А что если? — II

Стратегия

10 лет назад, еще до того момента, когда Крым внезапно бросился в распростертые объятия России, я написал заметку «А что если?«, в которой описал используемую часто в бизнесе деловую игру под одноименным названием (анализ «what if») или процесс моделирования оценки возможных альтернативных стратегий и рисков, с ними связанных. Тогда я предложил список вопросов, которые могут быть заданы самому себе и в зависимости от нашей готовности ответа на них, мы сможем приоритизировать свои усилия по нейтрализации описанных рисков. Среди прочего был и такой «А что если завтра мой поставщик средств защиты и услуг ИБ обанкротится или мое начальство откажется с ними дальше работать?«, который так напоминает то, что происходит, начиная с 24-го февраля в России и Беларуси. Да, причина этого «А что если» иная, но результат тот же.

После того, как Крым в едином порыве присоединился к России и США ввели первые санкции в новейшей истории, я во время проводимых мной деловых игр и штабных киберучений перефразировал этот вопрос в «А что если завтра отключат обновления приобретенных вами средств защиты информации?» и в «А что если завтра введут санкции в области ИТ/ИБ и нельзя будет купить средства защиты, которые использовались вами ранее?«. Многие воспринимали мои вопросы несерьезно, считая эти риски маловероятными. И это несмотря на то, что эти риски уже реализовались в отношении крымских компаний. Но в игре «А что если» вопрос не в том, реалистичный сценарий или нет, а в том, готовы ли мы к нему и сможем ли мы достать подготовленный план реагирования и следовать ему?

План реагирования на инциденты
План реагирования на инциденты

За последние 10 лет я к своему списку добавил еще несколько, которыми и делюсь. Сейчас, когда многие задумываются о том, как жить в ИБ дальше, менять или не менять имеющиеся средства и сервисы ИБ, есть возможность, сначала поиграть в «А что если» и уже тогда начать планировать новую жизнь. Итак, новые вопросы:

  • А что если завтра отключат обновления приобретенных вами средств защиты?
  • А что если завтра введут санкции в области ИТ/ИБ и нельзя будет купить средства защиты, которые использовались ранее?
  • А что если завтра к вам придет проверка РКН по жалобе о нарушении вами 242-ФЗ?
  • А что если на форуме pastebin или в канале «Утечки информации» появятся доказательства компрометации вашей внутренней сети?
  • А что если ваше руководство решило сократить CapEx, переориентировав свои расходы на OpEx?
  • А что если к вам пришла проверка МВД по поводу лицензионности софта и изъяло оборудование, включая средства защиты
  • А что если на организацию ведется активная информационная атака в социальных сетях: распространяется информация о текущих трудностях и множатся негативные оценки дальнейших перспектив
  • А что если вендор вывез вас за границу и об этом сообщили вашему руководству, обвинив в коррупции?
  • А что если вы работаете в госбанке и вам вручили подарок свыше 3000 рублей?
  • А что если сертификат на СКЗИ закончился и его не продлевает производитель
  • А что если вы получили информацию, что некоторые сотрудники, судя по информации в социальных сетях, выражают неудовольствие своей работой в банке, руководством и уровнем своих доходов, сами испытывают материальные трудности, но гонятся за «красивой жизнью»
  • А что если ваш поставщик средств ИБ (консультант) внесен в список иноагентов?
  • А что если вашему ключевому сотруднику пришел оффер от Сбербанка/Солара/Позитива/Бизона/TikTok и предложение о зарплате, вдвое/втрое выше, чем у вас?
  • А что если ваша компания будет поглощена «Ростехом» и вы станете частью ОПК?
  • А что если завтра примут законопроект о необходимости выполнять требования 17-го приказа ФСТЭК по отношению к информации, владельцем которой является государство?
  • А что если завтра примут законопроект, который обяжет вас через 10 дней с момента принятия сообщать об инцидентах с ПДн в течение 24 часов с момента обнаружения инцидента?
  • А что если коронавирус вернется и в более жестком варианте?

На самом деле таких вопросов может быть гораздо больше — часть их них зависит от компании, часть является универсальной. Например, часть из них может быть взята из отчета, упомянутого во вчерашней заметке. Но суть, думаю, ясна. Организовать такую деловую игру очень просто — достаточно выделить 1-2 часа времени и дать возможность высказаться всем участникам, не отсекая ни одной версии/вопроса, даже если они кажутся дурацкими или фантастическими. Многое из того, что сейчас происходит, казалось таким еще пару месяцев назад, а сегодня это новая реальность. На стадии формулировки вопросов не надо погружаться в ответы на них — вы рискуете погрузиться в детали и забыть про все остальное. В идеале можно пригласить внешнего фасилитатора, который не скован никакими ограничениями и может не только сам задавать правильные вопросы, но и управлять игрой, вести ее, записывать все варианты вопросов, а потом подвести итоги, которые и повлияют на вашу стратегию ИБ, которая сейчас явно должна претерпеть изменения.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.