Фирмен наръчник за киберсигурност

Как да повишим киберустойчивостта на бизнеса?

Разговор с Борис Гончаров, Главен стратегически директор в Amatas

Профил Борис Гончаров е доказан визионер по информационна сигурност, с дългогодишен опит в киберсигурността. Като Главен стратегически директор в Amatas, той е фокусиран върху предвиждането на бъдещето на киберсигурността и дефинирането на перспективни модели и стратегии за киберзащита.

Преди Amatas Борис е заемал длъжността на председател на Cyber Security Center of Excellence (CSeCoE) в G4S Europe. Той е редовен лектор на водещи събития за сигурност като InfoSec Europe, Gartner Security & Risk Management Summit, IDC Security Roadshow, Webit, The IT Summit USA и други. Квалификациите на Борис са най-високите в индустрията, като в момента той поддържа сертификати CISSP, ISSMP, CCISO, CCSP, CCSK, CBSP, CEH, TOGAF, CIPP / E, CHFI и PRINCE 2.

Какви са най-важните постаменти при изграждането на стратегията за киберсигурност на една компания?

Отправна точка за всяка организация би следвало, от една страна, да бъде спецификата на дигиталната и тъкан и, от друга, технологичните решения, от които зависи реализирането на нейната визия, мисия и бизнес стратегия. Важен фактор са и влиянията на микро- и макросредата, в които живее организацията. Погледнато съвкупно, всички тези елементи могат да дефинират рисковата експозиция и съответно изискванията за изграждането на подходяща стратегия за киберсигурност. Проблемът е, че въпреки очевидността на това разбиране то трудно се материализира на практика. Организациите рядко могат обективно, непредубедено и динамично да се самоопознават дигитално по начин, който да разкрие всички възможни слабости, уязвимости и способи, чрез които даден източник на заплаха да се възползва от тях и да навреди на бизнеса. И споменавайки за заплахите, очевидно за никого не е възможно да идентифицира всички възможни техни проявления и вариации. Това е като да се опитате да преброите звездите в обозримата вселена с домашен телескоп, или казано по друг начин - организациите не са в състояние да имат обективна представа за това, което може да ги заплашва във всеки момент. Тази невъзможност допълнително се усложнява от факта, че нито една компания не е монолитна и капсулирана структура, напротив, тя е дигитално-флуидна, непрекъснато обменяща информация директно и индиректно с множество други организации. Това неминуемо води и до изкривяване на разбирането за нивото на риска. Той или се подценява, или надценява, като и в двата случая страда бизнесът. В единия случай не се инвестира достатъчно в киберзащита, а в другия се прахосват огромни средства в грешни подходи и решения.

Нито една компания не е монолитна и капсулирана структура, напротив, тя е дигитално-флуидна, непрекъснато обменяща информация директно и индиректно с множество други

Ако трябва да съм откровен, не съм сигурен кой е по-лошият подход. Така погледнато, съвременната парадигма на киберсигурността се свежда до базисното дигитално оцеляване. Това обаче не означава, че трябва да се примирим с това положение и да тръпнем в очакване на най-лошото. Напротив, всяка организация би могла да се възползва от това осъзнато и прието състояние на уязвимост и да изгради реалистична и прагматична стратегия за киберсигурност, която не се основава единствено на неприложимата концепция за тотална превенция.

Какво трябва да имат предвид организациите при избора на външен доставчик на киберсигурност?

Основните критерии са опитът, професионалната отговорност, наличието на специфична за дадената индустрия експертиза, сертификати на организацията и екипа, реална обратна връзка от клиенти и, разбира се, кои са водещите специалисти, които реално движат услугите. Много често организациите поверяват сигурността в ръцете на доставчици, за които не знаят нищо, защото например цената е атрактивна или на базата на някакви базисни изисквания, които са неадекватни за подобен тип услуги. В някои случаи е достатъчно даден доставчик просто да заяви своята надеждност и експертност и това да е достатъчно основание да му се предостави достъп до най-критичните и важни активи за всяка организация - информацията. Считам, че за всички е очевидно колко рисково е всичко това. Необходимо е в процеса на избор на доставчик на киберсигурност да се направи крачка отвъд проформа подхода и най-малкото да се валидират заявените квалификации, сертификати и заявки за експертност.

При този недостиг на специалисти какво е решението за компаниите по отношение на кадрите в сигурността?

Решението от гледна точка на компаниите е много сложно, защото специалистите не са достатъчно или просто ги няма на пазара на труда. Всъщност обяснението е много просто - липсата на време. Правото като наука например съществува от хилядолетия. В същото време в сферата на киберсигурността експертизата е натрупана в рамките на един човешки живот. Спомнете си за първия комерсиален антивирусен софтуер, написан от Джон Макафи през 1987. Освен това технологиите не са статични, те се променят толкова бързо, че един специалист трябва постоянно да инвестира в учене трупане на знания. Тази динамика е убийствена, което прави изключително трудно изграждането на екип от опитни и можещи експерти по киберсигурност.

Oсновните варианти пред организациите са три - да си отгледат кадри, да оптимизират процесите, свързани с киберсигурността, или да разчитат на аутсорсинг.

Затова основните варианти пред организациите са три - да си отгледат кадри, да оптимизират процесите, свързани с киберсигурността, или да разчитат на аутсорсинг. В първия случай са необходими между три и десет години, в зависимост от ролята и невероятно добра политика за задържане на служителите, във втория - високо ниво на експертиза, което в повечето случаи не е налично, и в третия - правилна аутсорсинг стратегия. Естествено възможни са и комбинации. Съществува и вариант да изчакаме раждането на изкуствен интелект с общо предназначение, който да ни реши всички проблеми, но ми се струва, че това не е най-прагматичният подход.

Какво е нужно, за да може един ИТ специалист да се превърне в експерт по киберсигурност?

Основните фактори, които са нужни, са много ентусиазъм, търпение, непрестанно учене и време, тъй като тази професия изисква не само да познаваш технологиите, които са изложени на някакъв риск, но и да знаеш по какъв начин те могат да бъдат атакувани и компрометирани. Тези знания идват с опит и методичност. С интерпретация и креативност, отвъд теорията и утвърдените парадигми.

За мен е изключително радостно да виждам все повече млади хора да стъпват в това поле и да търсят професионално развитие, но те трябва да са наясно, че няма да получат бързи резултати и че понякога дефанзивните аспекти на киберсигурността не са точно "секси". Тази професия изисква сериозно отдаване. Нека си зададат въпроса дали са готови да вложат цялата си енергия и ентусиазъм в това начинание и да нямат очакването, че някой ще ги научи или ще им каже какво трябва да правят. Експертизата в киберсигурността се натрупва бавно, систематично и изисква умения, които не са единствено технически. Не на последно място, няма да навреди и малко смирение, най-малкото защото със сигурност винаги има област на познание, която не е овладяна, особено в тази все по-комплексна и непрекъснато еволюираща дигитална вселена.