Sex questions: О цифровой безопасности для цифровых бизнес-моделей
04/07/2019
«Цифровая трансформация – это не про технологии, но про изменения», – утверждает одна из самых признанных книг Питера Уэилла и Стефани Уорнер (1). Соответственно «в процессе изменений бизнес становится уязвимым, и наша задача – измениться самим, чтобы адекватно и актуально поддерживать и защищать его ключевые элементы» (2).
Ключевой задачей цифровой трансформации, по мнению авторов, становится изменение способа мышления – центрирование портфеля продуктов и услуг вокруг жизненных ситуаций клиента. Жизненные ситуации знакомы: все мы когда-то шли первый раз в первый класс, и наши родители были озадачены расходами на школу, все мы заводили семью и приобретали жилье, теряли работу и брали кредиты до лучших времен.
Плохая новость: переосмысление и органичная перестройка портфеля продуктов делает наши организации более понятными и для злоумышленников. Теперь старый принцип securitybyobscurity («безопасность через неизвестность») не работает от слова «совсем». Внешние и внутренние злоумышленники больше не будут введены в затруднение сложностью наших организаций, они будут понимать, для чего создаются те или иные продукты или услуги, какие примерно корпоративные ресурсы выделяют организации – просто примерив на себя жизненную ситуацию и прикинув количество клиентов.
ЦИФРОВЫЕ БИЗНЕС-МОДЕЛИ
Согласно книге (1) все компании подразделяются на четыре типа – Поставщики, Омни-канальный сервис, Экосистемы и Специализированные сервисы.
Поставщики – традиционные компании: страховые, управляющие, медиа… Они производят продукты сами, но продают их через других, например, агентов и брокеров. Конкурентоспособность Поставщиков зависит от управления себестоимостью, а значит, в таких компаниях будет востребована функция защиты и контроля от мошеннических действий (FraudManagement), которые по различным оценкам приводят к потерям от 5% до 50% от выручки компании (данные опросов глобальной Ассоциации сертифицированных специалистов по борьбе с хищениями (ACFE) и российского отделения Ассоциации менеджеров по безопасности (ASIS).
Низкая себестоимость достигается бизнесом и через увеличение масштаба бизнеса («эффект масштаба»), а значит, на счетах растущих компаний всегда накоплен большой оборотный капитал, нуждающийся в защите (атаки Business Email Compromise, традиционные банковские трояны).
Омни-канальные сервисы – банки, ритейл, телеком – производят продукты, а также контактируют с клиентами напрямую, а значит, знают о клиентах много и соответственно должны защищать базы данных, внедрять развитые системы управления приватностью (privacy), например, на основе стандарта BS10012. Системы управления приватностью дают клиентам чувство уверенности в компании и снижают риски интервенций со стороны государства.
Их точки контакта с миром («поверхность атаки» в терминологии Microsoft) могут составлять сотни единиц, и с точки зрения защиты от внешнего нарушителя именно на них стоит фокусироваться при разработке стратегического плана ИБ.
В силу значительного присутствия компании в цифровых каналах важна и защита бренда – негатив от действий мошенников неизбежно докатится до владельца бренда.
Экосистемы – маркетплейсы (Amazon, Uber) – полная противоположность Поставщикам. Они не производят продукты, но оперируют на перекрестье интересов конечных клиентов и поставщиков, используя максимум данных и о тех и о других. Защита точек контакта, полученных и собранных данных является для экосистем приоритетом, важно им и доверие клиентов и партнеров, поэтому для них необходимо внедрение системы управления информационной безопасностью (СУИБ) на основе общепринятых стандартов (ISO 2700x).
Специализированные сервисы – PayPal, Kabbage –не разрабатывают продуктов для конечного клиента, но делают возможным рост экосистем. Как и Поставщикам им необходимо управлять себестоимостью, в том числе с помощью Fraud Management, а как элементам большой экосистемы – демонстрировать прозрачность и эффективное управление безопасностью путем внедрения СУИБ.
ЦИФРОВАЯ ТРАНСФОРМАЦИЯ СЛУЖБЫ ИБ
Многие компании пытаются изменить свою цифровую бизнес-модель. Например, страховые компании Альфа-страхование и Ингосстрах запустили продажу полисов через Интернет, Яндекс запустил маркетплейс Яндекс.Такси, а Сбербанк и Mail.ru – свои маркетплейсы товаров.
В такой ситуации важно донести до руководителя компании, что изменение бизнес-модели потребует существенного изменения бюджета, структуры, компетенций и технологий в подразделении ИБ. К примеру, нефтегазовая компания, решившая торговать бензином через интернет (как стартап Benzuber), должна на порядок усилить процесс обеспечения безопасности Интернет-ресурсов. Теперь при вводе системы в эксплуатацию недостаточно делать ее пентест и прогонять по чек-листу безопасности. Нужно проверять все обновления в части дизайна безопасности, организовать цикл безопасной разработки и постоянно проверять безопасность доступных из Интернета сервисов. Нужна отдельная программа проектов, новые внутренние сервисы безопасности и новая система управления ИБ. Зачем? Чтобы понять, как и когда начинать применять все корпоративные требования к новым бизнесам, бизнес-экспериментам и постоянно растущему количеству общих предприятий.
НОВЫЕ КЛЮЧЕВЫЕ КОМПЕТЕНЦИИ СЛУЖБЫ ИБ
Отдельная проблема: руководитель службы ИБ не знает в точности какие компетенции и ресурсы потребуются в будущем для поддержки цифровой трансформации бизнеса. Однако совершенно точно понадобятся три новых направления:
Бизнес-партнеры, которые смогут наладить и сохранить отношения с ключевыми игроками бизнес-подразделений, несмотря на стресс и все изменения. Такие специалисты должны обладать пониманием бизнеса, чувством такта и способностью держать удар в любых обстоятельствах.
Менеджеры внутренних продуктов ИБ как гаранты соответствия ключевых продуктов ИБ новым бизнесам, особенно тем, что совсем не похожи на традиционные виды деятельности организации. Такие специалисты должны обладать продуктовым мышлением, определенной коммерческой жилкой и переговорными навыками.
Проектный офис для поддержания скорости изменений внутри службы ИБ.
ОПАСНОСТЬ – ЭТО ВОЗМОЖНОСТЬ!
Цифровая трансформация на первый взгляд несет большой карьерный риск для руководства службы ИБ. Много изменений и стрессов – и все это без очевидного изменения компенсации или полномочий.
Однако в любой опасности содержится возможность. В цифровой трансформации – это возможность получше узнать новых игроков в бизнес-подразделениях, наладить связи с бизнес-лидерами, для которых ИБ теперь – не «еще одна навязанная статья затрат», а необходимость успешного бизнеса. Таким образом, можно создать новые опоры внутри организации и перестать зависеть исключительно от воли непосредственного руководителя.
Литература
1. What is your business model? Sex questions to build the next-gen enterprise. Peter Weill & Stephanie Woerner. 2018, Harvard Business Press.
2. Business model for information security. 2009, ISACA.
Александр Бодрик, вице-президент по ИБ московскго отделения ISACA, экс-руководитель направления ИБ-экспертизы ТНК-ВР, экс-исполнительный директор MSSP (SOC), ITIL Expert