Информационная безопасность в условиях кризиса (часть 1)

Что делать в условиях нестабильной экономической ситуации службам информационной безопасности.

Многие компании стоят перед непростой задачей - сократить неприоритетные затраты с целью повышения своей устойчивости и обеспечить восстановление роста и развития бизнеса в случае улучшения экономической ситуации на рынке. Одним из направлений, которое часто подвергается сокращению, является информационная безопасность (ИБ). Многие предприятия либо уже сократили бюджет на эту деятельность, либо находятся в ожидании соответствующих распоряжений со стороны топ-менеджмента. В ряде компаний пошли еще дальше и урезают не только бюджеты, но и персонал, которого и так не хватает.

Регулярно сталкиваясь в повседневной жизни с проявлениями кризиса, мы можем выделить из них наиболее распространенные и опасные:

• Заканчивается эпоха изобилия, и финансовых ресурсов перестает хватать.
• Переход от эпохи изобилия к эпохе экономии сопровождается снижением операционных и капитальных затрат.
• Замораживание долгоиграющих проектов или отказ от проектов с неочевидной выгодой.
• Финансирование проектов с быстрой отдачей.
• Сокращение «непрофильного» персонала или сотрудников, отдача от которых отсутствует или неочевидна.

Что делать в условиях нестабильной экономической ситуации службам информационной безопасности и их руководителям?

Сокращение затрат

Согласно исследованию компании Ernst & Young, проведенному в июле 2007 года, руководители большинства опрошенных компаний, несмотря на уверенность в том, что расходы надо оптимизировать, подтвердили, что принятые меры часто не приносят результатов. Вся причина в том, что якобы лежащие на поверхности решения о сокращении затрат были приняты слишком поспешно, направлялись на быстрый результат в ущерб достижению стратегических бизнес-целей.

Желание быстро сократить затраты и отчитаться перед руководством, как и практика равномерного снижения затрат по всем направлениям в компании, неэффективны и часто приводят к тому, что руководители служб ИБ закрывают важные долгосрочные проекты. Кажущиеся мало- или неэффективными проекты, которые могут принести существенную выгоду через год-другой, тоже лучше не сокращать. Это искушение надо побороть, т.к. вы можете оказаться в условиях, когда, вернувшись в нормальное русло, вам придется начинать все с нуля, что потребует еще больших затрат, чем до кризиса.

Сокращение затрат - это важная задача, но не надо ставить ее во главу угла и делать «идеей-фикс».

Иногда дополнительные расходы могут сыграть положительную роль в бизнесе компании. Например, обучение сотрудников может ускорить те или иные процессы и процедуры, а использование технологий удаленного доступа позволит существенно как сэкономить на аренде площадей, так и высвободить дополнительное время, ранее растрачиваемое в пробках по дороге на работу.

Можно выделить 7 потенциальных областей сокращения расходов:

• Оптимизация ассортимента продукции
• Изменение стратегии продаж
• Сокращение затрат на персонал
• Повышение производительности
• Аутсорсинг
• Офшоринг
• Оптимизация использования и стоимости привлечения ресурсов.

Практически каждый из этих пунктов (кроме, может быть, оптимизации ассортимента) имеют прямое отношение к информационной безопасности.

Изменение стратегии продаж

Информационная безопасность нечасто рассматривается как инструмент, способствующий изменению стратегии продаж и увеличению выручки. Каким способом ее можно увеличить? Например, за счет роста числа клиентов, которого можно достичь, осуществив экспансию и продажу продукции в ранее неохваченных местах. Именно так, в частности, действуют банки, выносящие точки продаж кредитных продуктов в торговые центры. Но можно ли в столь незащищенном месте массового скопления народа обойтись без защиты тех сведений, которые доверяют будущие заемщики? Особенно если точка продаж имеет удаленный доступ к центральной сети банка. С одной стороны такая точка приносит доход, а с другой - без информационной безопасности вы неспособны обеспечить банковскую тайну и защиту персональных данных, требуемых по закону. Иными словами, безопасность способствует получению дохода и защищает от штрафов за несоблюдение законодательства.

Другой способ увеличения выручки - увеличение числа сделок за тот же интервал времени. Иными словами, мы должны ускорить процесс совершения сделок. Возьмем, к примеру, страхового агента, который приезжает к клиенту и заключает сделку прямо на месте, не возвращаясь в офис. Потом он едет к другому клиенту, затем к третьему. При этом информация обо всех сделках попадает в центральную базу данных, и также через нее страховой агент проверяет клиента, его страховую историю и другие требуемые для заключения договора параметры. Как обеспечить связь агента с корпоративной сетью? С помощью смартфона, подключенного к Интернет. И вновь мы не можем обойтись без информационной безопасности в лице VPN-технологий, защищающих все передаваемые данные от перехвата и модификации.

Третий пример влияния ИБ на стратегию продаж - это появление новых, ранее недоступных каналов продаж, ярким примером которых является Интернет. Интернет-магазин, Интернет-банк, Интернет-трейдинг... Все это примеры, в которых защищенное подключение к Интернет позволяет одновременно решить сразу несколько бизнес-задач - увеличить выручку за счет роста числа новых клиентов, числа сделок с существующими клиентами и ускорения сделок, а также за счет снижения себестоимости таких сделок. Ведь работа через Интернет обходится значительно дешевле, чем содержание офисов, в которые клиенты вынуждены ходить лично.

Оптимизация использования ресурсов

Возьмем, к примеру, обычный восьмичасовой рабочий день рядового сотрудника отечественной компании. Его утро начинается со стояния в автомобильной пробке - на дорогу на работу он тратит не менее полутора часов в один конец. Приехав обозленным в офис, сотрудник проходит на свое рабочее место общей площадью не менее 6 квадратных метров. В обеденный перерыв он принимает пищу в корпоративной столовой. В течение дня руководитель не раз пьет чай или кофе на офисной кухне, а вечером он едет домой. И так ежедневно компания расходует свои деньги по следующим статьям бюджета:

• Аренда площадей
• Питание сотрудников
• Оплата канцтоваров
• Оплата проездных, бензина или автомобиля (в случае компенсации этих расходов компанией)
• Оплата электричества, отопления, водоснабжения и т.п.
• Оплата Интернет
• и др.

Можно ли попытаться оптимизировать эти затраты? Разумеется. Достаточно перевести сотрудников на работу из дома, предоставив им подключение к корпоративной сети с помощью защищенного удаленного VPN-доступа и защитив их компьютеры от возможных атак из Интернет.

Другой пример влияния информационной безопасности и вообще информационных технологий на использование ресурсов заключается в реализации задачи уменьшения складских запасов, но так, чтобы не увеличивать сроки поставки продукции потребителю. Сделать это можно следующим путем - предоставить удаленный доступ к информационной системе склада логистическим компаниям и поставщикам с тем, чтобы они самостоятельно отслеживали складские запасы и пополняли их при фиксации заранее заданных пороговых значений. В данном проекте на первое место выйдут технологии Identity & Entitlement Management (помимо уже упомянутых ранее технологий VPN, обеспечения доступности и защищенности Интранет-портала складской информационной системы и т.п.).

Оптимизация ресурсов и информационная безопасность стыкуются и еще в одном направлении - оплата средств защиты информации. Если раньше этот процесс не вызывал никаких проблем, то в условиях отсутствия свободных денег и отказа многих банков в выдаче кредитов по приемлемым ставкам вопрос оптимизации финансовых затрат становится очень важным. Какие варианты существуют на сегодняшний день? В первую очередь это финансовый или оперативный лизинг, который не только позволяет снизить финансовое бремя приобретения решений по информационной безопасности, но и перевести их из разряда капитальных затрат в операционные и улучшить показатели EBITDA. Второй распространенный вариант покупки защитных средств - оплата в рассрочку, которая позволяет не только отложить первые выплаты, но и зафиксировать стоимость проекта в рублях на день заключения договора (что защищает от негативного изменения курса).

О повышении производительности

Может ли информационная безопасность способствовать повышению производительности? Причем как производительности сотрудников, так и оборудования? Безусловно. Начнем с того, что сотрудник, работающий из дома, не опаздывает на работу и не стремится уйти «пораньше». Во-вторых, помимо финансовой стороны вопроса, существует еще и психологические моменты. Учитывая темп жизни современного человека, он всегда стоит перед дилеммой - работа или семья? И он вынужден разрываться между домом и офисом. А это, в свою очередь, стресс, что влияет на все стороны жизни человека, в т.ч. и работу. Концепция NVO является компромиссом, т.к. она дает возможность подключаться к корпоративной сети в любое удобное время и в любом удобном месте. Но мобильность несет с собой и угрозу, т.к. сотрудник уже не находится под защитой корпоративных систем защиты. В этом случае мы должны оснастить персональными средствами безопасности лэптопы сотрудников, а также модернизировать периметр сети для поддержки концепции NVO.

Удаленный доступ к корпоративным ресурсам может быть не только из дома, но и из любой точки пространства - из кафе, из офиса клиента, из аэропорта во время ожидания самолета. Эта задача может быть решена по-разному; один из вариантов - внедрение концепции Network Virtual Organization, которая гласит, что «офис там, где сотрудник», а не «сотрудник там, где офис». Эта концепция подразумевает, что сотрудник находится все время «в поле», как можно ближе к своим проектам, клиентам, партнерам и т.п. Но, чтобы быть эффективным, он должен быть не только все время на связи, но и иметь доступ к корпоративным информационным ресурсам. При такой постановке задаче каждый сотрудник оснащается лэптопом или КПК с различными интерфейсами подключения к сети (CDMA, GPRS, UMTS, Wi-Fi и т.п.), встроенным клиентом IP-телефонии, почтовым клиентом и другими полезными приложениями. В итоге сотрудник становится мобильным, но для всех он как будто по-прежнему находится на своем рабочем месте. По разным оценкам, рост продуктивности сотрудника при использовании этой концепции может составлять от 10 до 40 процентов.

Где еще найти резервы времени у сотрудников? Интернет и электронная почта.

В первом случае контроль действий сотрудников в Интернет и блокирование доступа к непрофильным сайтам позволяет высвободить массу времени. Например, по статистике, сотрудники тратят в день не менее часа в социальных сетях «одноклассники.ру», «вконтакте.ру», «мой круг» и т.п. С электронной почтой тоже все просто. Сотрудники, особенно в крупных компаниях, немало времени тратят на чистку своего почтового ящика от спама. Умножив это время на стоимость рабочего времени, мы получим не только существенный резерв времени, но и немалые потери, которая несет компания от спама. В качестве примера возьмем оценку эффективности Kaspersky Anti-Spam Enterprise Edition, внедренного в компании Вымпелком:

• Число почтовых ящиков - свыше 7000;
• Объем корреспонденции - 70 тыс. сообщений в сутки;
• Объем спама - 60% или 42 тыс. сообщений в сутки;
• Время обработки одного спам-сообщения - 10 сек.
• Суммарные дневные затраты на спам - 14,583 человеко-дня;
• Усредненная стоимость сотрудника - $ 1500.

Реальная экономия от внедрения антиспама составила:

• в день - $ 1 093,75.
• в месяц - $ 32 812,5.
• в год - $ 393 750.

В любой компании есть определенный состав людей, которые регулярно ездят и летают в командировки, проводя в них по несколько дней. Это приводит к существенным затратам - на авиа- или железнодорожные билеты, гостиницы, питание, командировочные расходы, страховку (для заграничных командировок) и т.п. Как оптимизировать ресурсы и, сократив затраты на поездки, обеспечить тот же уровень взаимодействия с удаленными клиентами, партнерами и иными контрагентами? Один из вариантов - использовать концепцию NVO, позволяющую работать даже в аэропорту, на вокзале, в месте командировки и т.п. Второй вариант - внедрить унифицированные коммуникации в виде видеоконференцсвязи или системы Telepresence, которые заменяют личное общение виртуальным. И нам опять не обойтись без защитных систем, предотвращающих несанкционированный доступ к переговорам.

Об аутсорсинге

В условиях нестабильной экономической ситуации многие предприятия начинают задумываться не только о сокращении персонала, но и о передаче части функций аутсорсинговым компаниям. Это логично, и информационная безопасность не является исключением из правила. Почему-то считается, что защиту информации нельзя отдавать на откуп внешним подрядчикам. Но это только на первый взгляд. Ведь доверяете вы свои секреты консультантам аудиторских, юридических, финансовых компаний? Доверяете вы перевозку своих денег внешним инкассаторам? Доверяете охрану своих физических активов и топ-менеджмента нанятому ЧОПу? Почему ИБ должна быть исключением?

Что дает аутсорсинг информационной безопасности? Ключевых преимуществ пять:

1. Круглосуточная защита ваших ресурсов.
2. Решение задачи нехватки специалистов ИБ (особенно в условиях сокращения персонала).
3. Разгрузка существующего персонала по ИБ или его переориентация на более важные задачи.
4. Получение «в штат» высококлассных специалистов.
5. Экономия за счет отказа от приобретения непрофильного оборудования.

Разумеется, при аутсорсинге есть свои тонкости, своя область применения, свои достоинства и недостатки. Но если компания приняла решение о переходе на аутсорсинг информационной безопасности, надо четко понять, что любое взаимодействие требует тщательной проработки контракта, а в условиях кризиса это правило становится важным, как никогда. Необходимо не только защитить себя от возможных конфликтных ситуаций, но и получить максимум выгод от такого сотрудничества.

Для начала необходимо оценить, что и в каком объеме вы готовы отдать на аутсорсинг. От ответа на эти вопросы зависит, к какой компании обратиться. Одно дело - передать внешней компании несложные задачи, например, поддержку антивируса. В этом случае вы можете без серьезного ущерба для себя поменять одного провайдера услуг на другого. Гораздо серьезнее выглядит задача управления инцидентами. Аутсорсинговую компанию в данном сценарии приглашают не столько ради экономии, сколько из-за наличия компетенции или повышения уровня удовлетворенности внутренних заказчиков. Тут потребуется более серьезная интеграция вашего бизнеса и аутсорсинговой компании, и ее замена выглядит уже не такой простой (хотя и возможной). И уже совсем другое дело - внедрение системы сбалансированных показателей и KPI по информационной безопасности или полная поддержка всей инфраструктуры ИБ. Поменять такого аутсорсера - дело практически безнадежное, т.к. он настолько тесно интегрирован с вами и погружен в ваш бизнес, что найти ему замену становится невозможным.

Не раз уже упоминая про переход к пониманию бизнеса, мы должны договориться с аутсорсинговой компанией не только об измеримом уровне качества предоставляемых услуг, но и о метриках, показывающих влияние переданных в чужие руки процессов, на ключевые бизнес-показатели.

Заключаемый контракт должен предусматривать возможный его пересмотр или даже прекращение в случае серьезных финансовых проблем у аутсорсинговой компании. В этом же разделе необходимо предусмотреть возможность перехода контроля информационной безопасности к другой компании (желательно без существенных дополнительных затрат).

Продолжение (часть 2)