Не всі виклики безпеці пов’язані із загрозами, які намагаються прямо (чи опосередковано) скомпрометувати пристрої, користувачів та дані. Насправді серед найскладніших і найнеприємніших проблем є ті, що пов’язані з ризиками, які не вирішуються через бюджетні питання, що зводять до мінімуму здатність організації ефективно захищати свої ресурси. Неможливість продемонструвати справжню цінність засобів контролю безпеки за допомогою традиційних протоколів ROI так само складна і так само розчаровує… але так не повинно бути.

Ласкаво просимо до цієї серії блогів, в яких ми висвітлюємо головні виклики безпеці, з якими стикаються організації, та обговорюємо, як їх подолати. У цій серії з п’яти статей, кожна з яких буде присвячена конкретній проблемі, ми надамо рекомендації щодо того, як знайти метод(и), який(і) підійде(ють) саме вам, задовольняючи при цьому унікальні потреби вашої організації, щоб піднятися над кожним з цих викликів.

Враховуючи різні потреби, вимоги, бюджетні обмеження та регіональне розташування кожної організації, розглядайте наведені тут рекомендації як менш директивні (тобто, ви повинні робити саме так), а скоріше як перелік потенційних варіантів – разом з їхніми сильними та слабкими сторонами – що дозволить організаціям та адміністративним командам, які їх підтримують, розробити стратегію безпеки, яка найкраще підійде саме для них, водночас протидіючи загрозам, атакам та проблемам сучасного ландшафту загроз, які найбільше впливають на їхні бізнес-операції, процеси, користувачів та, звісно, на дані.

У попередньому блозі ми обговорили виклики, з якими стикаються організації, коли йдеться про підготовку до загроз кібербезпеки, що надходять ззовні, та протидію їм.

У цьому останньому записі ми зосередимося на тому, як бюджетні обмеження можуть обмежити захист критично важливих бізнес-даних від кіберзагроз, а також на труднощах, з якими стикається ІТ-відділ при правильному обліку даних про рентабельність інвестицій (ROI), що стосуються витрат на безпеку в різних категоріях, наприклад, таких як

  • Консолідація постачальників
  • Автоматизація
  • Промо бізнес-плану
  • Життєвий цикл пристроїв і додатків

Перш ніж ми заглибимося в тему, підготуймо підґрунтя для нашого обговорення, пояснивши трохи про бюджетні обмеження та простий погляд на те, як вимірюється рентабельність інвестицій, а потім пояснимо, як застосування цих традиційних показників до витрат на кібербезпеку часто призводить до неправильних оцінок обох категорій.

Бюджетування 101

Безпека може коштувати дорого. Це, мабуть, одне з найбільших применшень в будь-якій галузі. Чому ми так говоримо? Це і проста математика, і складні для передбачення розрахунки, засновані на реальних авансових витратах (перше), а також спроба передбачити розмір збитку, який може бути завдано організації, якщо вона стане жертвою атаки.

Іншими словами, це наполовину математика, наполовину віщунство.

Один долар = один долар

Цей розділ стосується виключно математичної частини. Тут вартість засобів контролю безпеки, таких як ліцензії MDM для управління пристроями, програмне забезпечення для захисту кінцевих точок від шкідливого програмного забезпечення та безпечне підключення користувацьких пристроїв до ресурсів компанії за допомогою хмарних ідентифікаційних даних, є простим процесом.

Виконуючи прості арифметичні дії, ми додаємо по одній ліцензії Jamf Pro + Jamf Protect + Jamf Connect, щоб визначити вартість захисту одного пристрою за допомогою Trusted Access. Далі вам залишається лише помножити вартість ліцензій на кількість пристроїв, якими ваша організація бажає керувати, і ви отримаєте загальну суму. Бачите? Ми говорили, що це просто.

Один долар ≠ один долар

Ось де бюджетування стає менш зрозумілим. Оскільки при визначенні загальних витрат організації на безпеку враховуються не лише витрати, для задоволення унікальних потреб вашої організації можуть знадобитися інші типи засобів контролю безпеки. Насправді, рекомендований спосіб точно визначити рівень ризику, з яким стикається інфраструктура вашої організації, полягає в тому, щоб виконати оцінку ризиків для кожної одиниці критично важливого обладнання, даних і пристроїв.

Таким чином, ви не тільки визначите типи ризиків, з якими стикається ваша організація, але й зрозумієте серйозність кожного типу ризику, а також визначите критичність відповідного ресурсу. Зрештою, ці елементи створюють картину ризику, як він впливає на організацію, дозволяючи визначити, які засоби контролю необхідні для найкращого зміцнення їхньої системи безпеки відповідно до їхнього апетиту до ризику.

ROI 101

Безпека може коштувати дорого. Ми повторюємо це тут для додаткового акценту, оскільки точне визначення рентабельності інвестицій організації вимагає більше, ніж просто визначення конкретної цифри або цільового відсотка, який слугує дивідендами або “повертається” в обмін на придбання певного засобу контролю безпеки або послуги.

По правді кажучи, є кілька способів, за допомогою яких організація може досягти або перевищити свій показник рентабельності інвестицій, навіть не проводячи реальної кількісної оцінки бюджету, витраченого на захист безпеки за допомогою традиційних моделей рентабельності інвестицій, тому що, простіше кажучи, безпека не розглядається через цю призму до тих пір, поки не станеться інцидент. Лише тоді деякі організації усвідомлюють справжню цінність своїх витрат на пом’якшення загроз кібербезпеки, наприклад, тих, що призводять до витоку даних, як повернення інвестицій в безпеку.

Скільки коштує порушення безпеки?

Згідно зі звітом IBM “Вартість витоку даних у 2022 році”, середня вартість витоку даних у світі становить $4,35 млн. Для організацій, розташованих у США, ця цифра зростає більш ніж удвічі – до $9,44 млн. А якщо ваша організація працює у сфері охорони здоров’я, ця цифра зростає до $10,10 млн.

Чи існують інші фактори, які можуть збільшити вартість?

Одним словом: так.

Ці фактори розглядаються як винятки, а не як правило, тобто організації повинні розглядати їх як змінні, які можуть вплинути на них (але можуть і не вплинути). Через це ці потенційні можливості не враховані у витратах, наведених вище у звіті IBM. Незважаючи на це, ці змінні можуть призвести до різкого зростання витрат на атаки та витоки даних. Ось деякі приклади:

Порушення нормативних вимог: На організації можуть бути накладені штрафи, включаючи цивільну та/або кримінальну відповідальність, якщо буде встановлено, що вони порушують нормативно-правові норми через нездатність забезпечити безпеку захищених даних.
Витік службових даних/інформації про інтелектуальну власність: Витік будь-яких даних може створити додаткові фактори ризику для організації. Витік службових даних або ІВ може збільшити витрати кількома способами, які впливають на бізнес-операції, наприклад, впливаючи на потоки доходів.
Втрата ділової репутації: Втрата репутації в очах громадськості також може мати негативний вплив на доходи організації. У деяких випадках сукупні втрати були настільки приголомшливими, що бізнес не в змозі відновитися.

Рентабельність інвестицій в безпеку

Хоча організаціям варто було б переглянути свій підхід до бюджету на безпеку та розрахувати рентабельність інвестицій, є речі, які можна зробити, щоб гарантувати, що кожен витрачений долар буде ефективно використаний. Нижче ми виділили деякі з найбільш поширених категорій, в яких оптимізація поєднується з ефективністю для побудови більш надійної системи безпеки.

Консолідація постачальників

Деякі рішення викликають великий резонанс завдяки терміну “єдине вікно”. Хоча теоретично можливість доступу до всіх ваших інструментів з єдиного центру здається вигідною, вона має застереження, яке часто виявляється лише після міграції вашої організації – не всі функції, операційні системи або пристрої можуть підтримуватися в повному обсязі.

Консолідація постачальників і рішень безпеки, безумовно, має місце в зменшенні бюджетних проблем, одночасно надаючи ІТ-спеціалістам і службам безпеки спрощені засоби для виконання завдань, пов’язаних з управлінням і безпекою. Але якщо компроміс на користь спрощення управління означає, що деякі засоби захисту будуть підтримуватися із затримкою або ніколи не будуть підтримуватися в повному обсязі, то заощаджений час на управлінні пристроями обернеться збільшенням ризиків з боку безпеки, що в довгостроковій перспективі призведе до дорогого компромісу.

Інакше кажучи, управління пристроями і безпеку краще розглядати як дві половини одного цілого. Щоб забезпечити комплексний захист кінцевих точок, робочі процеси управління повинні дозволяти адміністраторам ефективно керувати своїми пристроями, включаючи управління актуальними виправленнями і застосування профілів конфігурації – і це лише деякі з критично важливих процесів життєвого циклу.

Аналогічно, забезпечення управління пристроями відповідно до найкращих галузевих практик – це дуже добре, але без видимості стану здоров’я пристроїв і можливості визначити, коли кінцеві точки вийшли з-під контролю, робочі процеси, призначені для усунення інцидентів, не знатимуть, як забезпечити відповідність, залишаючи вектор атаки відкритим для використання.

Організаціям важливо усвідомлювати, що не існує панацеї від усіх проблем, тому партнерські відносини мають вирішальне значення для успіху вашої стратегії безпеки. Але якщо мати забагато партнерів фінансово не вигідно, то замало партнерів може наразити організацію на ризик через брак підтримки.

Який вихід? Співпрацюйте з найкращими у своєму класі рішеннями для платформи, яку вам потрібно повністю підтримувати. Для пристроїв Apple, Jamf спеціально розроблений для забезпечення повної підтримки пристроїв і функцій macOS, iOS, iPadOS і tvOS – все з підтримкою в той же день – надаючи організаціям спокій, що пристрої повністю захищені, і що зазначені засоби захисту можуть бути розгорнуті за вашим розкладом, а не за чиїмось іншим.

Автоматизація

“Грааль” адміністраторів скрізь і всюди! Автоматизація ілюструє суть моєї давньої мантри “працювати розумніше, а не важче”. Це переконання, при правильному застосуванні, дозволяє адміністраторам не тільки робити більше з меншими зусиллями, але й, як мені подобається думати, витрачати менше, отримуючи при цьому більше. А кому не подобається концепція отримання більшого за менші кошти?

Дозвольте мені пояснити. ІТ та безпека зазвичай працюють як окремі команди зі своїми обов’язками, проте вони можуть і працюють разом, щоб захистити ресурси від загроз. Розглянемо сценарій організації, яка прийняла модель BYOD з десятком користувачів, які використовують свої особисті пристрої для роботи. Ці користувачі є частиною розподіленої робочої сили, що працює віддалено. Як частина команди ІТ/безпеки, одна з ваших ролей полягає в тому, щоб переконатися, що на кожному пристрої встановлені виправлення і що користувачі вручну вмикають застарілу VPN щоразу, коли вони підключаються до ненадійних бездротових мереж.

Хоча дванадцять пристроїв, здається, не становлять значних труднощів в управлінні, значна відстань між вами, адміністратором, і кожним з користувачів, яких ви підтримуєте по всьому світу, робить цю задачу надзвичайно складною для виконання вручну. Настільки складною, що вона межує з неможливістю, оскільки не існує науково обґрунтованого способу контролювати кожного користувача особисто одночасно.

Однак, впровадження рішень MDM і Zero Trust Network Access (ZTNA) дозволить їм виконувати важку роботу з моніторингу стану пристроїв в режимі реального часу, а інтеграція обох рішень забезпечить автоматизовані робочі процеси, які виконують політики для усунення проблем з дотриманням нормативних вимог при їх виникненні. У цьому прикладі адміністратор може легко розгорнути масові оновлення програмного забезпечення, щоб підтримувати пристрої в актуальному стані. Заміна застарілої VPN на сучасну технологію ZTNA дозволяє управляти на основі політик, щоб забезпечити безпечне мережеве з’єднання кожного разу, коли користувач запитує доступ до бізнес-ресурсів, автоматично маршрутизуючи захищені ресурси через зашифрований мікротунель – навіть якщо користувач забув увімкнути його вручну.

Час, заощаджений адміністратором, дозволяє йому переключити свою увагу на інші, більш важливі питання, які можуть бути вирішені без його участі, таким чином, витрачаючи менше зусиль, але отримуючи більше часу.

Життєвий цикл пристроїв і додатків

Ще одним важливим аспектом, який безпосередньо пов’язаний з бюджетом організації, є життєвий цикл пристроїв і додатків. Зокрема, те, як розгортання нових пристроїв узгоджується з постійним управлінням кінцевими точками та програмами, що використовуються користувачами для продуктивної роботи, має безпосередній вплив на безпеку пристроїв і загальний стан безпеки в організації.

У наведеному вище прикладі одинокий адміністратор повинен стежити за тим, щоб на пристроях були встановлені виправлення, а запити на доступ до захищених бізнес-ресурсів надходили тільки через безпечні віддалені з’єднання. Давайте трохи відмотаємо час назад і припустимо, що організація вирішила стандартизувати використання комп’ютерів Mac як бажаної платформи. Вона закупила ноутбуки MacBook Pro і доставила їх додому кожному користувачеві. Раніше ІТ-спеціалістам довелося б спочатку отримати ноутбуки, щоб налаштувати їх, а потім відправити кожному віддаленому користувачеві або просто поїхати в кожну локацію, щоб вручну і фізично налаштувати кожен пристрій.

Але це занадто дорого, чи не так? Так, це так – і в грошах, і в часі. Набагато кращим, ефективнішим і безпечнішим методом забезпечення пристроїв є розгортання “без дотику”. Використовуючи Apple як надійну основу, організації можуть скористатися перевагами Apple Business Manager (ABM) або Apple School Manager (ASM) для навчальних закладів, щоб встановити початкові конфігурації для кожного пристрою, забезпечуючи плавну та безпечну передачу до MDM для реєстрації. Далі MDM виконує конфігурацію Mac, включаючи встановлення програмного забезпечення та налаштування параметрів безпеки, а також надання хмарних облікових даних, щоб пристрій був готовий до роботи кінцевого користувача за лічені хвилини після його ввімкнення.

Процес розгортання пристрою за принципом “нульового дотику” виглядає наступним чином:

  1. Відкрийте коробку
  2. Увімкніть пристрій
  3. Крок 3 відсутній

Коли налаштування пристроїв повністю автоматизовано, а розгортання виконується самими користувачами, у адміністраторів Mac звільняється час для керування програмами та оновленнями, чи не так? Неправильно… ці процеси також можна і потрібно автоматизувати, щоб звільнити ваші руки та зробити ваших користувачів щасливими.

Використовуючи зв’язок з ABM/ASM та вашим рішенням MDM, закупівля та розгортання додатків спрощується завдяки прямому підключенню до Apple App Store. Керовані програми або ті, що розгортаються організацією, легко налаштовувати, а ще легше встановлювати на пристрої, зареєстровані у вашому MDM. Оскільки ці програми централізовано розміщуються в Apple, нові версії вже стоять у черзі на оновлення на всіх ваших пристроях – адміністраторам не потрібно втручатися.

Користувачі Jamf мають туз у рукаві, оскільки наші інсталятори додатків надають таку ж функціональність, як і додатки сторонніх розробників, за винятком того, що вони поширюють цю функцію на додатки сторонніх розробників, щоб спростити розгортання цих пакетів, отриманих від самих розробників і керованих Jamf.

В той час як розгортання та оновлення додатків від виробників і сторонніх розробників можна автоматизувати, каталог самообслуговування Jamf пропонує додаткову гнучкість, щоб надати кінцевим користувачам більшу автономію в управлінні своїми пристроями. За допомогою Self Service адміністратори Jamf можуть попередньо авторизувати програми, пакети, налаштування та конфігурації для всіх зацікавлених сторін, дозволяючи їм отримувати необхідне програмне забезпечення саме тоді, коли воно їм потрібно. Не потрібно звертатися до служби підтримки та отримувати дозволи від ІТ-спеціалістів – просто завантажте те, що вам потрібно, з безпечного, захищеного та налаштованого репозиторію і продовжуйте роботу, не турбуючись про безпеку файлів або цілісність інсталяційних пакетів.

Скорочення кількості запитів до служби підтримки + спрощення розгортання як апаратного, так і програмного забезпечення + надання кінцевим користувачам можливості залишатися продуктивними з будь-якого місця, в будь-який час і через будь-яке з’єднання = команди ІТ/безпеки, які можуть зосередитися на наданні кращого сервісу і більшої безпеки без тягаря необхідності вручну торкатися або бути фізично присутніми при виконанні звичайних завдань.

“Si Vis Pacem, Para Bellum”

Ця фраза в перекладі з латинської означає: “Якщо хочеш миру, готуйся до війни”. Фраза була адаптована протягом історії, але спочатку була написана в четвертому або п’ятому столітті нашої ери Публієм Флавієм Вегецієм Ренатом у його трактаті “De Re Militari” (“Про війну”).

Вона передає розуміння того, що для того, щоб зберегти мир, часто існують необхідні умови, які забезпечують його збереження. У цьому контексті, коли йдеться про кібербезпеку, необхідною умовою є здатність захистити свої пристрої, користувачів і дані від зловмисників.

Незважаючи на складність кількісної оцінки рентабельності інвестицій за допомогою традиційних моделей, можливо, краще розглядати її через призму інших потреб, які забезпечують превентивну допомогу, хоча ми навряд чи коли-небудь зможемо її реально використати.

Як приклад, я хотів би звернути вашу увагу на страхові поліси. Це не тільки важливо, але в більшості випадків є законною вимогою отримати страховку, щоб захистити своє житло, машину і навіть здоров’я. Ми сплачуємо страхові внески, часто щомісяця. Ми сплачуємо внески, часто щомісяця, в обмін на можливість того, що якщо з кимось із застрахованих щось трапиться, страхова компанія втрутиться і покриє певний відсоток фінансових втрат, понесених через нещастя. Дехто все життя платить за автострахування, але жодного разу не подає заяву на відшкодування збитків. І хоча є ті, хто вважає це непотрібними витратами, є й ті, хто – особливо ті, хто пережив страшний і невдалий сценарій автомобільної аварії – безумовно, вдячні за те, що страховий захист, за який ми платили, полегшить тягар у важкі часи.

Те ж саме стосується і засобів контролю безпеки, впроваджених для захисту ресурсів. Вони не закладаються в бюджет, не закуповуються і не налаштовуються для отримання певної фінансової вигоди або конкретного показника рентабельності інвестицій – це робиться для того, щоб зменшити ризик або, принаймні, мінімізувати наслідки від цього ризику. Кібербезпека часто не надає таких показників, які можна було б чітко позначити в бізнес-операціях. На перший погляд, вони можуть лише бачити, що їхні витрати на безпеку становлять X доларів, а рентабельність інвестицій – Y, що зменшує дохід на X доларів.

Але що робити, коли трапляється інцидент з безпекою?

Це великий вирівнювач. Не те, щоб хтось хотів стати жертвою порушення безпеки або навіть спроби атаки, але це дійсно ставить бюджет на безпеку в перспективу, так само, як у прикладі зі страховою премією, наведеному вище.

Якщо ваша організація витрачає X на контроль безпеки, а рентабельність інвестицій становить Y, то в традиційних моделях дохід зменшується на суму X. Однак ІТ-відділи та служби безпеки можуть отримати інформацію про стан пристроїв і створювати звіти на основі телеметричних даних, які детально описують, які пристрої захищені і коли, а також коли відбулися атаки і до чого вони намагалися отримати доступ – що було скомпрометовано і чому вдалося запобігти.

Маючи таку інформацію, організації мають дані, необхідні для визначення того, скільки атак було здійснено та ефективно зупинено. У поєднанні з поточною оцінкою ризиків, чітке розуміння того, скільки атак було зупинено, трансформується в дохід, який вдалося врятувати від використання:

  • відновлюватися після витоку даних
  • відновлюємо кінцеві точки, які були скомпрометовані
  • замовити екстрену підтримку ІТ/Сек’юріті команди
  • оплатити регуляторні штрафи
  • покриваємо судові витрати, пов’язані з цивільною/кримінальною відповідальністю
  • надаємо послуги жертвам витоку PII
  • придбати засоби контролю кібербезпеки для пом’якшення наслідків поточних/майбутніх атак.

Озброївшись цією інформацією, організації тепер можуть більш точно розрахувати рентабельність інвестицій, оскільки зможуть врахувати існуючі та додаткові ризики, пов’язані з системою безпеки організації, а також додаткові витрати, пов’язані з кожною загрозою, від якої вдалося захиститися. Якщо взяти до уваги цифри, наведені вгорі цього документа, що стосуються вартості звіту IBM про витік даних, ROI може здатися несуттєвим у порівнянні з середньою вартістю витоку в 9,44 мільйона доларів США на один витік даних. Крім того, якщо врахувати середню вартість плюс будь-які інші додаткові витрати, пов’язані з відповідальністю за порушення, включаючи втрату репутації, це дійсно змушує замислитися про бюджетування безпеки в перспективі.

Наважуся сказати, що кібербезпека посідає гідне місце за бізнес-столом, чи не так?

Оригінал статті на сайті Jamf 

Універсальна бізнес форма