Оценка эффективности инвестиций в безопасность
Определение прибыльности капитала, инвестируемого в обеспечение безопасности, требует здравого смысла и должного внимания
Опубликовано 27 января 2006
Автор Пол Десмонд (Paul Desmond)
Практически любому руководителю приходилось слышать о компании, которая понесла огромные убытки, вызванные колоссальными простоями, потерей или хищением данных, в результате нарушения безопасности. Подобные истории отражают действительное положение вещей, но они не содержат данных для оценки экономической эффективности, которые требуются для обоснования инвестиций в средства обеспечения безопасности.
В этой области не существует простого решения. Вы можете приобрести все известные технологии обеспечения безопасности, но никто не может гарантировать, что вы будете защищены на 100%. И нельзя с полной уверенностью утверждать, что с вами что-то произойдет, даже если вы вообще не будете заботиться о безопасности. Тем не менее последствия от образования бреши в системе безопасности могут быть ужасными. В качестве примера можно привести компанию CardSystems Solutions, которая занималась обработкой транзакций с кредитными картами. В июне в компании произошли серьезные нарушения безопасности, в результате чего она потеряла двух основных клиентов: Visa USA и American Express. Над компанией нависла угроза банкротства, и она была продана в конце прошлого года.
Такие нормативные документы, как закон Сарбейнса-Оксли и Акт по обеспечению переносимости и возможности учета для страхования в области здравоохранения (HIPAA), заставляют многие организации пересмотреть свои потребности в безопасности. Кроме того, эксперты и пользователи соглашаются с тем, что для определения необходимого уровня обеспечения безопасности в любой организации требуется грамотная оценка риска, позволяющая выявить самые уязвимые компоненты, после чего следует инвестировать средства в защиту этих компонентов.
Оценка рисков
«Вам следует изучить свою деятельность, хранящиеся на компьютерах данные и только после этого принимать соответствующие решения», — говорит Эрик Оттауэй (Eric Ottaway), главный директор по операциям компании Brooklyn Brewery в Бруклине, Нью-Йорк. Самые важные сведения в его компании — это платежные ведомости, которые передаются и обрабатываются сторонними компаниями, так что, по словам г-на Оттауэя, «непосредственно у нас хранится немного конфиденциальной информации».
Нейл Розенберг (Neil Rosenberg), специалист со статусом сертифицированного специалиста по безопасности информационных систем (CISSP), президент и исполнительный директор корпорации Quality Technology Solutions (Моррис Плейн, штат Нью-Джерси), партнера корпорации «Майкрософт» со статусом Gold Certified Partner, призывает компании «оценить последствия потери данных или невозможности обработать данные». Г-н Розенберг вспоминает одного клиента, который не использовал методики управления исправлениями, в результате чего 300 его компьютеров были заражены программой-червем. «Целому ИТ-отделу потребовалось пять рабочих дней, чтобы удалить программу-червя из всей системы, — рассказывает он. — А это легко перевести в затраты».
По словам Майка Нэша (Mike Nash), вице-президента корпорации «Майкрософт», руководителя подразделения по обеспечению безопасности, корпорация «Майкрософт» предоставляет бесплатные средства для обеспечения безопасности и оценки рисков. Средство оценки безопасности Security Assessment Tool помогает компаниям, в которых количество сотрудников составляет менее 1000, определить процессы, ресурсы и технологии для внедрения надежных методов планирования обеспечения безопасности и снижения рисков. Кроме того, в руководстве «Майкрософт» по управлению рисками в области безопасности описывается, как проводить каждый этап проекта по управлению рисками, в том числе приведены инструкции по определению допустимого уровня риска для организации.
"Мы рекомендуем организациям проводить оценку рисков минимум один раз в год."
Майк Нэш, корпорация «Майкрософт»
вице-президент, подразделение по обеспечению безопасности
Компаниям следует выполнять оценку уровня риска с различной частотой, и при этом для наиболее важных элементов она должна проводиться чаще. «Мы рекомендуем организациям проводить оценку рисков минимум один раз в год», — говорит г-н Нэш.
Основные принципы
Почти в любой компании считают, что хороший межсетевой экран и антивирусное ПО являются главными компонентами системы безопасности. Шон Патридж (Shawn Partridge), директор по информационным службам компании Cascade Die Casting Group в Гранд Рапитсе (Мичиган), говорит, что компания ежегодно тратит около 2000 долларов США на обновление антивирусного ПО. «Но если бы мы получили вирус, то он мог бы попасть на один компьютер или на 200 компьютеров, так что посчитать эффективность в денежном выражении нельзя, — говорит он. — Это плата за возможность делать бизнес».
Г-н Розенберг считает, что не менее важным, но часто пренебрегаемым элементом системы безопасности является система управления исправлениями. Это подразумевает не только ПО, но также процессы управления исправлениями, которые обеспечивают постоянное устранение всех уязвимостей. «У вас есть всего лишь 2 недели или меньше», — говорит он. В течение этого времени требуется установить исправление, так как затем риск становится слишком высоким.
В этой области корпорация «Майкрософт» также предлагает свою помощь, в том числе предоставляет бесплатный набор средств для управления исправлениями Windows Server Update Services. Г-н Нэш рассказывает о том, что другое бесплатное средство, Microsoft Baseline Security Analyzer, помогает определить, соответствует ли безопасность организации рекомендациям корпорации «Майкрософт».
«Сколько бы вы заплатили?»
Кроме обязательных продуктов, компании стараются найти другие варианты повышения окупаемости инвестиций в безопасность. По словам Эндрю Джакита (Andrew Jaquith), старшего аналитика консалтинговой компании Yankee Group (Бостон), примером является один продукт, который может заменить несколько продуктов. «Например, межсетевые экраны веб-приложений таких поставщиков, как F5 Networks и NetContinuum, не только защищают веб-серверы, но также выравнивают нагрузку и обеспечивают ускорение протокола SSL, управляют зашифрованными ключами и выполняют другие функции, — говорит г-н Джакит. — Доводы в поддержку таких продуктов очень просты: они выполняют функции различных устройств. Вам остается решить, сколько вы готовы за это заплатить».
По словам г-на Джакита, другая стратегия заключается в том, чтобы определить ценность замены. Если вы приобретаете продукт, который позволяет вам заменить несколько постоянных сотрудников, то после этого вы можете подсчитать его ценность на основе ранее выплачиваемой им зарплаты и получаемых ими льгот. Однако вы получите выгоду только в том случае, если уволите или переведете на другие должности соответствующих ИТ-сотрудников. По его словам, многие организации не идут на это и в результате не сокращают расходы.
Однако компании Cascade Die Casting удалось грамотно воспользоваться этой возможностью при установке межсетевого экрана Network Engines NS6300 Firewall Appliance, который работает на сервере Microsoft Internet Security and Acceleration (ISA) Server 2004. Система NS6300 значительно проще в управлении, чем система, которая использовалась до нее. Она позволила компании сократить время работы администратора на пять часов в неделю. «Для отдела, в котором работают всего два сотрудника, — это очень значительный показатель, особенно если учесть, что они осуществляют поддержку 350 пользователей, — рассказывает г-н Патридж. — Теперь мы можем тратить время, которое требовалось для управления межсетевым экраном и его обслуживания, на исследовательские работы по внедрению новых систем».
Улучшение инфраструктуры
Угрозы безопасности могут помочь компаниям найти аргументы для обновления сетевой инфраструктуры, в том числе для перехода на сервер Microsoft Windows Server 2003, который, по словам г-на Розенберга, «предназначен для того, чтобы повысить безопасность и упростить работу ИТ-сотрудников по обеспечению надежности и безопасности среды».
Г-н Нэш отмечает, что для новых версий программного обеспечения корпорации «Майкрософт» применялся процесс обеспечения безопасности всего цикла разработки (SDL), благодаря чему они имеют меньше потенциально уязвимых мест. В начале этого месяца новая угроза для операционной системы Windows XP, связанная с файлами WMF, вызвала серьезное опасение относительно способности быстро предоставлять исправления системы безопасности. Г-н Нэш говорит, что при обнаружении уязвимости, которая создает угрозу для пользователей, Центр обеспечения безопасности корпорации «Майкрософт» мобилизует несколько специальных групп для изучения уязвимости и обеспечения защиты пользователей. После этого сотрудники корпорации «Майкрософт» определяют, как можно изменить процесс SDL для предотвращения возникновения такой ошибки в будущем, а также как защитить новые продукты от аналогичных угроз. Процесс SDL корпорации «Майкрософт» непрерывно развивается и обновляется каждые шесть месяцев.
По словам г-на Джакита, уязвимые места не всегда создают риск, поскольку существует очень низкая вероятность, что некоторые из них будут использоваться для атаки. Поэтому, по его мнению, вместо количества уязвимых мест пользователям следует предоставлять эмпирические данные о том, какие риски характерны для определенных сред, какие существуют общие угрозы, а также сведения о том, насколько новые версии программного обеспечения сокращают усилия, затрачиваемые на установку исправлений и устранение проблем.
«Компании могут и должны самостоятельно предпринимать действия в этом направлении, при этом стараясь обеспечить максимальную эффективность всех усилий по обеспечению безопасности, — говорит г-н Нэш. — Умение проиллюстрировать улучшения и выгоду для бизнеса, достигнутые в результате инвестирования в безопасность, поможет обосновать расходы и получить средства для обеспечения безопасности в будущем».
Пол Десмонд живет в Саусборо (Массачусетс) и пишет статьи для Momentum, информационного бюллетеня, журнала и веб-узла корпорации «Майкрософт» для компаний среднего бизнеса в США.