В портфеле GamingWorks есть игра Oceans99™, посвященная управлению информационной безопасностью. Согласно сценарию, владелец токийского банка организует выставку в токийском музее, выставляя три очень известных и дорогих экспоната, которые привлекают внимание криминальной группы Oceans99. Задача команды заключается в успешной доставке объектов в токийский музей так, чтобы не допустить кражу.

Пол Вилкинсон поделился на своей странице в LinkedIn весьма любопытными наблюдениями от недавно проведенной симуляции и уроками, которые усвоила команда, которые по большей части, конечно, одинаково применимы к любой области управления ИТ.

"Сначала команда выполняла упражнение по идентификации угроз, уязвимостей и рисков. При этом никто даже не заглянул в политику безопасности, чтобы ограничить охват рисками информационной безопасности — падения самолетов, наводнения, ураганы и землетрясения вскоре стали преобладать в обсуждении. Один из участников выполнял роль аудитора и использовал чеклисты из Resilia. Однако команда (в основном – бизнес-менеджеры) считала аудитора и, более того, даже менеджера по безопасности скорее препятствиями для выполнения работы, что уводило команду далеко от реальных проблем с ИБ.

Когда бизнес-менеджеры осознали, что игра в первую очередь про ИБ, они начали активно вкладываться в защиту ИТ-систем, игнорируя тот факт, что информация также является критичным активом. В итоге карты маршрутов доставки остались не защищенными, что могло привести к многомиллионным потерям и итоговому провалу проекта.

Аудитор сообщал об отклонениях, но бизнес-менеджеры быстро остудили его пыл вопросом «Можно ли в этой игре уволить аудитора?». Предложения по контрмерам менеджера по безопасности проходили с трудом из-за неспособности подготовить адекватные бизнес-обоснования.

Естественно, что в Oceans99 злоумышленники могут эксплуатировать неизвестные менеджменту уязвимости, что требует процедур реагирования и восстановления, о которых участники игры, конечно, также забыли.

В конце игры участники пришли к следующим заключениям:

• Каналы коммуникации должны быть формализованы, необходимо понимание, кто в какой информации нуждается и для принятия каких решений
• Ответственность ролей должна быть полностью прояснена, необходимы матрицы RACI
• Больше внимания командной работе: должно быть понимание, как согласовывать решения, как разрешать противоречия
• Требуется сквозное понимание каждого проекта/процесса, особенно в контексте бизнес-потребностей и ожидаемых результатов
• Необходимо фиксировать идеи (полученные знания, опыт и предложения по совершенствованию)
• Необходимо как можно чаще собираться всей командой для обмена опытом
• Требуется подход по приортитизации рисков, контрмер, проектов, инициатив, в основе которого должны лежать критичность актива и бизнес-влияние
• Срочность почти всегда крайне субъективна: уровень срочности необходимо связать с бизнес-контекстом
• Каждый сотрудник компании играет роль в обеспечении ИБ
• Меньше доверия, больше подозрения: необходима более широкая осведомленность об уязвимостях и прочих аспектах безопасности
• Системный подход, правильный выбор уровня авторизации различных решений – самое важное для достижения результата
• Анализировать обратную связь: люди в проектах часто неспособны взглянуть на результаты со стороны и увидеть эффект, слабые стороны и возможности

Как видно, основные выводы, которые сделала команда, едва ли связаны с технологиями; обеспечение ИБ – в первую очередь про людей, их отношение к работе, культуру и поведение".