Switch language: EN|RU

Friday, November 13, 2020

The IT Roadmap for Cybersecurity by Gartner || Свежий гайд Gartner IT Roadmap for Cybersecurity.


Совсем недавно аналитическое агентство Gartner выпустило верхеуровневое руководство по построению ИБ в компаниях (The IT Roadmap for Cybersecurity (excerpt)). Предлагаю вашему вниманию кратенький обзор с моими комментариями и выводами. 
Уважаемые коллеги определяют три ключевых вопроса для каждой новой инициативы по кибербезопасности:
  1. Как она будет влиять на усиление устойчивости бизнеса и достижение целей компании, при снижении рисков
  2. Как придерживаться ориентированного на результат подхода для обоснования приоритетов и вложений в кибербезопасность
  3. Какие подразделения должны быть вовлечены
На основании опыта работы с клиентами по всему миру Gartner определяет ключевые стадии для запуска каждого нового проекта по ИБ, которые включают 5 шагов.

Следование этим шагам поможет как упорядочить движение в рамках самой активности, так и прозрачно вовлечь все заинтересованные стороны, в том числе для понимания со стороны руководства. Кратко рассмотрим каждый из указанных шагов.

Построение стратегии






Этот шаг необходим для постановки целей и приведения конкретных бизнес-кейсов, которые решает проект ИБ. Конкретные задачи таковы:
  1. Описание ключевых бизнес-приоритетов проекта (согласование с миссией), определение технологических, организационных предпосылок и угроз-драйверов
  2. Определение целей проекта, его значимости, а так же ключевых вовлеченных людей со стороны менеджмента, их ролей и ответственности
  3. Выбор конкретных мер (контролей) для реализации проекта, в соответствии со стратегией и одним (или несколькими) стандартом (фреймворком или требованием)
  4. Получение обратной связи от менеджмента, корректировка целей, утверждение дорожной карты (или иного документа) по проекту
Важным итогом этапа должно стать общее понимание целей и бенефитов проекта ИБ всех вовлеченных руководителей, включая их формальное согласование.

Разработка плана действий
Конечно, план может варьироваться в зависимости от компании и конкретного проекта ИБ, но придерживаться стоит следующих задач:
  1. Комплексный анализ безопасности: выявление уязвимостей, пентест и т.п.
  2. По итогам отчета формирование картины текущего состояния ИБ, определить, что необходимо сделать, чтобы достичь целей реализуемого проекта (см. шаг "Построение стратегии")
  3. Определение и согласование бюджета и ресурсов на проект со стороны руководства компании
  4. Разработка архитектуры безопасности и определение конкретных решений
Разработанный план позволит определить фокус и не отвлекаться на неприоритетные в рамках проекта задачи. 

Начало выполнения
Далее важно определить структуру команду и роли на проект. Задачи следующие:
  1. Оценка и выбор возможностей команды, инструментов и технологий
  2. Распределение ролей внутри команды, с обязательным процессом согласования и информирования всех вовлеченных руководителей
  3. Подтверждение необходимых для проекта компетенций у членов команды и, при необходимости, их наращивание
  4. Выбор метрик и форм отчетности для улучшения управляемости проекта
Важно отметить, что четкость распределения задач и информированность всех участников (включая руководителей) - это то, чего часто не хватает при реализации проектов ИБ.

Разработка и непрерывное повышение зрелости важных программ (процессов)
  1. Разработка процесса реагирования на инциденты
  2. Разработка процесса мониторинга и борьбы с угрозами (в том числе целевыми атаками)
  3. Внедрение процесса управления навыками кибербезопасности среди сотрудников и проведение тренингов
  4. Разработайте четкий план по отчетности и коммуникациям в случае инцидентов
Обратите внимание, что именно указанные выше процессы должны быть спланированы в обязательном порядке, про них нередко забывают при реализации проектов ИБ.

Пересмотр и оптимизация
  1. Определение способа донесения ценности (результатов) проекта высшему руководству компании
  2. Сбор и тщательный анализ метрик (см. предыдущий шаг) с целью повышения эффективности, проведения каких-либо изменений в проекте
  3. Пересмотр и переоценка нового (актуального) уровня зрелости ИБ, чтобы внести корректировки в проект
Дополнительно Gartner советую вовлекать в проекты ИБ (кроме, конечно CISO и CIO) команды со следующими ролями:
  1. Менеджера проекта со стороны ИБ (Application leader) - ключевая роль по непосредственной реализации проекта
  2. Менеджер по качеству (процессам) в компании (Enterprise architecture leader) - поможет грамотно встроить проект ИБ в общие процессы компании
  3. Менеджер по инфраструктуре (Infrastructure and operations leader) - поможет встроить конкретные элементы проекта ИБ в текущую инфраструктуру компании
  4. Менеджер по рискам (Security and risk leader) - поможет встроить проект ИБ в текущую модель управления рисками и соответствия требованиям
  5. Команда инженеров (Technical professional team) - реализует конкретные технические меры проекта ИБ, если нужно - дорабатывает архитектуру
В предложенной Gartner модели можно увидеть элементы классического цикла Деминга (Plan - Do - Check - Act), что облегчит ее встраивание в текущие процессы компании. Возможно, для кого-то модель будет банальной, но есть уверенность, что не в каждой компании (особенно SMB) реализация новых проектов ИБ до конца поставлена на "рельсы". 

Оставайтесь на светлой стороне. R.Z.

 
Recently research and advisory company Gartner has issued top-level guidance so-called The IT Roadmap for Cybersecurity (excerpt)I offer you this brief overview with my comments and conclusions. Analytics from Gartner define three key questions for the new cybersecurity initiative:
  1. How will this support business resilience and growth goals while reducing risk?
  2. How can we use an outcome-driven approach to establish cybersecurity priorities and investments?
  3. Which leaders and teams need to be involved?
Based on clients experience all around the world Gartner suggests to establish main stages for launching every new cybersecurity projecs, which include five steps:

Following these steps will help you to set objectives, to arrange activities and to engage all necessary teams. Moreover, this approach would be useful for aligning managers and all stakeholders. Let's take a look at these steps in a bit more detail.

This is necessary to set goals and identify valuable business cases addressed by the cybersecurity initiative. Specific tasks:
  1. Understand key business priorities, define program mission and vision and identify business, technology and threat drivers
  2. Identify goals, program value and key stakeholders’ roles and responsibilities
  3. Define security controls in line with organizational strategies and map them to a standardized security framework
  4. Get stakeholder feedback, define key objectives and finalize initial summary of security strategy document
An important outcome of the stage should be a common understanding of the goals and benefits of the is project for all involved managers, including their formal approval.

Obviously, plan may vary due to particular company and certain project. However it's a good practice to follow these tasks: 
  1. Conduct vulnerability assessment and penetration testing
  2. Establish current maturity baseline, define target state and conduct gap analysis
  3. Get executive or board buy-in and resource backing
  4. Develop security architecture, policy framework and solution layer
The developed plan will allow you to determine the focus and not be distracted by non-priority tasks within the project.

Before starting the project it's important to design and adjust team structure. Tasks are as follows:
  1. Integrate capabilities, tools and technologies
  2. Establish security team roles and responsibilities and identify stakeholders to be accountable, consulted and informed
  3. Develop critical competencies and train for desired of missing skills
  4. Use metrics and incentives to drive accountability among owners
I'd like to highlight that a clear tasks setting and awareness of all participants (including managers and stakeholders) is something that is often lacking in the implementation of information security projects.

Maintain accountability and assurance through governance. Selected tasks include:
  1. Develop critical incident response capability and an action plan in case of breaches
  2. Develop a program structure to monitor and combat advanced threats
  3. Instill a culture of secure employee behavior and initiate tailor training and awareness campaigns
  4. Develop advanced reporting and response and craft a communications plan for cyber breaches
Please note that the above-mentioned processes must be planned without fail, and they are often forgotten when implementing information security projects.

Communicate program value. Selected tasks include:
  1. Create a plan to communicate value to the organization and the board
  2. Track metrics and seek feedback to assess and improve program effectiveness
  3. Revisit maturity assessment to further optimization
A lot of steps are meant to draw attention for engaging managers. This is the key to success for any project, cybersecurity is no exception.

As a bonus, Gartner recommends that teams and leaders (along with CISO and CIO, of course) must be involved in cybersecurity projects in the following roles:
  1. Applications leader and team - Key partner for the CISO, assist with implementation and operation of key elements of security programs and operations
  2. Enterprise architecture leader and team - Collaborate with the CISO and other IT leaders to make sure that security strategy and architecture are aligned and incorporated into overall enterprise architecture
  3. Infrastructure and operations team and leader - Key partner for the CISO, assist with implementation and operation of key elements of security program and operations
  4. Security and risk management leader and team - Partner with the CISO to incorporate cybersecurity into overall governance, risk and compliance program and processes
  5. Technical professionals team - Design, implement, or improve and maintain security architectures, policies and procedures, monitor and evaluate ybersecurity performance, and improve it on the basis of new threats, improve skills as needed
The model provided by Gartner includes elements of the classic Deming cycle (Plan-Do-Check-Act), which will facilitate its integration into the company's current processes. Perhaps, for some, the model will be obviuos, but I'm convinced that not every company (especially SMB) has put the implementation of new information security projects on the "rails" to the end.

Stay on the light side. R.Z.

No comments:

Post a Comment