Илья Борисов
Менеджер по ИБ регионального кластера СНГ в ThyssenKrupp Industrial Solutions
  • Видео
  • Аудио
  • Тезисы
  • Видео
  • Аудио
Код ИБ 2020 | Нижний Новгород
15 октября 2020, Нижний Новгород, Росиия
Код ИБ 2020 | Нижний Новгород
Запросить Q&A
Видеозапись
Как эффективно управлять ИБ в условиях ограниченных ресурсов?
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
В избранное
19
Мне понравилось 0
Мне не понравилось 0
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
  • Описание
  • Расшифровка
  • Обсуждение

О спикере

Илья Борисов
Менеджер по ИБ регионального кластера СНГ в ThyssenKrupp Industrial Solutions

10 лет опыта работы в области обеспечения информационной безопасности крупного международного промышленного концерна. Основные компетенции лежат в области риск-менеджмента, выстраивания процессов ИБ, коммуникаций и повышения осведомлённости.Спикер профильных конференций, автор и преподаватель курсов по информационной безопасности.В настоящее время занимает должность менеджера по информационной безопасности по странам СНГ международной компании thyssenkrupp Industrial Solutions.

Перейти в профиль

О докладе

Тематика: Информационная безопасность


Поделиться

Добрый день коллеги я к сожалению не могу вас видеть надеюсь что вы меня Видите Видите презентацию Как уже Ольга сказала вариант презентацией который накладка которая сказывался на коды биопрофи и я постараюсь уложиться 20 20 минут О'кей Я хочу поговорить о том, Каким образом управлять безопасностью в нынешних условиях, когда есть проблемы с ресурсами. секундочку прощения так когда готовился Я нашёл свою старую презентацию от февраля 2016 года в которой были перечислены факторы которые негативно влияют на

работу служб Да это падение курса национальной валюты падение доходов компаний сокращения бюджетов найти IP и рост рисков и угроз собственно то что мы наблюдаем четыре с половиной года спустя абсолютно то же самое да то есть падение курса валюты Что делают многие для нас гораздо более дорогими нас зарубежные Ну собственно И как мы видим отечественный вендер тоже пользуется падение доходов и ограничений как следствие сокращения бюджетов на это и рост рисков угроз просто потому что меняется модель работы в том числе переход на удаленку

да то на самом деле можно сказать что мы живем в состоянии такого от перманентного кризиса Ну а кризис собственно говоря выглядит большинстве случаев вот так вот как с этим жить а то есть как жить с тем когда не хватает ресурсов не хватает денег срочно нужно повышать эффективность очень простой ответ Давайте посмотрим как можно повышать эффективность в области управления и B если мы говорим о классическом во взгляде ноябре который включает в себя людей процессы технологии А давайте начнем с технологией немного с

экономики можно сказать Что На протяжении последних Но скажем лет наверное 5 Apex То есть это которые не являются Да капитальными и сервисы с такой моделью фактически захватывают рынок причём это будет с двух сторон то есть и есть спрос от компании потому что Апекс гибкий и есть желание вендоров продавать именно продукты по подписке потому что это такой стабильный пришёл а то есть прогнозируемый доход Что улучшает значит планирование Естественно для продавца поставщика сервиса это тоже

очень удобно поэтому видимо блока поэтому мы видим его синтез сервис А это данность и стоит отметить что в условиях неопределенности А сейчас мы видим неопределенность Апекс действительно более более выглядит выигрышным вариантом подписки да В первую очередь за счет гибкости но стоит отметить что благодаря большинство вендоров который предлагает решения по подписке действительно не только скажем так экономически бьют конкурентов модели но и функционально если посмотреть на

современные облачные сервисы по обеспечению безопасности зачастую и функции действительно просто поражает и добиться подобного на он прямо решениях Ну просто сложно да то есть нужна экспертиза нужны деньги нужны инвестиции нужно кучу времени второй Аспект который наверное все говорят уже десятилетиями Но которые по-прежнему актуален Да это процент утилизации на суше установленных уже используемых продуктов как правило используется 20 солдата есть и такие скажу так закрытие насущных проблем

то есть появилась какая-то задача купили продукт закрыли проблему да то что позволяет делать гораздо больше чем та задача которую покупался зачастую забывается Поэтому в условиях кризиса у своих ограниченных ресурсов можно пересмотреть свой портфель продуктов по информационной безопасности по на это и посмотреть нет ли возможности реализовывать необходимы дополнительные решения просто-напросто теми же средствами за счет дополнительного функционала безусловно

не всегда это дополнительный функционал также удобен как в отдельных решениях но времена такие что иногда уже нет вариантов как бы говорить об удобстве да Тогда нужно решать задачу то же самое касается на самом деле регулятор реки который я очень люблю этот сайт с моделями зрелости есть модель зрелости для антивирусных систем в частности если мы из неё возьмём только 2 уровнях интеграция два аспекта это интеграция обнаружения Да мы видим что существует как минимум четыре уровня все из них формально

соответствует требованиям законодательства при реализации антивирусной защиты Однако мы понимаем что каждый из Ура Это не только дополнительные возможности но и дополнительные затраты и в каждом конкретном случае нужно хорошо понимать Действительно ли организация готова И в частности служба идти на работе Вот На таком уровне зрелости или это будет избыточно потому что действительно разница зачастую между уровнями это разве и порядке параллельно с этим стоит отметить что вендоры предлагают огромный Пласт решений которые

продаются как решение с интеллектом до решение с глубоким машинным обучением и вот то что по сути является такими да то есть маркетинговый шум очень много маркетинга шума то есть на данный момент Можно сказать что безусловно решение с новыми технологиями они есть и у них есть на самом деле положительные отзывы но говорить о том что именно вам или вообще рынку масса нужны эти решения не стоит зачастую вполне можно обойтись сторми Если вы видите после например пилота что решение эффективно Да ну

надо брать но опять же повторюсь Вот именно сейчас возможно нет никакого смысла переплачивать за скажем так поле современные более продвинутые решения непонятно эффективностью а что что ещё делать чтобы сэкономить на технологиях Ну в первую очередь использовать решение с открытым кодом решение бесплатные или по подписке freemium да то есть с моделью когда есть некие ограничения реклама или ещё что-то скрипты потому что Ну на самом деле один из самых недооцененных инструментов сейчас с помощью скриптов можно достаточно сильно продвинуть свою собственную

экспертизу области и B Да и решения причём сами сами скриптовые интерпретаторы бесплатная соответственно существуют огромные библиотеки в первую очередь Наверное это стоит отметить гитхаб Ну и ничто не мешает смотреть в сторону импортозамещения на самом деле можно там спорить да а ты о том насколько импортозамещение эффективно в том числе экономические но Факт есть факт Особенно с учетом курса лишение отечественных вендров иногда могут быть действительно привлекательным

Да ну и ещё есть куча случаев Почему можно получить договориться но опять же это то на что точно стоит посмотреть но и XL XL не стоит забрасывать Excel по-прежнему один из любимых инструментов для аналитики вот Хотя он успешно выступает поляну на скриптам что переложить чуть-чуть более практичную плоскость Вот пример выборка тех решений которые в общем-то мы используем у себя VK они все практически распространяются по свободной модели есть коммерческие версии есть полный опять же коммерческий но в

целом вполне вполне можно с этим работать безусловно это наверное не основная Нет она что мы делаем ставку по-прежнему доля коммерческих выше Но это крайне крайне полезный и нужный инструмент Я думал больше чести них вы знаете отдельная упомяну гитхаб отдельно упомянуть пинка стол те кто работает с Active directory in casale это вот прямо инструмент на мой взгляд один из самых недооцененных и которые стоит стоит обязательно использовать следующие аспекты обеспечения - это люди но опять же

наверное только ленивый не упомянула необходимо повышение осведомленности обучение учениях в том числе тренировках фишинговых рассылках всё единственное что я хочу отметить что в целом очень часто забывают о том что это не только некое скажем так нормативное 10 лучших Практик вещь но это ещё и реальный экономический очень эффективная вещь но представим себе что мы можем использовать какой-нибудь решение по боксу то есть песочницу да Или же использовать своих сотрудников как

некий детектор фишинговых сообщений Или а так ну очевидно что стоимость в большинстве случаев будет ниже чем стоимость покупки внедрение песочница опять же если мы говорим именно о фишинге куча куча решение есть плавник на рынке причём некоторые как сервис который не требует настройки с некоторыми ограничениями но я не буду сейчас делать рекламу в том числе Отечественную вендором но думаю вы сами слышали И я готов в личке более подробно рассказать но статистика есть статистика еще раз отмечу что помимо того

что есть статистика Да есть реальное ограничение технологии защиты и мы видим на примере тех же банков Да которые много-много лет инвестируют в eBay достаточно продвинутые технологии причём не только чистые benoit то что мы называем борьбы с мошенничеством Давай мошенничество тем не менее Вы видите что количество мошенничество в банковской сфере остается всё по-прежнему высоким все слышали об этих звонках до людей которые там сообщают что с вашей карточки только что был совершён перевод и назовите пожалуй стоит этот

это-то да то есть Это говорит о том что эта тема по-прежнему работает весьма не работал мы бы не видели такого большого рынка именно этих услуг точно работает то есть по-прежнему есть люди которые покупают на это несмотря на большой большой действительно резонанс количество статей в СМИ так далее да Всё равно работает поэтому технологии защиты вот от некоторых видов мошенничества просто не существует ли от некоторых видов стали использовать социальной инженерии

Поэтому иногда действительно единственный вариант я повторюсь экономически эффективные и он закрывает некоторые вопросы связанные с регулирование еще один ключевой Аспект это процессы исконно я бы сказал что многие организации говорим о сегменте малого и среднего бизнеса процесс уделяет меньше внимания чем технологиям а точнее продуктом но Такова специфика отчасти рынка до его умер в России во многом двигают компании продуктовый на это производители это интеграторы и Естественно он ориентирован на продажу продуктов потом сервисов Да и

в меньшей степени на то что собственно и является управление бэна на процесс процесс нужны чтобы не получилось вот так как на картинке нам то есть процесс нужны чтобы не приходилось тратить дополнительные ресурсы переплачивать за скажем так не эффективное решение поговорила некоторых из них таких популярных темах которых Вы наверное слышали те которые ломаются копья 1 300 менеджмент чтобы понять Нужен ли вам риск-менеджмент как он должен выглядеть Ответьте на простой вопрос Кому нужен нужен ли он действительно менеджер по информационной безопасности директору

по и был вообще человеку как правило нет как правило человек который работает в отрасли и достаточно компетентен он знает и слабые места и проблемы и у него есть план Что делать на ближайшие пару лет начнут его случае глобального Пока неформализованный риск-менеджмент да вот с этими hitmo.me с таблицами с оценками он не принципиально меняет ситуацию как правило нужен менеджменту нужен аудитором из биткоине из Beko для того чтобы оценить в том числе Ваша работа эффективность работы и B А поэтому

в условиях опять же когда ресурс ограничен и нужно зачастую заниматься скажем так реальной работой они созданием красивых слайдов можно риск-менеджмента именно формализованным при а то есть достаточно действительно Если есть вопросы то риском судите Converse менеджментом просто в рамках конференции Да не пытаясь сделать что-то аудиторов не пытаюсь сделать что-то для в целом менеджмента Да а именно обсуждать достаточно конкретные вопросы касающиеся конкретных

Тверь переводу на удаленку опять же Как вариант можно и Наверное нужно использовать лучше стандартный прав потому что они помогают не изобретать велосипед он в качестве Я думаю что вы их знаете большей частью в том числе даже если вы используете в работе только отечественные стандарты и требования до норматив ку тем не менее она отлично написано большинство западных стандартов и лучших Практик Потому что сама структура одинаковые да то есть это некий набор контрольный но я бы крайне советовал смотреть это дело на протяжении наверное

последних семи восьми лет Аист остролист символ сердца, да эти ребята делают просто замечательные замечательные методологию. Да в том числе что наверное особо важно они отмечают то что увидеть на правой стороне слайда для каждых для каждого на Hummer насколько этим внедрение этих мирах сопротивляются пользу то есть насколько это влияет на них насколько велики настолько велика стоимость внедрения вот насколько дорогой является дальнейшая поддержка Да на Первом видим что

достаточно эффективное решение по выявлению реагирования на инциденты Автоматизированная Да она действительно эффективно этим мало кто спорит он умоляет на пользу Однако стоимость обучения персонала стоимость первоначальных закупки лицензий и последующие платежи по поддержке они Ну не всегда Протеже затратах поддержки достаточно высоки, Поэтому с помощью таких подходов можно скажем, так оптимизировать набор меры технологии контроля, которые вы используете

именно с точки зрения их эффективности, то есть не всегда нужно смотреть на верхушку списка по эффективности. Иногда нужно смотреть на то, что скажем, Так дешевле. Да всегда мы сходим соотношение цена-качество, в конечном счете вся и Б это об эффективности не идеальный не об идеальном, скажем так мифическом безопасном сервере лежащим на дне Марианской впадины в сейфе залитым бетоном, поэтому как может это выглядеть скажем так в реальности в проектном управлении в том, как вы формируете бюджет. так вот у нас

от вылета очень похоже у нас есть набор проектов контрольный которым расставлен приоритет у которых есть оценка по объему работ бюджету из нас руководство компании Точнее с финансовым директором Мы каждый год согласуем на какие проекты мы планируем реализовать в этом финансовом году как правило сделать всё и сразу это не получается по крайней мере последние годы с ресурсами действительных уже и вот прямо разом закрыть все потребность такое случается редко

поэтому приоритезации проектов да то есть мы видим что если проект дорогой с низким приоритетом с небольшим объемом работ наверное его сделать не стоит да то есть возможность получить стоит посмотреть на более высоко паритетный с низким бюджетом проекта опять же в каждой конкретной организации модель выбора будет отличаться то есть вот именно приоритезации нет универсальное решение потому что это связано с тем как работает бизнес как финансируется и B А как анонсируют сайте Но

тем не менее Вот использовать приоритезацию условиях ограниченных ресурсов Ну обязательно других вариантов нету ещё один Краеугольный камень который собран разбито много лбов это аудита аудита и пентесты дам опять же хороший вопрос Кому нужен аудит безусловно будет нужен всем тем кто перечислен в левой части слайда но также нужен и самому директору руководителю службы ясное замечание вот опять же она скорее относится к тому Каким образом у нас стране исторически воспринимается аудит аудит

это не проверка то что другая компания как правило другая компания или другое подразделение делает за ваши деньги с целью чтобы помочь Вам Вот это ключевой Аспект аудит это помощь поэтому отказываться от помощи плохо и аудита действительно неплохой вариант того как так действовать опять же аудит такой формальный выполняемый сертифицированным аудитором как правило там с того чтобы он так не бюджетный это факт поэтому есть два отличных вариантов замены первый

это будет до 2 это внутренний контроль департамент внутреннего аудита но Позволь себе отдельно департамент могут не все поэтому я так что смотреть в сторону сам аудита есть очевидные Плюсы это скорость это знание контекст организации контексте того что вы проверяете Да и цена то есть самоубийц его без как нулю при этом я писал что отличительным моментом Да который отличает Вот который будет сам аудит является соотношение цена-качество Да в каждом случае нужно смотреть

то есть есть золотой принц то что аудитор не должен проверять собственную работу но я считаю что именно такие что можно от этого отойти попробовать всё-таки посмотреть на свою работу более критически особь Это позволяет сэкономить время ресурсы и деньги в продолжение темы саудитам отличный вопрос Кому нужен пентест тест в России крайне крайне популярные мероприятия вот даже если там говорить о моем опыте рабочие в крупной зарубежной компании пентест это не самая популярная вещь они проводятся

безусловно Но скажем так вот вопросов связанных с тестом гораздо меньше чем в России вообще такая тема которая прямо вот и очень любит я бы сказал что пентест это не то что нужно делать в первую очередь и pentest не всегда дает правильную картину на самом деле важен очень контекст важно понимать Для чего проводился pentest Какая область Да и как интерпретировать результаты если такие случаи были что результаты тестов подали сразу на стол руководителю грубо говоря там какая-то специфическая секретная документация

которую удалось вытащить результате пентеста если основан реагирует на это однозначно образом у нас всё плохо ибо не работает Это не всегда так это далеко далеко не всегда так потому что нужно нужно понимать как конкретно в данном случае проводился pentest Да и чем это отличается от в том числе реальных Атак в качестве выводов до такое самый Обратите внимание на процессы и людей безусловно продукты важны безусловно решения технологические действительно иногда является безальтернативный вино постройка процессов и

обучение людей как правило дешевле и к тому же эффективный другое дело Что требует несколько других компетенций до менее технических но тем не менее если на менеджменте и Бета все-таки имеет смысл условиях нынешних условиях неопределенности и ограничение ресурсов обратить внимание более пристойно процессы и персонала используемых средства защиты до использовать то что у вас есть в частности то что встроена в операционной системы то что встроенного антивирусы

на то что строят в средствах обеспечения сетевой безопасности как правило вы удивитесь Сколько ещё можно выжать из этих же самых решений оценка рисков и расчет совокупной стоимости владения другими словами экономика потому что не только потому что нужно экономить Да это такой дискуссионный вопрос Но потому что можно оценивать конкурирующие решения и вот эту оценку можно использовать в переговорах с руководством да Когда у вас есть риски на руках Когда у вас есть расчёт стоимости владения отверстием финансовый директор гораздо проще разговаривать чем просто рассказываю о

том слушать вот там страшная волна вымогательств в сети да давайте как-нибудь защитились давайте что-нибудь купим Да гораздо более аргументированно строго определенных сценариях Не тратьте деньги на МТС когда он вам не нужен Как показывает практика в большинстве компаний куча проблем существует в некоторых pentest абсолютно не поможет но другими словами если у вас не внедрены базовый гигиенические меры безопасности то естественно получите в отчете кучу

кучу вот этих самых мер до 90% отчёта и естественно За это Заплатите деньги но вы могли бы это устранить бесплатно и без всякого Зачем Ну используются стандарты и фреймворки Да не изобретать велосипед опять же не всё так гладко как наверное звучит Да в случае стандартами есть стандарты плохие есть сложные иногда компания использует целый набор стандартов но повторюсь есть мопеде есть базовые процессный подходы которые позволяют стандарты достаточно хорошо адаптировать под нужды компании Ну собственно, в конце дабы

немножко поднять настроение, да, что был бы, если бы у нас был бюджет Минобороны США тоже самое, чтобы был Если бы был безграничный бюджет, Спасибо

Комментарии для сайта Cackle

Купить этот доклад

Доступ к видеозаписи доклада «Как эффективно управлять ИБ в условиях ограниченных ресурсов?»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Код ИБ 2020 | Нижний Новгород

Доступ к записям всех докладов «Код ИБ 2020 | Нижний Новгород»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Билет

Интересуетесь тематикой «Информационная безопасность»?

Возможно, вас заинтересуют видеозаписи с этого мероприятия

21 июля 2020
Онлайн
20
150
безопасность персонала, взаимоднействие с бизнесом и командой, иб без бюджета, ибнужныпрофи, информационная безопасность, код иб, код иб профи, сервисная модель в иб, управление security operations, управление иб, управление инцидентами

Похожие доклады

Роман Жуков
Директор центра компетенций в Гарда Технологии
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Алексей Семенычев
Ведущий инженер по ИТ в ОКБМ Африкантов
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Андрей Арбатский
Руководитель московского подразделения отдела продаж в StaffCop
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Купить это видео

Видеозапись

Доступ к видеозаписи доклада «Как эффективно управлять ИБ в условиях ограниченных ресурсов?»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно