Если SGRC перестает быть заметной для бизнеса, это чаще говорит не о зрелости процессов, а о потере ею управленческой ценности: система остается инструментом отчетности внутри ИБ, но не влияет на решения. Как в такой ситуации объяснить бизнесу ее роль – и что нужно изменить, чтобы SGRC снова стала рабочим инструментом, а не формальной надстройкой?
Эксперты:
- Андрей Быков, руководитель BI.ZONE GRC
- Николай Казанцев, CEO SECURITM
- Ксения Коляда, руководитель продукта R-Vision SGRC
- Мария Новикова, менеджер по развитию бизнеса R-Vision
- Роман Овчинников, директор департамента внедрения Security Vision
- Константин Саматов, эксперт BISA (Business Information Security Association)
- Иван Федоров, первый заместитель генерального директора ООО “НПЦ “КСБ”
Если видно, что SGRC теряет актуальность, но бизнесу от этого "не больно" – как это объяснить и что предложить?
Андрей Быков, BI.ZONE
Это говорит о том, что система не интегрирована в ключевые бизнес-процессы и воспринимается только как инструмент отчетности для аудита или временное решение, которое не решает реальные боли компании. Еще на этапе внедрения необходимо провести аудит, чтобы сформировать конкретные цели и понять, какие бизнес-процессы нужно автоматизировать. При таком подходе система будет действительно помогать и позволит в дальнейшем сэкономить время и ресурсы команд.
Константин Саматов, BISA
Бизнесу от SGRC всегда "не больно", так как это, как правило, инструмент работы специалистов подразделения ИБ (иногда СБ), автоматизации их задач. Если нужно защитить бюджет на сопровождение, то необходимо показать бизнесу ROI от использования SGRC, экономию ФОТ – за счет автоматизации, неполученных штрафов (отсутствие репутационного вреда) от хорошего прохождения проверок регуляторов, которому способствовала автоматизация комплаенса и т. п.
Роман Овчинников, Security Vision
Система SGRC, как и любая платформа автоматизации, должна ускорять процессы, минимизировать влияние человеческого фактора (ошибки персонала, субъективность, нехватка кадров), обеспечивать повышение прозрачности СУИБ и количественную оценку эффективности процессов ИБ, а также предоставлять хороший задел на будущее для оцифровки новых процессов и применения ИИ. В идеальном случае SGRC должна забирать данные из всех корпоративных систем и обеспечивать ситуационную осведомленность руководителей для принятия объективных риск- и дата-ориентированных управленческих решений. Если своевременно выявить, что данные в SGRC нерелевантны, а практические выводы ее работы неприменимы, то перенастройка источников данных и корректировка процессов их обработки помогут актуализировать ценность SGRC.
Ксения Коляда, R-Vision
SGRC – не продукт первого приоритета в контексте безопасности. Потребность в нем нередко возникает лишь с определенного уровня зрелости процессов, а их отсутствие имеет накопительный эффект. Поэтому в моменте бизнес действительно может не заметить негативных эффектов. SGRC стоит преподносить как инструмент, который позволит выстроить приоритеты ИБ в соответствии с целями бизнеса, рационально управлять доступными ресурсами и оптимизировать процессы. Если департамент ИБ ощущает дефицит ресурсов, а у руководства накапливается раздражение от непонимания деятельности CISO, SGRC поможет выстроить диалог и сделать процесс ИБ более видимым для всех сторон.
Заказчики часто требуют всеобъемлющий дашборд в SGRC, но потом им не пользуются. Почему это происходит и какие подходы к созданию дашбордов помогут повысить их эффективность?
Николай Казанцев, SECURITM
За каждым дашбордом (метрикой) должен лежать смысл для конкретных ИБ-процессов. За метриками должны быть закреплены ответственные. При нарушении порогов метрики должны динамически влиять на комплаенс, риски, процессы ИБ, запускать задачи, то есть являться частью процесса, а не украшением новогодней елки.
Андрей Быков, BI.ZONE
Дашборды часто не используются потому, что показывают избыточные технические детали, не связанные с целями организации, рисками и ключевыми направлениями безопасности. Эффективность повышается, когда данные отражают динамику, риски и их критичность, уровень зрелости кибербезопасности для ключевых активов и отклонения от целевых показателей. Такие показатели дают возможность сразу инициировать меры по улучшению.
Константин Саматов, BISA
Это из-за переизбытка данных (ненужные показатели), плохого интерфейса (нагромождение метрик), отсутствия интеграции в ежедневную работу и неправильных ожиданий (отсутствия опыта использования данной системы) у заказчика. Подходы – не делать всеобъемлющий дашборд, а настраивать панели по ролям. Например, для руководителя подразделения ИБ/СБ – дашборды с фокусом на стратегические риски, эффективность команды и общую защищенность, для аудитора ИБ дашборд должен акцентировать внимание на проверках, соответствии и доказательствах (свидетельствах аудита) и т. п.
Роман Овчинников, Security Vision
Действительно, такие "генеральские" дашборды востребованы при внедрении SGRC – они должны отображать информацию на стратегическом уровне, легко читаться и предоставлять значимые аналитические выводы. Важно также, чтобы с помощью функционала Drill Down можно было провалиться в данные, на основе которых дашборды были сформированы. На момент написания ТЗ или внедрения SGRC-системы заказчики могут не вполне точно представлять себе финальный образ проекта и те выводы, которые удастся получить по результатам анализа обработанных в SGRC данных. Поэтому важно, чтобы отчетность, дашборды и другие элементы визуализации могли быть перенастроены уже на этапе эксплуатации системы.
Ксения Коляда, R-Vision
Любой дашборд быстро теряет ценность, если он разрабатывался без учета реальных кейсов использования системы. Чтобы этого избежать, необходимо четко сформулировать, какова реальная цель покрываемых им процессов и какие метрики нужно регулярно отслеживать, чтобы следить за ее выполнением. Лучше начинать с менее масштабных дашбордов и не пытаться охватить все за один раз.
Иван Федоров, "НПЦ "КСБ"
Наверное, ключевой вопрос здесь не "что?" (дашборд в SGRC), а "зачем?" (как он используется). Если это красивая сводная информация для руководителя ИБ, создающая впечатление, что все вопросы под контролем – это одна история. Если информация из дашборда постоянно используется в управленческом диалоге с руководством и со смежными функциями (прежде всего – ИТ), то здесь, наверное, и проявляется долгосрочная потребность в решениях GRC-класса. В таком случае ценной будет актуальность, объективность и полнота информации на таком дашборде, гибкость настройки нужных и полезных метрик с точки зрения целей организации.
Каковы ключевые метрики (KPI) для оценки эффективности SGRC и как их адаптировать под разные отрасли и компании?
Константин Саматов, BISA
KPI адаптируют под отрасль через привязку к регуляторам, рискам и специфическим для отрасли ограничениям. Например:
- Финансы – акцент на требования ЦБ, быстрые сроки и автоматизацию.
- Отрасли входящие в КИИ – контроли под циклы АСУ ТП и методики ФСТЭК России.
- Ретейл/E-com – ПДн, поставщики, веб-уязвимости.
Контроли меняют периодичность, владельцев и виды доказательств под специфику отрасли.
Мария Новикова, R-Vision
Ключевые метрики для оценки эффективности могут быть у каждой компании свои, но необходимо сосредоточиться на следующих аспектах:
- Время работы. Насколько быстро вы проводите аудит и высчитываете риски.
- Процент автоматизации. Одна из задач SGRC – упростить жизнь и значительно сэкономить время коллегам благодаря автоматизации процессов. К сожалению, не всегда этот процент зависит только от использующегося ПО. При внедрении SGRC необходимо также провести большую работу по выстраиванию новых процессов.
- Количество времени и/или кликов для выгрузки информации по состоянию ИБ. Для директоров и руководителей в первую очередь необходимо быстро и системно получать информацию о состоянии защищенности их компании. Данный процесс необходимо сделать максимально простым и понятным для сотрудников.
Конечно, под разные отрасли экономики есть свои приоритетные KPI. Для КИИ в первую очередь – это время и количество специалистов, которые необходимы для процесса категорирования. Банкам стоит сделать упор на скорости и автоматизации расчетов по 716-П и операционных рисков. Остальным отраслям стоит сосредоточиться на законах, которые относятся к именно их специфике, и брать в расчет время на их обработку.
Николай Казанцев, SECURITM
Основные метрики:
- Количество процессов, переведенных на SGRC.
- Экономия времени на каждом из процессов за счет автоматизации.
Андрей Быков, BI.ZONE
Метрики во многом зависят от конкретной организации, но можно выделить основные: показатели остаточного риска; покрытие ключевых информационных активов средствами защиты; скорость устранения уязвимостей с учетом их критичности; доля инцидентов, обнаруженных на ранних этапах; общий уровень зрелости организации по различным направлениям кибербезопасности. Адаптация метрик зависит от специфики отрасли: в здравоохранении важны защита персональных данных и непрерывность работы медицинских систем; в энергетике – устойчивость критической инфраструктуры и изоляция технологических сетей; в розничной торговле – защита платежных данных и мониторинг каналов взаимодействия с клиентами.
Роман Овчинников, Security Vision
Для оценки эффективности SGRC можно использовать метрику оценки полноты автоматизации процессов ИБ, полноты охвата источников данных в инфраструктуре, оценивать актуальность информации в SGRC с учетом дедупликации и обогащения, результативность использования встроенных и кастомизированных качественных и количественных методик оценки рисков и моделирования угроз. Можно оценивать экономию времени, достигнутую с помощью SGRC на формирование отчетности, заполнение различных опросных листов, проведение проверок соответствия (внутренних аудитов, самооценок). Метрики, пороговые значения, индикаторы эффективности должны настраиваться в самой SGRC-системе – это поможет адаптировать их под различные сценарии применения.
Какие новые функции появятся в SGRC-системах в ближайшие 1–2 года?
Роман Овчинников, Security Vision
Большинство новых функций, скорее всего, будет связано с применением технологий ИИ в SGRC-решениях. Например, в системе Security Vision SGRC технологии ИИ используются уже сейчас для моделирования угроз и прогнозирования рисков, а в ближайших релизах мы будем применять ИИ для моделирования достижимости риска, динамического расчета индикаторов риска, автоматической оценки рисков с учетом инцидентов и свойств активов, а также появится ИИ-ассистент по обработке рисков. В ближайшие 1–2 года SGRC-системы могут стать полноценными центрами управления всеми корпоративными процессами, связанными с ИТ и ИБ, и смогут применяться для глубокой аналитики и ретроспективного поиска взаимосвязей, мониторинга инфраструктуры и контроля эффективности бизнес-процессов с учетом множества событий из самых разных источников.
Андрей Быков, BI.ZONE
Использование искусственного интеллекта для анализа данных, которые собраны GRC, и прогнозирование рисков на их основе. Помимо этого, автоматизация рутинных задач (например, обработка уязвимостей) и более глубокая аналитика. Появится также больше готовых отраслевых шаблонов, что ускорит внедрение системы, например для BI-аналитики, чтобы руководство в режиме реального времени оценивало ключевые для него факторы.
Константин Саматов, BISA
В силу большого внимания к технологиям искусственного интеллекта логично предположить, что в ближайшее время в SGRC массово начнут встраивать большие языковые модели. Собственно, на мой взгляд, они должны хорошо вписаться в системы такого рода. Как минимум выглядят уместными ИИ-ассистенты для таких систем.
Ксения Коляда, R-Vision
Мы наблюдаем тренд перехода к кросс-продуктовым сценариям. Пользователи хотят опираться на реальные данные, поступающие из внедренных ИБ-продуктов, – рассчитывать риски, приоритизировать защитные меры с учетом фактической статистики по киберугрозам и уязвимостям. Поэтому ожидается увеличение интеграций с продуктами класса SOAR и VM.