Эффективность вместо Excel - автоматизация в информационной безопасности

Автоматизированный и интегрированные системы управления - залог безопасности, отвечающей современным вызовам

cybersecurity-isms2

В области кибербезопасности, в информационной безопасности / IT-безопасности, а также в базовой IT-защите зачастую используется Excel, поскольку данный инструмент, как правило, удобен для использования и, как правило, отвечает требованиям нормативных документов, в т.ч. ISO 27001 Приложение A. Но насколько эффективен Excel в качестве инструмента контроля в информационной безопасности во времена сложных и быстро меняющихся условий, новых глобальных рисков и динамичных бизнес-процессов?

В настоящее время многие компании используют самостоятельно созданные решения по информационной безопасности на основе Excel или других инструментов управления электронными таблицами. Мы рассматриваем СУИБ как центральную задачу в рамках систем управления рисками и соответствия государственным и корпоративным стандартам и исполлзуем высокоавтоматизированные решения на платформе TopEase®. Мы твердо убеждены, что интегрированные решения должны применяться не только в крупных корпорациях, но и в каждой компании, которая имеет дело с киберрисками, кибератаками, сценариями цифровых угроз или в целом с внедрением базовой IT-защиты или ISO 27000. Здесь необходимы такие решения, которые могут быть внедрены независимо от размера компании, масштабируются вместе с компаниями и их требованиями – от стартапов до крупных корпораций.

Решения на базе Excel или TopEase® - критерии сравнения

Мы сравнили типовое решение Excel для внедрения ISO2700 с нашим решением по управлению информационной безопасностью на базе TopEase®, используя следующие 5 категорий:

1. Представление компании как комплекса данных

Обеспечение информационной безопасности должно распространяться на все основные процессы и их вспомогательные активы. Здесь между процессами и их активами часто возникают отношения m:n. Кроме того, модели процессов меняются все быстрее и быстрее, особенно в связи с изменениями потребительского ландшафта, что может оказать значительное влияние на цели защиты отдельных процессов и их активов.

2. Затраты на техническое обслуживание и автоматизация

После первоначального внедрения, оцифровки ISO 27001 или других отраслевых стандартов и спецификаций следует продолжить работу с системой информационной безопасности. Директор по информационной безопасности (CISO) создает и анализирует сценарии угроз, проводит оценку рисков, определяет меры и концепции защиты, запрашивает бюджеты для внедрения кибербезопасности на основе затрат / выгод и регулярно отчитывается перед руководством.

3. Соблюдение действующих норм

Критерий соответствия нормативным требованиям в области информационной безопасности описывает, насколько легко или сложно обеспечить соблюдение норм при реализации того или иного решения, а также связанные с этим риски

4. Затраты на внедрение

Затраты на внедрение оцениваются как первоначальные затраты на создание системы информационной безопасности. При этом учитываются затраты на оборудование и кадры.

5. Операционная совместимость / сетевое взаимодействие внутри компании

В будущем информационная безопасность будет играть более значительную роль в сетевых системах управления рисками и соблюдения норм и будет иметь более высокую степень сетевого взаимодействия. Риски информационной безопасности должны указываться в отчете об общих рисках компании. Тесное взаимодействие с системами управления процессами, а также системами внутреннего контроля (СВК) и аудиторскими решениями упрощает управление и проведение аудитов.

Оценка: автоматизация или традиции?

Критери
Решения на основе Excel
Информационная безопасность на базе TopEase®

1

Комплексный подход

В решениях на базе Excel часто создаются отдельные электронные таблицы для каждого вида анализа, например, для аудита отдельного процесса и лежащих в его основе потребностей в защите и активов. Отдельные показатели определяются в каждой электронной таблице, либо они перечисляются в целом в сводной электронной таблице и вручную разбиваются на подтаблицы по отдельным критериям оценки.

Для такого подхода представления процессов А с процессами В и соответствующими мерами С характерна существенная избыточность.

Установление связей с рисками и их представление в СУИБ в графической форме (например, в виде стандартизированной матрицы рисков) может быть реализовано лишь со значительными усилиями.

Оценка целей защиты (конфиденциальность, целостность, доступность) происходит непосредственно в процессе. При привязке (отображении) процесса к соответствующим активам связь устанавливается на уровне базы данных – таким образом, все связи с процессами могут быть просмотрены и на уровне активов. В дополнение к чистой СУИБ, связь между процессами и активами также дает значительные преимущества в отношении управления непрерывностью бизнеса.

Защитные меры вводятся только один раз, они могут быть назначен нескольким активам или рискам – больше нет необходимости вручную указывать один и тот же способ обеспечения защиты для различных активов, как в Excel. Сложность внедрения и отслеживания мер также минимизируется благодаря постоянной поддержке рабочего процесса.

2

Автоматизация

Все записи делаются вручную. Отчеты могут быть генерироваться путем ввода формул или использования макросов, что требует больших трудовых затрат, в т.ч. для последующей актуализации в случае изменения содержания.

TopEase® предлагает широкий спектр функций автоматизации, позволяющий существенно снизить нагрузку на сотрудников службы информационной безопасности: к примеру, все необходимые элементы управления из приложения ISO27001 могут быть приписаны активу на основе его характеристик. Чеклисты на соответствие нормативным требованиям могут создаваться автоматически и передаваться соответствующим исполнителям автоматически. Кроме того, дэшбоард предоставляет автоматизированные отчеты в режиме реального времени. Управление рисками помогает директору по информационной безопасности выявлять актуальные тренды, концентрируя внимание только на значимых рисках.

3

Соблюдение норм

Помимо Excel, для обеспечения необходимого уровня соблюдения нормативных требований часто требуются дополнительные инструменты: в рамках управления документами часто используются инструменты для отслеживания различных редакций нормативных документов. Отслеживание изменений на уровне каждого пользователя подчас невозможно, поэтому рабочие процессы и процедуры согласования должны обеспечиваться дополнительными программными решениями.

TopEase® предлагает автоматизированный контроль: вся информация, в т.ч. чеклисты и сами риски, контролируется в рамках дублированных процессов. Пользователи и роли пользователей контролируются централизованно, что повышает эффективность системы контроля информации. Автоматизированное сравнение различных редакций нормативных документов или анализов риска упрощает отслеживание изменений.

4

Внедрение

Решения на базе Excel часто приходится адаптировать к потребностям компании, на что уходит много времени и затрат. Поскольку не всегда все подводные камни известны на этапе внедрения, якобы „простой“ проект превращается в долгосрочный с высокими расходами, которые превышают первоначальный бюджет. В последние годы сложность реализации экспоненциально возрастает из-за количества киберрисков и новых сценариев угроз, таких как например управление „домашним офисом“.

TopEase® поставляется в виде эффективной среды – облачной или локальной. Вместе с производителем компания ThiemeBieg & Associates оказывает поддержку компаниям при конфигурировании платформы, а также в рекомендациях необходимых мер и в разработке комплексной документации ISO27001.

При желании вы можете получить оцифрованную базу законов и норм и тем самым снизить нагрузку на персонал.

Благодаря нашему опыту, особенно в инфраструктурном секторе, в области внедрения и управления системами информационной безопасности, вы сможете воспользоваться нашими передовыми ноу-хау в области СУИБ и, таким образом, избежать повышенных затрат.

5

Интероперабельность

Из-за отсутствия интерфейсов Excel обладает ограниченной совместимостью с другими системами на основе электронных таблиц.

Будучи интегрированной платформой (корпоративное управление, управление рисками и соблюдение нормативных требований), TopEase® обеспечивает полное взаимодействие с другими решениями TopEase®, такими как управление рисками, управление процессами или системами контроля информации. Кроме того, другие системы могут быть подключены через современные интерфейсы, такие как REST; имеется возможность интеграции данных из других систему (например по управлению процессами), что позволяет использовать их в рамках управления информационной безопасностью. Также возможен экспорт данных, который часто используется для ввода позиций финансовых рисков в ERP-системы, такие как Microsoft Dynamics или SAP.

Вывод: Цифровые угрозы требуют внедрения цифровых СУИБ

Минимизируйте риски посредством интеллектуальных сетей

Идентификация рисков в области информационной безопасности и их минимизация – эта, казалось бы, простая задача требует интегрированных систем ввиду все более комплексных угроз. Кибербезопасность / информационная безопасность должна работать как минимум на том же технологическом уровне, что и киберпреступность.

В связи с повышением требований в области СУИБ и, соответственно, увеличением затрат директора по информационной безопасности и его подчиненных, СУИБ должна включать как можно больше средств автоматизации повторяющихся действий, таких как подготовка отчетов, вплоть до сложных задач по расчету тенденций рисков. Системы, подобные TopEase®, могут значительно снизить рабочую нагрузку в сфере информационной безопасности. Благодаря автоматизации, а также многолетнему использованию в области критической инфраструктуры, стандартные решения, в т.ч. TopEase®, позволяют избежать „подводных камней“ при внедрении СУИБ, сократить технические и финансовые затраты по ее внедрению и обеспечить соответствие нормативным требованиям.

Использование интерфейсов, а также облачная интеграция позволяют быстро обмениваться информацией не только внутри компании, но и с программными решениями в СУИБ, такими как управление непрерывностью бизнеса и анализ воздействия на бизнес.

Обеспечение взаимосвязей между процессами, рисками и активами представляет собой значительное управленческое преимущество для компаний.