ENG
Ресурсы — это всегда проблема, когда дело касается кибербезопасности. Усилия по ее обеспечению не всегда вознаграждаются, особенно когда вы создаете новые бизнес-приложения в ускоренном темпе. Как следствие, у «безопасников» вечно не хватает людей и они перегружены работой. Одновременно профи в этой области пользуются большим спросом, и текучка кадров здесь традиционно высока.
На самом деле нехватка ресурсов может быть опаснее киберпреступников, положивших глаз на данные, деньги, время и репутацию вашей организаций. Это стало ясно уже давно, но COVID-19 превратил дефицит ресурсов в первостепенную проблему, поскольку безопасность теперь зачастую попросту игнорируется.
Даже в прежние времена талантливых специалистов всегда было трудно найти, дорого содержать и сложно удержать. Пандемия резко усугубила нехватку навыков в области кибербезопасности, поскольку организации переключили свое внимание и ресурсы на то, чтобы нарастить или с нуля создать возможности для удаленной работы. Для многих компаний превентивная работа отошла на задний план, ярко высветив острый дефицит ресурсов.
В ходе исследования, проведенного до начала пандемии международной некоммерческой ассоциацией руководителей в области информационной безопасности (ISC)2, нехватка кадров в области кибербезопасности в США оценивалась примерно в 500 тыс. человек. Сопоставив данные с оценкой текущей численности таких специалистов в стране, ассоциация пришла к выводу, что для удовлетворения потребностей современного американского бизнеса необходимо увеличить число сотрудников в этой сфере на 62%. По результатам исследования экономик 11 стран, ассоциация оценила текущую мировую численность специалистов по кибербезопасности в 2,8 млн человек, а дефицит кадров — в 4,07 млн и заявила о необходимости наращивания общемировой рабочей силы в этой области на 145%.
Участники опроса также заявили, что больше всего их беспокоит нехватка квалифицированных/опытных специалистов по кибербезопасности, поскольку дефицит кадров создает умеренные или высокие риски для их компаний. В свою очередь исследование для доклада Института Понемона (Ponemon Institute) 2020 года под названием Сost of a Data Breach Report, которое стартовало за несколько месяцев до коронавирусных локдаунов, но затем было скорректировано для оценки потенциальных последствий массового перехода на режим удаленной работы, показало, что 76% организаций прогнозируют: такой режим усложнит реагирование на инциденты нарушения защиты данных.
По оценкам Института Понемона, средняя совокупная стоимость такого инцидента составляет $3,86 млн, что переводит задачу их предотвращения в разряд критических. Но не все потеряно. Конечно, дефицит кадров не будет ликвидирован в ближайшее время, но, помимо найма дополнительных сотрудников, есть и другие способы усилить кибербезопасность, которыми можно воспользоваться прямо сейчас.
Внутрикорпоративные программы обучения и сертификации по безопасности
Многие понимают, что настоящая кибербезопасность невозможна без перемен на уровне корпоративной культуры. По сути, кибербезопасность — в той или иной мере — должна стать частью должностных обязанностей каждого сотрудника. Никто, конечно, не ждет, что, скажем, директор по маркетингу лично займется борьбой с хакерами, но каждый сотрудник должен проходить обучение и сертификацию в этой области. Речь не о том, чтобы создать презентацию PowerPoint, прогнать через семинар всех сотрудников, поставить галочку и забыть. Нет, здесь нужны продуманные и содержательные программы, которые обеспечат вовлеченность сотрудников, помогут им понять угрозы кибербезопасности и свою роль и место в борьбе с ними. Здесь могут пригодиться неформальные подходы, вроде просветительской беседы на обеденном перерыве, учебной тревоги с имитацией инцидента безопасности или даже квест-игры.
Взаимовыгодный обмен
Если безопасность — это обязанность каждого, то и ресурсы безопасности не должны ограничиваться только ИТ-отделом. Подумайте, как устроить в своей организации взаимовыгодный обмен в этой области. Например, с распространением методологии DevSecOps безопасность все активнее заходит на территорию разработки. Аналогичным образом ресурсы можно задействовать и на других направлениях. Это не только улучшит понимание проблематики на уровне организации в целом, но и простимулирует сотрудничество между отделами и повысит шансы на учет рисков во всем, что касается процессов, продуктов и услуг.
Пересмотр имеющихся инструментов
У многих организаций есть инструменты обеспечения безопасности, которые им на самом деле не нужны или которые устарели и не поддерживают новые технологии, вроде облака, контейнеров или Kubernetes. Иначе говоря, время и деньги расходуются впустую, например на инструменты для защиты систем, которые уже давно не используются на предприятии. Или же инструментов может быть чересчур много, они дублируют друг друга, ими становится трудно управлять. Либо организация не в полной мере использует возможности средств защиты, которые уже встроены в имеющиеся системы, будь то операционные системы, контейнерные платформы или инструменты, предоставляемые облачным провайдером. Тщательная инвентаризация покажет, какие из технологий действительно нужны на текущем этапе, а от каких пора избавиться.
Комплексная стратегия автоматизации
ИТ-среды и окружающий мир только усложняются, начиная с определенного момента с потоком событий вручную уже не могут справиться ни один человек и ни одна команда. Хорошая новость в том, что комплексная автоматизация повышает эффективность борьбы с рисками безопасности за счет снижения фактора человеческой ошибки, а также помогает устранять купировать инциденты, быстрее реагировать на предупреждения о нарушениях и создавать повторяемые процессы обеспечения защиты и соответствия нормативным требованиям.
Важно отметить, что автоматизация — не один продукт или набор продуктов. Речь идет о комплексной стратегии автоматизации, охватывающей разработку приложений, инфраструктуру, операции по обеспечению безопасности и так далее. Именно такой подход дает результаты, например в упомянутом выше докладе Института Понемона отмечается, что для организаций, развернувших комплексную автоматизацию, средний совокупный ущерб от инцидентов с безопасностью данных обходится на $3,58 млн меньше, чем для организаций, не имеющих автоматизации.
Так есть ли решение?
Правда заключается в том, что проблема дефицита ресурсов в области кибербезопасности не может быть решена полностью. Но с ней можно эффективно справляться за счет упреждающего планирования, внедрения стратегических технологий, а также массового, постоянного и построенного на вовлеченности обучения сотрудников и кооперации.
