Неотдавна мой чудесен колега се контузи доста тежко по време на зимната си ски ваканция. Ако правилно съм разбрал, друг скиор се е врязал в него, докато е бил на пистите. За съжаление, това е причинило сериозни наранявания на моя колега и той трябва да се възстановява дълго. Пожелавам му успех и бързо възстановяване.

Естествено, другият скиор е виновен, но моят колега е този, който е получил травмата и ще се възстановява дълго. Може би се питате какво общо има това с информационната сигурност. Разбира се, това е справедлив въпрос, макар че аз вярвам, че тук можем да извлечем важен урок по отношение на сигурността. Понякога, независимо от това кой е виновен за даден проблем, екипът по сигурността остава с последствията.

Както повечето опитни специалисти по сигурността знаят, когато има проблем, обикновено екипът по сигурността е този, който усеща жегата. Въпреки че цялата компания понася последствията от инцидент със сигурността, най-често екипът по сигурността е този, който усеща тази болка най-силно по време и след проблема. За да илюстрираме тази точка, ето пет ситуации, в които други може да са виновни, но екипът по сигурността ще понесе последствията.

1. Сигурност на приложенията: Сигурността на приложенията е предизвикателство, с което много предприятия се борят постоянно. Сложността на съвременните приложения, които имат модулни компоненти, разпределени в различни среди, само увеличава това предизвикателство. На всичкото отгоре екипите по сигурността и собствениците/разработчиците на приложения не винаги имат най-функционалните работни взаимоотношения. По този начин сигурността на приложенията може да не е толкова зряла в повечето предприятия, колкото би трябвало да бъде. В много случаи разработчиците на приложения могат да заобикалят протоколите, процесите и процедурите за сигурност, въпреки желанието на екипа по сигурността да ги спазват. И все пак, когато има проблем със сигурността на дадено приложение, екипът по сигурността е този, който се обръща към него. Поради това е важно екипите по сигурността да намерят начини да развиват и поддържат взаимоотношенията си със собствениците/разработчиците на приложения, за да улеснят вграждането на сигурността в жизнения цикъл на разработване на приложенията.
2. Вътрешна заплаха: Злонамерен вътрешен човек може умишлено да разкрие поверителни, патентовани и други чувствителни данни. Небрежен вътрешен човек може да го направи неволно. Независимо от мотивите на вътрешното лице, щетите, които се получават, са едни и същи и често причиняват сериозни щети на предприятието под формата на разходи за реакция при инциденти, регулаторни глоби, пропуснати приходи, намалено доверие на клиентите и други подобни последствия. Независимо от това кой е виновен, екипът по сигурността ще бъде призован да изпълни задачата си, когато възникне инцидент, свързан със заплаха от вътрешен източник. Поради това е наложително екипите по сигурността да се уверят, че разполагат с подходящи политики и защити, за да намалят риска, който представляват вътрешните заплахи. Това включва и внедряване на технологични решения, където е подходящо, за идентифициране и намаляване на вътрешните заплахи.
3. Съответствие: Въпреки че разпоредбите и регулаторните органи се различават по вертикала и географски принцип, едно нещо изглежда остава постоянно и в двата случая. Екипът по сигурността ще трябва да реагира на регулаторни и одитни констатации и да ги отстранява. Това обикновено изисква или съгласие с констатацията и предоставяне на план за коригиращи действия, или несъгласие с констатацията и предоставяне на доказателства под формата на твърдения. Когато предприятието се интересува от предоставяне на твърдения, които да се противопоставят на регулаторните констатации, екипът по сигурността ще получи обаждане. Когато това се случи, ще се изискват данни и факти – интуицията и чувствата няма да са достатъчни. Екипите по сигурността трябва да гарантират, че разполагат с необходимата видимост и телеметрични данни, необходими за извършване на необходимите анализи и разследвания. Само така екипът по сигурността може да реагира адекватно, когато се появят регулаторни констатации.
4. Инцидент: Както беше отбелязано в горната точка, когато има инцидент, ще са необходими точните данни за извършване на анализи. Никой няма да иска да чуе оправдания защо екипът по сигурността е работил на сляпо. Поради тази причина е важно екипите по сигурността активно да се стремят да получат видимостта и телеметричните данни, които са им необходими за изпълнение на задълженията им. Това може да не е най-лесната инициатива, но е от съществено значение.
5. Разследване: Когато възникне инцидент, екипът по сигурността ще бъде помолен да го разследва. Освен необходимите данни, това изисква инструменти и обучение. Ако екипът по сигурността не е бил обучен правилно, той трябва да поправи това, като организира необходимото обучение. Ако екипът по сигурността не разполага с подходящи инструменти, трябва да се направи анализ на пропуските, за да се види къде липсват инструменти, и тези пропуски да се попълнят. Възможността за провеждане на правилно разследване при възникване на инцидент е основна способност на екипа по сигурността.

Организацията по сигурността никога не е имала лесни условия в предприятието. Въпреки това има стъпки, които екипът по сигурността може да предприеме, за да облекчи стреса и тежестта върху себе си, когато възникне проблем и те бъдат призовани. Тези стъпки включват: изграждане на взаимоотношения с целия бизнес, осигуряване на необходимите хора, процеси и технологии и гарантиране на готовност. Когато това е трудно, потърсете помощ от технологичните решения. Едно нещо обаче е сигурно – пренебрегването на необходимостта от готовност за поемане на отговорност при възникване на проблем не е вариант.

Автор: Джошуа Голдфарб (Twitter: @ananalytical),  Field CISO във F5. Преди това  е заемал длъжността вицепрезидент, главен технически директор за нововъзникващи технологии във FireEye и главен директор по сигурността в nPulse Technologies до придобиването ѝ от FireEye. Преди да се присъедини към nPulse, работи като независим консултант, прилагайки аналитичната си методология, за да помага на предприятията да изграждат и подобряват възможностите си за анализ на мрежовия трафик, операции по сигурността и реагиране на инциденти, за да подобрят позициите си в областта на информационната сигурност. Той е консултирал и съветвал многобройни клиенти както в публичния, така и в частния сектор на стратегическо и тактическо ниво. В началото на кариерата си Джош работи като ръководител на отдела за анализ в Екипа за готовност за компютърни инциденти на САЩ (US-CERT), където изгражда от нулата и впоследствие управлява възможностите за анализ/криминалистика на мрежи, крайни точки и зловреден софтуер за US-CERT.