
3. Аллокация затрат на проекты ИТ. Основная функция службы ИБ в любой организации – формирование и согласование правил игры в корпорации в целом и в общих сервисах в частности («ИТ-коммуналка» при общении с русским менеджментом и «umbrella» при общении с западным менеджментом). Затраты на проектирование, реализацию и эксплуатацию систем ИБ отдельных крупных проектов, например, системы закупок, могут и должны быть аллоцированы в итоге на бюджет соответствующего ИТ-проекта и подразделение функционального заказчика.
Международные компании широко применяют вышеуказанные три практики.
МЕТОДИКИ НАПРАВЛЕНИЯ «ПЕРСОНАЛ»
4. Managed Security Services Provider (MSSP). Внутренний MSSP, как ультимативная форма повышения производительности труда через централизацию функций, позволяет наконец-то найти ответственных и определить рычаги влияния на сервис во всей корпорации – без разницы 2 тыс. сотрудников в ней работает или 200 тыс. Чтобы MSSP работал, важно добиться единообразия стандартов эксплуатации ИТ и базовых средств информационной безопасности во всей корпоративной сети или аутсорсить там, где это по тем или иным причинам невозможно, передавая сложные участки в работу квалифицированным компаниям.
5. Селективный аутсорсинг. Аутсорсинг, как средство передачи обеспечения безопасности сложных участков профильным компаниям, упрощает управление операционными сервисами и позволяет высвободить ресурсы для управления безопасностью. Впрочем, аутсорсинг не зря 5-ый в списке – особенно удобно и разумно использовать внешние сервисы безопасности уже после установления единых стандартов ИТ-инфраструктуры, тарификации внутренних услуг и других ранее описанных механизмов управления производительностью труда.
6. Обучение персонала. Однако самые эффективные методики могут быть сведены на нет слабыми сотрудниками. Причем, слабым звеном могут оказаться (и оказываются) не только сотрудники службы ИБ, но и ИТ-администраторы, разработчики, владельцы активов, директора бизнес-направлений и обычные пользователи. Обучение традиционно является недооцененной темой в ИБ, но в последнее время намечаются сдвиги. В частности, компании-лидеры проводят «Недели ИБ» с целым рядом лекций по релевантным тематикам информационной безопасности для различных целевых аудиторий.
Важно развивать не только знания, но и навыки, но это уже вопрос следующего блока – технологий.
МЕТОДИКИ НАПРАВЛЕНИЯ «ТЕХНОЛОГИИ»
7. Цифровые платформы кибербезопасности. Некоторые средства защиты начинают эволюционировать в новую сущность – цифровые платформы. Цифровые платформы определяются тремя принципиальными особенностями. Во-первых, они так или иначе автоматизируют деятельность службы ИБ, снижая требования к количеству и качеству необходимых талантов в рутинных процессах или операционных сервисах. Во-вторых, они содержат внутреннюю логику (например, trigger engine), позволяющую автоматически запускать те или иные действия в зависимости от тех или иных событий или статусов защищаемых объектов (ПК, IP-адресов, пользователей). В-третьих, цифровые платформы обладают горизонтальной масштабируемостью, позволяя безопасности расти соразмерно росту бизнеса, даже если он растет вдвое год к году.
8. API. Закрытая цифровая платформа обладает ограниченной ценностью. Для извлечения из нее максимального толка нужен двусторонний RESTful API – в целях автоматизации рутинных задач по всему фронту задач службы ИБ.
9. Машинное обучение. Так как мы не можем знать, чего мы не знаем в конкретной ситуации, разумно привлечь независимого советника с более широким и детальным взглядом. В технологической плоскости, с учетом разнообразия и количества данных, в роли советника выступают технологии машинного обучения, которые подсвечивают рисковые области, даже если мы еще не поняли, в чем проблема, и еще не описали предметную область на языке сигнатур или корреляционных правил.
Все три вышеуказанные методики активно используются компаниями ИТ-сектора, стремительный рост которого в последние 20 лет не оставил иного выбора внутренним службам ИБ, кроме как автоматизироваться по максимуму.
МЕТОДИКА НАПРАВЛЕНИЯ «ПРОЦЕССЫ»
10. Передача СЗИ на поддержку в ИТ. Прежде чем наводить порядок в процессах, разумно избавиться от процессного хлама. В процессах ИБ к таковому относятся активности, которые не приносят заметной ценности и не очень понятны бизнесу. Например, поддержка классических средств защиты информации – межсетевых экранов, антивирусов и др. Нельзя службе ИБ с ограниченными ресурсами делать все хорошо, и в корпорации хорошо делает поддержку та служба ИТ, у которой есть выделенные специалисты или даже команды по Windows, UNIX, поддержке СУБД и сетевого оборудования. Особенно это касается тех средств защиты, что могут блокировать сетевое взаимодействие или другие операции – приостановив тем самым бизнес-процесс.
11. Интеграция процессов. Процессы – как прутья в венике: сильнее вместе, чем по отдельности. Сетевая безопасность может быть эффективна, если мы не нарезаем (или быстро отнимаем) расширенные доступы в Интернет пользователям – нарушителям политики ИБ, а реагирование на инциденты ИБ не может быть эффективным без четкого понимания, кто за какой актив отвечает, и кто полномочен авторизовать ту или иную стратегию реагирования. Интеграция процессов ИБ между собой повышает эффективность каждого из них и в совокупности повышает возврат инвестиций в сами процессы и необходимые им технологии и навыки людей.
12. Обмен данными. Старая мудрость «один в поле не воин» применима и в ИБ, обмен данными тут позволяет выиграть время у злоумышленников. Обмен может быть как внутри индустрии (практически все коллеги из финансовой отрасли уже подключились к FinCERT), так и внутри государства (ГосСОПКА), а в супербольших организациях нужно подумать и про обмен данными между подразделениями, ведь каждое из них представляет собой немалый холдинг со своими правилами и соображениями. Для обмена данными внутри большой организациями полезен институт бизнес-партнеров, которые и выступают первичной точкой обмена данными и консолидации мнения бизнес-подразделений.
Особенно активны в применении практик повышения производительности направления Процессы международные компании с их бесчисленными подразделениями и корпоративными функциями, каждое из которых требует координации.
СКАЗКА ЛОЖЬ, ДА В НЕЙ НАМЕК
Как сказали как-то коллеге на собеседовании в крупнейшем швейцарском банке, «Цена не является ключевым фактором в проектах кибербезопасности». И правда, производительность труда частенько проигрывает в списке приоритетов руководителя службы ИБ показателю эффективности в противостоянии актуальным киберугрозам или своевременному приведению корпорации в соответствие очередному КИИ или GDPR. Однако экономические и внутрикорпоративные тренды неумолимы – производительность труда повышать рано или поздно придется, а значит, лучше готовиться летом, пока еще не наступила зима обрезания бюджетов.