История и развитие конвергентной безопасности
Подробно описываем, как значение конвергентной безопасности менялось с годами, подчеркивая, что, хотя широко распространено мнение о преимуществах целостного подхода к безопасности, многим организациям еще только предстоит принять полностью конвергентную модель.
В недавнем исследовательском отчете Фонда ASIS «Конвергенция состояния безопасности» эта концепция определяется как «беспрепятственно работающие вместе функции управления безопасностью и рисками для целостного решения проблемы безопасности и устранения пробелов и уязвимостей, существующих в промежутках между функциями». В течение примерно двух десятилетий профессиональное сообщество безопасности активно продвигало конвергентный подход к управлению организационной физической и информационной безопасностью, который, как можно было бы разумно ожидать, к настоящему времени достиг зрелости.
Тем не менее, исследование пришло к выводу, что полностью конвергентная безопасность остается скорее исключением, чем правилом, что делает организации все более уязвимыми по мере того, как их внедрение и зависимость от цифровых технологий ускоряются. Всемирный экономический форум подчеркнул важность совместных решений киберрисков в своем Отчете о глобальных рисках, заявив: «Несмотря на то, что существует много владельцев уровня «С» (CISO, финансовый директор, генеральный директор, CRO, управление рисками), каждый из этих владельцев имеет разные, но связанные интересы и, к сожалению, часто не интегрирует риск или эффективно не сотрудничает в его управлении.
Исторические точки
С технической точки зрения, на заре корпоративных вычислений, когда использование компьютеров в организациях в основном ограничивалось центрами обработки данных, а их защита была сосредоточена на защите физической инфраструктуры, конвергентная безопасность была нормой. Развитие персональных компьютеров, новых типов персонального программного обеспечения и распространение технологии микросхем привело к их повсеместному распространению в организациях с начала 1980-х годов. Защита ИТ-систем потребовала дополнительных технических мер безопасности, и именно с этого момента информационная безопасность начала развиваться как отдельная бизнес-функция и профессиональная специализация.
В то время как основные преимущества развития ИТ первоначально были связаны с внутренней эффективностью организаций, оно стало все более важным для реализации стратегических бизнес-целей, например, обеспечение интеграции систем поставщиков и клиентов и вопрос для высшего руководства. В 1990-е годы информация и поддерживающие ее ИТ-системы были признаны критически важными активами бизнеса и дали толчок развитию практики и стандартов информационной безопасности, включая предшественника семейства международных стандартов информационной безопасности ISO 27000.
С тех пор вычислительная мощность увеличилась во много раз, повсеместное распространение цифровых устройств предложило компаниям новые способы взаимодействия с клиентами, а цифровые инновации, такие как облачные вычисления, Интернет вещей (IoT) и технологии искусственного интеллекта, меняют то, как бизнес функционирует. Проблемы, с которыми столкнулись организации в связи с пандемией COVID-19, и необходимые корректировки, такие как быстрое расширение работы на дому, ускорили внедрение цифровых технологий на несколько лет и потребовали многочисленных адаптаций к организационной безопасности.
Концепция Industrial IoT (IIoT) вошла в деловой лексикон для обозначения ее применения в производственных и промышленных процессах, поднимая риски для критически важной инфраструктуры на новый уровень. Эта безотлагательность была признана правительством, которое создало отдел по кибербезопасности и безопасности инфраструктуры, а также в публикации руководства по конвергенции. Понимание каскадного воздействия на взаимосвязанную киберфизическую инфраструктуру и рассматривает «культуру инклюзивности» как жизненно важную для успешного сближения функций безопасности и «одействия общению, координации и сотрудничеству.
Отчет о безопасности в конвергентном мире ИТ/ОТ подчеркивает масштаб проблемы критической инфраструктуры, утверждая, что кибербезопасность операционных технологий (OT) во многих отношениях отстает от уровня зрелости ИТ-безопасности примерно на десятилетие. Традиционно ИТ и промышленные системы управления (ICS) представляли различные риски и приоритеты управления рисками, включая конфиденциальность, целостность и доступность в информационных системах, а также безопасность и доступность в ICS. Жизненный цикл промышленного оборудования (а часто и программного обеспечения) может исчисляться десятилетиями, и такое оборудование очень дорогое, что значительно усложняет процесс обновления. Также сложно создавать виртуальные версии, на которых можно запускать тесты, поэтому тестирование обычно приходится проводить на реальных рабочих устройствах во время запланированных простоев.
Популярность растет, но проблемы остаются…
В настоящее время хорошо известно, что организациям необходимо комплексно оценивать риски, выявляя и устраняя уязвимости, вызванные все более взаимосвязанными и конвергентными угрозами. Серьезной проблемой при разработке и внедрении конвергентной системы безопасности является то, что не может быть универсального подхода, учитывая различные требования различных рынков, отраслей и профессий. Необходимы дополнительные исследования различных моделей и подходов, и специалисты по безопасности должны регулярно обновлять свои знания о новых подходах к управлению рисками безопасности в целом и подходах конвергенции в частности.
Наем людей с нужным набором навыков, особенно необходимых стратегических, деловых и межличностных навыков, был определен в отчете Фонда ASIS как крайне важный. Его исследование указало на путаницу в отношении ролей и обязанностей, линий подчинения и коммуникации, а также конфликты между конвергентными сотрудниками как постоянные препятствия на пути к эффективному внедрению конвергенции.
В результатах качественного исследования также был сделан сильный акцент на наборах практических навыков, подчеркивая при этом важность обеспечения того, чтобы такие навыки были хорошо внедрены в команды организационной безопасности и в более широкую профессию безопасности, чтобы организации не остались незащищенными, если ключевые сотрудники уйдут.
Возможно, шаги правительственных организаций, таких как отдел по кибербезопасности и безопасности инфраструктуры правительства, которые рекомендуют кибер- и физическую конвергенцию, будут способствовать более систематизированному подходу. В то же время специалисты по безопасности и представители других профессий должны активно развивать необходимые знания и навыки, чтобы обеспечить организационную поддержку конвергенции и обеспечить эффективное управление безопасностью в часто разрозненных подразделениях внутри организаций.
