Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Как внедрять безопасность без конфликтов

20
5 мин
Внедрение стандартов безопасной настройки часто превращается в битву между ИБ и ИТ: одни требуют, другие сопротивляются. Привет, меня зовут Кирилл Евтушенко, я генеральный директор компании «Кауч». Мы прошли десятки подобных проектов с командами ИБ — и знаем, что внедрять стандарты можно без давления и конфликтов. В этой статье — наш практический опыт: с чего начать, как выстроить диалог с ИТ и почему ключ к успеху — в поэтапном подходе и уважении к чужому времени. Главная проблема работы с настройками — их слишком много. Если собрать все настройки безопасности для одного сервера или рабочей станции, от операционной системы до веб-сервера или офисного ПО, наберется примерно тысяча разных параметров. Из них высокого уровня риска — 200–300. То есть для компании с тысячей хостов — это около 300 тысяч настроек, а для обычной крупной компании с 10 000+ хостов — миллионы. ИБ в этой истории — заказчики, вооруженные сканером уязвимостей и желанием повысить защищенность компании (иногда практич
Оглавление

Внедрение стандартов безопасной настройки часто превращается в битву между ИБ и ИТ: одни требуют, другие сопротивляются.

Привет, меня зовут Кирилл Евтушенко, я генеральный директор компании «Кауч». Мы прошли десятки подобных проектов с командами ИБ — и знаем, что внедрять стандарты можно без давления и конфликтов. В этой статье — наш практический опыт: с чего начать, как выстроить диалог с ИТ и почему ключ к успеху — в поэтапном подходе и уважении к чужому времени.

Миллион параметров и ноль мотивации

Главная проблема работы с настройками — их слишком много. Если собрать все настройки безопасности для одного сервера или рабочей станции, от операционной системы до веб-сервера или офисного ПО, наберется примерно тысяча разных параметров. Из них высокого уровня риска — 200–300. То есть для компании с тысячей хостов — это около 300 тысяч настроек, а для обычной крупной компании с 10 000+ хостов — миллионы.

ИБ в этой истории — заказчики, вооруженные сканером уязвимостей и желанием повысить защищенность компании (иногда практически любой ценой). Выполнять задачу при этом приходится ИТ-подразделению, и без того полностью загруженному своими задачами. ИТ-администратор, открывая отчет от сканера, видит 500+ красных страниц и хочет уволиться.

Еще одна неочевидная сложность заключается в том, что многие требования стандартов могут быть непонятны ИТ без объяснений. В повседневной работе по сопровождению систем ИТ-администраторы могли никогда не сталкиваться с частью настроек, относящихся к безопасности. Им придется самостоятельно выяснять суть требований, изучать руководства производителей ПО, вручную составлять команды для настройки, тестировать их, настраивать — а потом узнавать у «человека со сканером» из ИБ, удалось ли исправить уязвимость. Добиться результата в этом хромом процессе практически невозможно.

Даже если вы точно знаете, что и как нужно исправить — реализация изменений на практике часто тянет на отдельный квест для боевых систем: тесты, согласования, технологические окна и так далее. Никто не хочет быть тем самым человеком, после настроек которого упала критически важная бизнес-система.

Тише едешь — дальше будешь

После десятков проектов и сотен часов работы с ИБ- и ИТ-командами мы поняли главное — внедрять управление безопасными настройками эффективнее небольшими шагами.

Охватить всю инфраструктуру сразу практически невозможно, так что стартуем с минимума: берем сокращенный перечень настроек и фокусируемся на критичных для каждой системы. Важно, чтобы ИТ-администраторы понимали, зачем каждая настройка нужна и сколько (конечного и разумного) времени займет вся работа. Тогда мотивации будет больше, а сопротивления меньше. Так получим реальные результаты в короткий срок, не перегружая и не демотивируя команды.

Результат должен быть в какой-либо форме ощутимым для всех участников процесса: сделал задачу, поставил галочку, закрыл тикет, заработал плюс в KPI (может, даже премию), похвалу в чате или просто чувство удовлетворения. Так мы снижаем сопротивление в команде и продвигаемся.

Сколько конкретно настроек берем на старте? Наш опыт на проектах, связанных с разработкой, внедрением и автоматизацией настроек позволил сформулировать несколько полезных принципов:

  • Используйте небольшой набор требований на старте. Для большинства систем — 30, для операционных систем — около 50 (сложно уместить всю «критику» для ОС в 30 требований).
  • Придерживайтесь принципа: «одно требование — одна настройка». Не стоит превращать каждое требование в огромный список с подпунктами.
  • Учитывайте приоритеты. Если организация должна выполнять обязательные требования регуляторов — начинайте с них. Если требований нет, берите самое критичное: пароли, доступы, логирование и аудит, шифрование и защита данных. Эти требования легче объяснить и согласовать ИТ-отделу. Никто не станет спорить, что надежная парольная политика нужна.

Автоматизация в процессе внедрения стандартов может дополнительно облегчить работу команд. Например, в наших проектах мы используем собственную платформу «Кауч», автоматизируя всю техническую часть управления безопасностью настроек. С помощью такой платформы ИТ-администратор может настроить свои ресурсы за пару кликов вместо многочасового погружения в мануалы и написания команд и скриптов.

Не расслабляемся, это только начало

Мы внедрили первые настройки, улучшили базовую защиту и готовы двигаться дальше: и 30–50 настроек — это только базовый минимум.

Далее необходимо оценивать прогресс и расширять стандарты: например, если 80% настроек по конкретному типу систем уже настроены на 80% хостов, можно смело добавлять новые. Главное подходить к этому без фанатизма: разные ИТ-администраторы двигаются с разной скоростью. В зависимости от сложности систем и личных особенностей кто-то летит вперед, кто-то занимается задачей основательно.

Так что смотрите по ситуации: тем, кто уже освоился, добавляем настроек побольше, тем, кто продолжает разбираться — добавляем меньше, помогаем при необходимости. Если что-то идет совсем плохо — останавливаемся и разбираемся в проблемах.

Как часто добавлять новые настройки? Почти все стандарты по управлению ИБ требуют регулярного пересмотра политик и документов. Оптимально будет оценивать прогресс примерно раз в 3 месяца, в любом случае не стоить затягивать более чем на год. Так и требования по пересмотру выполним, и будем двигаться к цели по оптимальному маршруту.

Первая настройка — настройка дружбы

Все упомянутое выше, безусловно, важно, но мы наконец подходим к главному фактору успеха проекта — тому, как хорошо вы «продали» задачу по внедрению стандартов безопасности в ИТ.

Если у вас уже есть дружеские связи внутри ИТ — супер. Начинайте с отдела или конкретных администраторов, с которыми хорошо общаетесь: сделайте «пилотный проект» с понятными задачами. Получилось? Отлично, теперь можно сказать «вот, смотрите, работает!» и пойти рекламировать подход другим командам.

Если таких связей нет — ищите тех, кто будет союзником. Это могут быть секьюрити-чемпионы, гики-энтузиасты или просто лояльные и ответственные коллеги. Один успешный кейс и дело пойдет бодрее.

Главное — не превращайтесь в «черный ящик», дающий указания. Объясняйте, зачем каждая настройка, почему это важно. Оказывайте помощь от теста до внедрения. И обязательно собирайте обратную связь. Только тогда получится сделать живые, рабочие стандарты, которые приносят реальный результат.

Получается простая формула: самая важная настройка в управлении конфигурациями — настройка дружбы с ИТ. Остальное уже дело техники.

Оригинал публикации на сайте CISOCLUB: "Как подружить ИБ и ИТ: внедряем стандарты безопасной настройки без боли".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Безопасность и правопорядок
95,2 тыс интересуются