Навчання принципам інтегрованої безпеки (SbD) – вимога часу та нові можливості для управлінців інформаційною та кібербезпекою

Сьогодні вже існують процедури забезпечення кібербезпеки окремої інформаційно-телекомунікаційної системи організації (установи, фірми тощо), які достатньо задокументовані різними стандартами та нормативами. Однак, їх, навіть 100- відсоткова, практична реалізація не дозволяє гарантувати повну безпеку організації. Свідченням цьому є відсутність позитивних тенденцій щодо зменшення результативності кібератак, втрат та негативних наслідків від їх реалізації.

Невирішеними залишаються дві основні проблеми:

• відсутність дієвих механізмів мотивації та контролю персоналу організації щодо безумовного виконання правил кібербезпеки;
• реактивність процедур аудиту кібербезпеки (тобто, аудит здійснюється шляхом аналізу подій, які вже відбулися).

Оцінка ризиків та прогнозування майбутніх загроз часто залишаються незрозумілими для керівництва організацій і не мотивують керівництво на вкладення коштів в інновації та розвиток в них кібербезпекової складової.

Цікавий аналіз внутрішньоорганізаційних загроз кібербезпеці проведений міжнародною компанією Ernst & Young Global Limited.

Логотип компанії Ernst & Young Global Limited

В результаті проведення цього аналізу встановлено:

1. Крім організованих хакерських угрупувань, які є основним джерелом кіберзагроз (23% кібератак), зростає кількість кібератак - 21% проводяться «Хактивістами», вони переслідують політичні чи соціальні цілі. Причому, часто ці «Хактивісти» є співробітниками тих же організацій, проти яких проводяться атаки;
2. Тільки 26% флагманів світової економіки розглядають питання забезпечення кібербезпеки вже на етапі планування нових бізнес-ініціатив;
3. Інвестиції в кібербезпеку, в першу чергу, орієнтовані на захист, а не на інновацію та трансформацію (лише 5% від загального бюджету спрямовується на кібербезпеку, і з них 77% ресурсів витрачається на управління ризиками та виконання нормативних вимог);
4. 59% організацій відмічають, що у службі кібербезпеки «натягнуті» чи, в кращому випадку, нейтральні відносини з іншими підрозділами. Часто різні підрозділи орагнізації взагалі не взаємодіють (з питань кібербезпеки) між собою;
5. Лише близько 50% організацій, які досліджувались, виносять питання кібербезпеки на наради керівництва; менше половини керівників взагалі розуміють актуальність і необхідність забезпечення кібербезпеки;
6. Лише 7% організацій вважають, що служба кібербезпеки сприяє розвитку, 93% впевнені, що дотримання безпекових процедур та виконання нормативних вимог тільки стримує розвиток.

Очевидно, що вирішення зазначених проблем стосується докорінно нових підходів в організації менеджменту кібербезпеки.

Одним з таких підходів є впровадження в діяльність організації принципів інтегрованої безпеки (SbD - Secure by Design), розроблених компанією Amazon.

Логотип компанії Amazon

Принципи інтегрованої безпеки компанії Amazon

Ці принципи полягають в:

• перетворенні кібербезпеки в ключовий елемент цифрової трансформації (урахування аспектів кібербезпеки на етапі планування всіх нових проектів та грамотного використання механізмів забезпечення кібербезпеки для управління всіма ризиками організації, а також своєчасної розробки необхідних продуктів чи послуг);
• розвитку довірливих відносин служби кібербезпеки з кожним підрозділом організації шляхом спільного аналізу ключових бізнес-процесів, визначення кіберизиків і розуміння того, як служба кібербезпеки може підвищити ефективність роботи кожного підрозділу організації;
• розробці комплексних показників ефективності роботи організації з урахування кіберризиків, які дозволять керівництву організації чітко зрозуміти важливість заходів забезпечення кібербезпеки.

Практична реалізація принципів інтегрованої безпеки полягає в розробці гнучких механізмів забезпечення кібербезпеки, розробці відповідної політики безпеки, налаштуванні та використанні відповідних програмно-апаратних засобів відповідно до функцій підрозділів організації (тобто виробничі процедури різних підрозділів формують завдання для служби кібербезпеки, а не навпаки).

Виходячи  з цього стає можливим:

• створення сервісів, недоступних для зміни коростувачами, які не мають відповідного дозволу;
• організація надійної експлуатації системи контролю процесів організації;
• безперервний аудит в режимі реального часу;
• технічна реалізація управління підрозділами організації в формі безпечних програмних скриптів.

Зазначений підхід в організації менеджменту кібербезпеки вже розглядається кафедрою управління інформаційною та кібербезпекою (УІКБ) в навчальному процесі.

В реалізації інноваційного підходу до навчання студентів  в університеті, згідно освітньої моделі «12 кроків до якісної освіти», кафедра здійснює підготовку фахівців на основі сучасного розвитку науки і техніки в галузі інформаційної та кібернетичної безпеки та завжди впроваджує всі ефективні новації та досвід найкращих світових компаній.

*****