В портфеле GamingWorks есть игра Oceans99™, посвященная управлению информационной безопасностью. Согласно сценарию, владелец токийского банка организует выставку в токийском музее, выставляя три очень известных и дорогих экспоната, которые привлекают внимание криминальной группы Oceans99. Задача команды заключается в успешной доставке объектов в токийский музей так, чтобы не допустить кражу.
Пол Вилкинсон поделился на своей странице в LinkedIn весьма любопытными наблюдениями от недавно проведенной симуляции и уроками, которые усвоила команда, которые по большей части, конечно, одинаково применимы к любой области управления ИТ.
"Сначала команда выполняла упражнение по идентификации угроз, уязвимостей и рисков. При этом никто даже не заглянул в политику безопасности, чтобы ограничить охват рисками информационной безопасности — падения самолетов, наводнения, ураганы и землетрясения вскоре стали преобладать в обсуждении. Один из участников выполнял роль аудитора и использовал чеклисты из Resilia. Однако команда (в основном – бизнес-менеджеры) считала аудитора и, более того, даже менеджера по безопасности скорее препятствиями для выполнения работы, что уводило команду далеко от реальных проблем с ИБ.
Когда бизнес-менеджеры осознали, что игра в первую очередь про ИБ, они начали активно вкладываться в защиту ИТ-систем, игнорируя тот факт, что информация также является критичным активом. В итоге карты маршрутов доставки остались не защищенными, что могло привести к многомиллионным потерям и итоговому провалу проекта.
Аудитор сообщал об отклонениях, но бизнес-менеджеры быстро остудили его пыл вопросом «Можно ли в этой игре уволить аудитора?». Предложения по контрмерам менеджера по безопасности проходили с трудом из-за неспособности подготовить адекватные бизнес-обоснования.
Естественно, что в Oceans99 злоумышленники могут эксплуатировать неизвестные менеджменту уязвимости, что требует процедур реагирования и восстановления, о которых участники игры, конечно, также забыли.
В конце игры участники пришли к следующим заключениям:
- Каналы коммуникации должны быть формализованы, необходимо понимание, кто в какой информации нуждается и для принятия каких решений
- Ответственность ролей должна быть полностью прояснена, необходимы матрицы RACI
- Больше внимания командной работе: должно быть понимание, как согласовывать решения, как разрешать противоречия
- Требуется сквозное понимание каждого проекта/процесса, особенно в контексте бизнес-потребностей и ожидаемых результатов
- Необходимо фиксировать идеи (полученные знания, опыт и предложения по совершенствованию)
- Необходимо как можно чаще собираться всей командой для обмена опытом
- Требуется подход по приортитизации рисков, контрмер, проектов, инициатив, в основе которого должны лежать критичность актива и бизнес-влияние
- Срочность почти всегда крайне субъективна: уровень срочности необходимо связать с бизнес-контекстом
- Каждый сотрудник компании играет роль в обеспечении ИБ
- Меньше доверия, больше подозрения: необходима более широкая осведомленность об уязвимостях и прочих аспектах безопасности
- Системный подход, правильный выбор уровня авторизации различных решений – самое важное для достижения результата
- Анализировать обратную связь: люди в проектах часто неспособны взглянуть на результаты со стороны и увидеть эффект, слабые стороны и возможности
Как видно, основные выводы, которые сделала команда, едва ли связаны с технологиями; обеспечение ИБ – в первую очередь про людей, их отношение к работе, культуру и поведение".
