Business view to cyber security

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
Взгляд на кибербезопасность с
точки зрения бизнеса
Алексей Лукацкий
Бизнес-консультант по безопасности
alukatsk@cisco.com

Зачем нам кибербезопасность?
Защита
инфраструктуры
Compliance
Защита от угроз
Управление
рисками
Бизнес-ориентация
ИБ-хаос
• А нам нужна ИБ?
• Что мы защищаем?
• По чьему требованию мы
защищаем?
• От чего мы защищаем?
• Почему мы защищаем?

Можно ли посмотреть на ИБ с точки зрения рисков?
Прогнозируемые
• Риск, вероятность которого
может быть статистически
просчитана и от которого,
следовательно, можно
застраховаться, например,
риск пожара на складе готовой
продукции или риск стихийного
бедствия
• Затраты на страховку
включают в себестоимость
Непрогнозируемые
• Риск (неопределённость),
принципиально не
страхуемый, например, риск,
связанный с отсутствием
спроса на новый товар, в
разработку и производство
которого были вложены
значительные средства
• Все риски принимает на себя
владелец бизнеса

ИБ - это страховка и ее надо воспринимать как данность!
 Вы уверены?
 А у вас есть статистика по
«страховым случаям»?
 Как быть с возмещением
средств в случае наступления
страхового случая?

Если не думать о безопасности с точки зрения
бизнеса…

Что это?

А это?

Внутренний продукт предприятия
Коммерческое
предприятие
• Коммерческое
предприятие должно
реализовать продукт
на рынке и получить
прибыль
Государственное
предприятие
• Государственное
предприятие должно
реализовать
внутренний продукт с
наименьшими
затратами или при
заданных затратах
реализовать
наилучший продукт

Какие внутренние продукты могут быть?
 Кредитование
 Продажа билетов на авиа- или ж/д транспорт
 Продажа газа или атомной энергии
 Генерация атомной энергии или добыча газа
 Продажа смартфонов
 Водоснабжение
 Передача показаний счетчиков воды, газа или электроэнергии
 Государственные услуги
В создании
продукта
участвуют все
подразделения,
включая и ИБ

ИБ как неотъемлемая часть продажи товара
Проверка
остатка
Запрос
товара
Формирование
предложения
Выставление
счета
Получить
заказ товара
Принять
оплату
Отправить
заказанный
товар
Уведомить
о отправке
Безопасный
способ платежа
Корректные
данные
Коммерческая
тайна
Непрерывность
работы сервиса
Резервное
копирование
Собрать
данные для
BI
Закрыть заказ
товара
PCI DSS

ИБ как неотъемлемая часть выдачи кредита
Регистрация
заявки на
кредит в АБС
Оформление
заявки на
кредит на
сайте
Проверка
достоверности
информации о
клиенте
Проверка
юридических
аспектов
выдачи кредита
Принятие
решение о
выдаче кредита
Уведомить
заемщика
Собрать
данные
для BI
Перечисление
денежных
средств
Занести
данные в
АБС
Заключение
кредитного
договора
Доступность
сайта
Корректность
формы
Защита ПДн
Проверка через
соцсети
ФЗ-152
Требования ЦБ
Доступность АБС

ИБ как неотъемлемая часть водоснабжения
Водохрани-
лище
Насос
Водозабор
Водоочистные
сооружения
Подземный
резервуар
Насос
Распредели-
тельная сеть
Очистка
реагентами,
озоном и углем
Отстойник
Дома /
квартиры
Счетчик
воды
Корректныеи
бесперебойные
счета
Бесперебойное
функционирование
Непрерывная
диагностика
Контроль
показаний
Непрерывный
мониторинг
ФЗ-152
Приказ №31 Закон о КИИ

ИБ как неотъемлемая часть госуслуг
Целостность
данных
Проверкаформ
ФЗ-152, ФЗ-149
Множество приказов
МКС, ФСТЭК, ФСБ, МЭР

ИБ без привязки к бизнесу – это сферический конь в
вакууме

Как кибербезопасность видит руководство предприятия?
Фонд оплаты труда
Аренда помещений
Оборудование
Программное
обеспечение
Бухгалтерское ведение
АХО
Консалтинг/аутсорсинг
Х ХХХ ХХХ р.
ХХХ ХХХ р.
ХХ ХХ р.
ХХ ХХ р.
0 р.
0 р.
0 р.
0 р.
0 р.
0 р.
Стало безопаснее чем
вчера
Выполнили Приказ №21
Внедрили PCI DSS
Снизили риски
Сохранили
коммерческую тайну
Нашли 5 APT и 3-х
инсайдеров
ПРИБЫЛИ ( PROFIT ) & ( LOSS ) УБЫТКИ

Какова цель бизнеса?
 Предпринимательской является самостоятельная, осуществляемая на свой
риск деятельность, направленная на систематическое получение прибыли
от пользования имуществом, продажи товаров, выполнения работ или
оказания услуг лицами, зарегистрированными в этом качестве в
установленном законом порядке

Что такое прибыль?
Доходы - Расходы

Расходы на саму ИБ обычно известны
18
70%
30%
стоимость
внедрения
стоимость
проекта
- лицензии
- оборудование
- услуги интегратора
- ФОТ сотрудников на
время внедрения
- Тех.поддержка на 3 года
- Модернизация оборудования
- услуги интегратора по допиливанию
- ФОТ сотрудников на время
использования
- смена версии
- услуги интегратора по допиливанию
новой версии
- …

Как ИБ влияет на расходы?
Расходы самой ИБ
• ФОТ
• Консалтинг / аутсорсинг
• Затраты на ПО / железо
• АХО
• Аренда
• Бухгалтерия
Расходы бизнеса
• Расследование
инцидентов
• Штрафы
• Ущерб от действий третьих
лиц
• Восстановление
информации / ПО / железа
• Потери от угроз

Какие расходы (потери) несет бизнес?
 Потери интеллектуальной собственности
Ноу-хау, патенты, списки клиентов, условия договоров
 Юридические потери
Штрафы и досудебные урегулирования
 Потери «собственности»
Курс акций, перехват управления, вывод из строя, информация, приводящая к задержкам в выпуске
продукции или услуг, кража денег со счета
 Репутационные потери
Снижение лояльности → снижение ARPU, уход клиентов, негативные отзывы в прессе
 Потери времени (простои) на восстановление и расследование

Какие расходы (потери) несет бизнес?
 Административные затраты на
восстановление, взаимодействие с
клиентами и регуляторами, возврат
в предатакованное состояние
 Операционные
 Вред окружающей среде
 Ущерб жизни и здоровью
 Получение конкурентами
преимуществ
 Подрыв доверия инвесторов и
акционеров

Расходы считать просто. Что с доходами / выгодами?
 Получение новых доходов
 Снижение/оптимизация
расходов/потерь
 Снижение времени
 Снижение (высвобождение)
числа людей
 Добавление новых качеств
 Не во всех компаниях это
выгоды!
Поймите, что считается выгодой
именно у вас

За счет чего растут доходы?
ЦельСнижение
издержек
Отдача на
инвестиции
Ускорение
транзакций/
операций и рост
их числа
Выпуск
качественных и
«дешевых»
продуктов
Рост лояльности
заказчиков
Географическая
экспансия
Куда
движется
бизнес?!

Как ИБ влияет на доходы или зачем нужна
декомпозиция?
Рост выручки
Рост числа
клиентов
Географическая
экспансия
Защищенный
удаленный
доступ
Рост числа
сделок
Вынос PoS в
«поля»
мобильный
доступ
Ускорение
сделок
Новый канал
продаж
Интернет-
магазин
Снижение
себестоимости
Более дешевый
канал продаж
Интернет-банк

Влияние ИБ на доходы и расходы при кредитовании
Регистрация заявки заемщика
• Ключевой показатель процесса –
время регистрации
• Что может помешать процессу –
недоступность сайта банка
• К чему это приведет - к потере
клиента, то есть к потере денег
• Знаем ли мы, сколько нам денег
приносит средний клиент - да!
• Что надо сделать – обеспечить
доступность сайта и проверку
корректности заполнения полей Web-
анкеты
Проверка достоверности информации
о заемщике
• Ключевой показатель процесса –
время проверки информации
• Как можно ускорить процесс
проверки – применить средства
анализа социальных сетей
• К чему это приведет – к снижению
времени на проверку заемщика,
росту его лояльности и увеличению
числа проверяемых заемщиков, что
может привести к росту числа
клиентов и денег от них
• Что надо делать – внедрить средство
автоматизации анализа соцсетей

ИБ в разных бизнес-процессах банка
Private Banking
• Особенности процесса –
процентные ставки и условия
обслуживания определяются
банками индивидуально для
каждого клиента
• Что может помешать процессу –
раскрытие информации широкому
кругу лиц
• К чему это приведет - к потере
клиента, то есть к потере денег
• Что надо сделать – защитить
информацию о VIP-клиентах
Управление финансами
• Финансовый директор имеет
потребность в оптимизации
финансовых затрат
(предсказуемость финансовых
потоков, кредит/рассрочка,
снижение налогов на прибыль и
имущество, ускоренная
амортизация и т.п.)
• Что надо сделать - предложить
финансовые услуги (кредит, лизинг,
рассрочка) или новые виды
сервисов ИБ (аутсорсинг, ИБ из
облака и т.п.)

Влияние ИБ на доходы и расходы в деятельности
бухгалтерии
Борьба с криптолокерами
• Чем характеризуется криптолокер –
шифрованием диска и
вымогательством денег
• К чему приводит шифрование
диска – к потере доступа к файлам
и простою (компьютера,
сотрудника, процесса), что
приводит к потере денег
• Что надо делать – внедрять
средство защиты от вредоносного
кода
Борьба с вирусными эпидемиями
• Чем характеризуется эпидемия –
необходимость лечить и
восстанавливать
работоспособность большого
количества пострадавших ПК
• К чему это приводит – к затратам
на процесс локализации
пострадавших, их лечению и
восстановлению в предатакованное
состояние
средство защиты от вредоносного
кода

Влияние ИБ на доходы и расходы при работе сайта
предприятия
Борьба с DDoS
• Чем характеризуется DDoS –
простоем сайта предприятия или
торговой Интернет-площадки
• К чему приводит простой сайта –
к снижению лояльности клиентов
и уменьшению числа операций,
что приводит к потере денег
средство или сервис отражения
DDoS-атак
Контроль Web-форм
• Что может произойти с формой –
SQL Injection и другие угрозы
• К чему это приводит – к
нарушению работы сайта,
простоям, краже вводимых
данных (например, кредитных
карт или Identity), что приводит к
потере денег и снижению
лояльности
• Что надо делать – внедрять WAF

Влияние ИБ на доходы и расходы у HR и CFO
Удержание персонала
• При удержании персонала важно
своевременно узнать о желании
сотрудника уйти
• К чему это приведет – к простою
вакансии и недополученной
прибыли (поиск и удержание
персонала - 4:1)
• Что надо сделать – мониторить e-
mail в части рассылки резюме и
получения job offer, а также
мониторить доступ к сайтам для
поиска работы
Управление финансами
• Финансовый директор имеет
потребность в оптимизации
финансовых затрат
(предсказуемость финансовых
потоков, кредит/рассрочка,
снижение налогов на прибыль и
имущество, ускоренная
амортизация и т.п.)
• Что надо сделать - предложить
финансовые услуги (кредит, лизинг,
рассрочка) с помощью «xxx Capital»
или новые виды сервисов ИБ
(аутсорсинг, ИБ из облака и т.п.)

Влияние ИБ на доходы и расходы в деятельности CIO и
COO
Гостевой Wi-Fi-доступ
• Необходимо предоставить гостевой Wi-Fi
доступ для клиентов (в т.ч. и VIP) банка на
время нахождения в очереди или при
ожидании оформления договора
• К чему это приводит – к росту лояльности
клиентов, отслеживанию их поведения и
предложения персонализированных услуг
• Что требуется для предоставления
гостевого доступа – отвлечение
сотрудников ИТ на создание, ведение и
удаление временной учетной записи
• Что надо делать – внедрять средство
обеспечения гостевого доступа
Стандартизация ИТ-платформы
• Необходимо защититься от установки
неразрешенного ПО и подключения к
банковской сети неразрешенных
устройств
• К чему это приводит – к поиску
несоответствующих ИТ-политикам
устройств, заражению банковской сети с
несоответствующих политике устройств и
т.п.
контроля сетевого доступа и
анализа/профилирования сетевого
трафика (NGFW/AVC)

ИБ для иных задач с точки зрения бизнеса
ДБО
• Некорректная реализация сервиса ДБО
может привести к хищениям средств со
счетов клиентов
• К чему это может привести – не только к
необходимости возмещения средств
клиентам (не всегда и необязательно),
сколько к снижению лояльности клиентов
и их оттоку
• Число ушедших клиентов и причины их
ухода можно легко узнать в департаменте
работы с физлицами (юрлицами), как и
«стоимость» одного клиента
• Что надо делать - внедрять систему
защиты ДБО
Рост продуктивности сотрудников
• Что снижает продуктивность работников –
спам и бессмысленный Интернет-серфинг
• К чему это приводит – к временным
затратам на чтение спама и посещение
ненужных для работы сайтов, что в свою
очередь выливается в недополученную
прибыль
защиты от спама и контроля доступа в
Интернет

Влияние ИБ на доходы и расходы в промышленной сети
Бесперебойное функционирование АСУ
ТП
• Современные АСУ ТП могут быть
подключены к внешнему миру через
корпоративную сеть, напрямую или
через ПК подрядчиков, что может
привести к нарушению
функционирования промышленного
сегмента
• К чему приводит нарушение
функционирования – к потере
управления, к катастрофам, к
снижению объемов производства, к
простоям
промышленный МСЭ/IDS, а также
систему контроля доступа
Снижение расходов на командировки
• Необходимо обеспечить снижение
затрат на командировки
высококвалифицированных экспертов
на удаленные промышленные
площадки
• К чему это приводит – к росту затрат на
командировки и увеличению времени
на запуск того или иного
процесса/продукта на удаленной
площадке
• Что надо делать – внедрять средства
унифицированных коммуникаций
(Remote Expert) с защитой
передаваемой информации

Три подхода к коммуникации с бизнесом
• Сколько стоит инцидент?
• Сколько стоит восстановление
после инцидента?
Затратный
• Как происходит у других?
• Как написано в лучших практиках?
Индустриальный
• Что я получу, если сделаю это?
• Что получит бизнес, если мы
сделаем это?
Инновационный

Борьба со снижением простоев – самый простой способ
перевести ИБ в бизнес-плоскость
 Простои могут быть
У сотрудника
У узла
У процесса
У приложения
…
 Простой всегда выражается в деньгах!
Криптолокеры, эпидемии, DDoS, спам, ненужные для работы сайта, отсутствие SSO, предоставление
сетевого или гостевого доступа и т.п.
Простой приводит к замедлению оформления кредитных договоров, замедлению осуществления
транзакций, что приводит к снижению их числа и потерям денег
 Снижение времени простоя (обеспечение доступности) должно являться
одной из основных целей ИБ, т.к. она понятна бизнесу лучше
конфиденциальности и целостности информации

Жизненный цикл простоя
RPO – Recovery Point Objectives, RTO – Recovery Time Objectives, MAD – Maximum Allowable Downtime
 Степень влияния и составляющие цены простоя меняется с течением
времени
Эта иллюстрация может использоваться при оценке времени восстановления после атаки

Какой же все-таки вклад ИБ делает в бизнес?
 Географическая экспансия
 Вынос точки продаж «в поля» (ближе к клиенту)
 Новый или более дешевый канал продаж
 Снижение арендной платы
 Оптимизация складских запасов и ускорение вывода продукта на рынок
 Оптимизация финансовых затрат (EBITDA, CapEx/OpEx, лизинг,
амортизация…)
 Рост продуктивности сотрудников
 Уменьшение числа командировок и снижение рисков путешествий

Какой же все-таки вклад ИБ делает в бизнес?
 Сокращение затрат на Интернет
 Снижение ИТ-издержек на внутренний helpdesk
 Рост лояльности заказчиков
 Стандартизация
 Предотвращение увольнения сотрудников
 Обнаружение сговоров и конфликтов интересов
 Снижение простоев

Как это все сложить вместе?
Преимущества – совокупная стоимость владения = ?
сокращение затрат и рост доходов
> 0 – ИБ будет позитивно воспринята бизнесом
< 0 – ИБ будет негативно воспринята бизнесом
Центр затрат :-(
?

Как финансы должны видеть ИБ?
Как финансы видят ИБ
Фонд оплаты труда
Аренда помещений
Оборудование
Программное обеспечение
Бухгалтерское ведение
Консалтинг
ХХХ ХХХ р.
ХХ ХХ р.
0 р.
0 р.
0 р.
0 р.
0 р.
0 р.
Стало безопаснее чем вчера
Compliance
Лучшие практики
Снижены риски
Сохранены тайны
Консалтинг
Простои
Расследование
Штрафы
Восстановление
Отток клиентов
Репутация
ХХХ ХХХ р.
ХХ ХХ р.
ХХХ р.
ХХХ р.
ХХХ р.
ХХХ р.
ХХХ р.
ХХХ р.
Быстрее пошли сделки
Снижение стоимости аренды
Снижение времени на вход в системы
Снижение CapEx и переход на OpEx
Снижение потерь
Рост лояльности клиентов
Как финансы должны видеть ИБ

Почему угрозы в топку?
 Бизнес знает о кибер-угрозах!
Не думайте, что они не смотрят новости, не слышали про крепкий орешек 4.0 и т.п.
Но бизнес интересует, как угроза применима именно к нему!!!
 Статистика – это средняя температура по больнице. Ей мало верят
 Что является угрозой именно для вашего бизнеса, а не для авторов Verizon
DBIR?
 Каков ущерб?
 Как считали?

Почему законодательство в топку?
 Каково наказание?
Среднее? А максимальное?
 Есть правоприменительная практика?
 ИБ-compliance сегодня это пока не риск с точки зрения руководства в
большинстве случаев
Исключая отдельные случаи

Тенденции проверок и наказаний за нарушение ФЗ-152
 1640 (1 292) плановых проверок, из них 333 (132)
в отношении государственных и муниципальных
органов,
 99 (104) внеплановых проверок
 По результатам проведенных контрольно-надзорных
мероприятий выдано 619 (731) предписаний об
устранении выявленных нарушений
 Cоставлен и направлен на рассмотрение в суды 6930
(7 721) протоколов об административных
правонарушениях
 Наложено административных штрафов на общую
сумму 5 982 200 (10 454 600) рублей

А как же все-таки быть с угрозами и нормативкой?
Страх
ComplianceЭкономика
• Отражение угроз является тоже бизнес-
задачей, если мы будем рассматривать
не мифические или навязанные угрозы,
а то, что может нанести реальный ущерб
бизнесу
• Выполнение нормативно-
правовых актов тоже является
задачей бизнеса, если их
невыполнение влечет за собой
штрафы, приостановление
деятельности, дисквалификацию
и иные риски, которые
подтверждены
правоприменительной практикой

© 2015 Cisco and/or its affiliates. All rights reserved. 45
Нет волшебных слов и
универсальных формул!
Изучайте свой бизнес и
учите бизнес-язык
Вы решаете не свои
проблемы, а задачи
бизнеса
Эффект наступит не сразу

Новый взгляд на ИБ с точки зрения бизнеса

Пишите на alukatsk@cisco.com
Быть в курсе всех последних новостей вам помогут:
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/posts
http://www.cisco.ru/

Благодарю
за внимание

Business view to cyber security

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (19)

Semelhante a Business view to cyber security

Semelhante a Business view to cyber security (20)

Mais de Айдар Гилязов

Mais de Айдар Гилязов (17)

Business view to cyber security