Задачи информационной безопасности при разработке новых цифровых бизнес-моделей и продуктов

Transcript

1. Консультант по трансформации и развитию бизнеса Михаил Козлов +7 985

   575 92 38 [email protected] Роль и место ИБ в процессах цифровой трансформации Изображение: (с) Михаил Козлов

2. СОДЕРЖАНИЕ … 01 ЦИФРОВАЯ ТРАНСФОРМАЦИЯ Определение и основные понятия 02

   ЦИФРОВАЯ БИЗНЕС-МОДЕЛЬ 5 элементов успешной цифровой модели и роль ИБ 03 КОНЦЕПЦИЯ БЕЗОПАСНОСТИ В контексте разработки новых цифровых продуктов 04 ЗАКЛЮЧЕНИЕ … 2

3. Цифровое предприятие Предприятие, характеризующееся: 1. созданием цифровых продуктов или услуг,

   которые либо полностью поставляются в цифровом формате (например, на цифровых носителях или онлайн-банк), либо 2. когда физические продукты и услуги приобретаются клиентами при помощи цифровых средств (например, онлайн-сервисы совместного использования автомобилей). Цифровая трансформация Радикальные, фундаментальные изменения в направлении превращения в цифровое предприятие. Процесс РНП/РНЦП – процесс разработки новых [цифровых] продуктов Определения 3 Источник: Digital Practitioner Body of Knowledge™ Standard, 2019

4. Цифровая трансформация: переход к созданию новых цифровых продуктов и услуг

   Выход на новые рынки • Новые цифровые продукты для клиентов и клиентов ваших клиентов • Смежные сервисы в цифре на базе ИИ / больших данных, блокчейн, интернет вещей… Ускорение инноваций • Цифровизация процесса разработки новых продуктов (РНП) на базе DevOps, искусственного интеллекта (ИИ), больших данных, облаков, микросервисов, API, мобильности • Цифровая платформа и партнерская экосистема Улучшение клиентского опыта Переосмысление клиентского обслуживания, персонализация & поддержка Важны не сами по себе платформы, продукты и услуги, а новый улучшенный клиентский опыт 4 Для чего? > Ускорение Time to Market > Рост выручки, прибыли, доли рынка, удовлетворенности клиентов (внутренних и внешних) > Снижение затрат

5. Ценность > Кто наш клиент и какую ценность мы ему

   предлагаем? Стратегия > Стратегия цифровизации > Продуктовая стратегия > Технологическая стратегия Бизнес-модель > Прогнозный P&L > Операционные и инвестиционные показатели Технологии > Выбор технологий для цифровой платформы, цифровой фабрики, экосистемы, продуктов и услуг Люди и Процессы > Команда > Оргструктура > Функции и процессы > Корпоративная культура С учетом сильных сторон, ресурсов и возможностей организации Цифровая бизнес-модель Постоянное развитие Технологии и процессы безопасности 5

6. Процесс разработки новых продуктов и Технологии Цифровой процесс РНП =

   разработка программного обеспечения Гибридная облачная платформа (PaaS, Big Data, AI) SaaS, микросервисы, APIs Гибридная облачная инфраструктура (IaaS) Цифровые продукты ИТ как услуга / Chargeback Agile DevOps CI/CD Разработка и тестирование Песочницы Мульти-облачная / гибридная цифровая платформа Новый пользовательский и клиентский опыт Design Thinking / Customer Development Новые бизнес-модели и цифровые продукты Новая архитектура (Cloud Native, Microservices, безопасность) Активация рынков Управляемая экосистема Анализ данных Гибкие процессы & Безопасность 6 Идея План Прототип / MVP Постоянные улучшения Жизнь Продукта: от Рассвета до Заката

7. Кто отвечает за безопасность продукта? 7 Владелец продукта ИТ /

   Платформы Разработчики This Photo by Unknown Author is licensed under CC BY-SA

8. «Способность системы противостоять несанкционированным попыткам её использования или изменения её

   поведения, с одновременным продолжением предоставления услуг легитимным пользователям». — Sandy Bacik Enernex Безопасность (Security) 8 Источник: Digital Practitioner Body of Knowledge™ Standard, 2019 https://publications.opengroup.org/c196

9. Контроль качества Контекст 9 Источник: Digital Practitioner Body of Knowledge™

   Standard, 2019 Безопасность – это руководство и управление рисками для защиты организации на основе: • Точной оценки угроз • Стратегии контроля • Контроля качества (например, через аудиты безопасности) Аудит Соответствие требованиям Управление рисками Процессы контроля Угрозы, риски, контроли ИБ

10. Таксономия безопасности 10 Агент угрозы Угрозу Уязвимость Актив Негативные последствия

    Процедурами безопасности Представляет Может использовать Вызывает Риск Подвергает опасности Создает Уменьшаются Противодействуют Источник: Digital Practitioner Body of Knowledge™ Standard, 2019

11. Похоже на процесс анализа рисков Активы Риски Процедуры безопасности Конфиденциальность

    целостности доступность Последствия для бизнеса Угрозы Уязвимости уменьшить заставляют используют защищают от устраняются через что вызывает негативные уменьшают увеличивают увеличивают увеличивают Источник: Ken Jaworski, CISSP 11

12. Безопасность цифровых сервисов (продуктов) 12 Источник: Digital Practitioner Body of

    Knowledge™ Standard, 2019 Жизненный цикл сервиса Разработка & Инжиниринг • Аутентификация и авторизация • Противодействие угрозам • Соответствие целям и задачам Клиентский опыт Эксплуатация • Обнаружение • Реагирование • Анализ и расследования Пользователь • Конфиденциальность • Целостность • Доступность Спонсор • GR&C • Репутация • Урегулирования

13. Продукт: Пользователь vs Клиент vs Спонсор 13 Сервис Пользователь Клиент

    Спонсор Онлайн банк Владелец счета Управляющий директор розничного банка Онлайн резервирование мест в ресторане Посетитель ресторана Владелец ресторана Разработчик продукта Кадровая система Рекрутер VP, кадры Онлайн видео стриминг Потребитель сервиса / семья Покупатель услуги (один из родителей) Разработчик продукта Источник: Digital Practitioner Body of Knowledge™ Standard, 2019

14. Трехсторонний контроль качества (Assurance) 14 Источник: Digital Practitioner Body of

    Knowledge™ Standard, 2019 Стандарт ISAE 3000 (IFAC) гласит, что контроль качества должен включать минимум три стороны: > Ответственная (подотчетная) сторона (владелец продукта) > Практикующий аудитор > Предполагаемый пользователь отчета об аудите (стейкхолдер) Стейкхолдер Практикующий аудитор Привлекает Выполняет аудит и делает выводы Ответственная (подотчетная) сторона (владелец продукта) Предоставляет информацию и доступ Руководит

15. Архитектура безопасности Аутентификация и авторизация Сетевая безопасность Шифрование Источник: Digital

    Practitioner Body of Knowledge™ Standard, 2019 15

16. “ Безопасность + Жизненный Цикл Разработки ПО (SDLC*) = Цикл

    Разработки Безопасных Приложений (SDL**) Безопасность должна учитываться на протяжении всего жизненного цикла разработки ПО (SDLC), включая проектирование систем, но это легче сказать, чем сделать. Организации всегда будут более заинтересованы в функциональности системы, чем в ее безопасности. Однако нарушение безопасности может разрушить компанию. 16 *) Software Development Life Cycle (SDLC) **) Security Development Lifecycle (SDL) Источник: Digital Practitioner Body of Knowledge™ Standard, 2019

17. Относительная стоимость устранения ошибок в ПО Источник: National Institute of

    Standards and Technology, Pointlane Требования/ Архитектура Кодирование Интеграция/ Тестирование Финальное тестирование После выпуска Выпуск продукта Устранение ошибок и уязвимостей после выпуска стоит на порядки дороже чем на стадии проектирования 17

18. Цикл Разработки Безопасных Приложений (SDL) • Практический подход используемы Microsoft,

    Redhat, Yandex и многими другими • Проактивная разработка, уменьшающая число уязвимостей ИБ • Обнаружение проблем на ранних стадиях в процессе разработки Conception Release 18

19. Армия обезьян Netflix 19 Хаос * Задержка * Соответствие *

    Доктор * Мусорщик * Безопасность * Локализация * Хаос Горилла Источник: https://netflixtechblog.com/the-netflix-simian-army-16e57fbab116

20. Поиск и устранение уязвимостей 20 ИЗВЕСТНЫЕ УЯЗВИМОСТИ ОБНОВЛЕНИЯ БЕЗОПАСНОСТИ НЕПРЕРЫВНОСТЬ

    СЕРВИСА Источник: Digital Practitioner Body of Knowledge™ Standard, 2019

21. Процессы и инциденты ИБ 21 ПРЕДУПРЕЖДЕНИЕ ОБНАРУЖЕНИЕ УСТРАНЕНИЕ АНАЛИЗ И

    РАССЛЕДОВАНИЯ Security Operations Center (SOC) + Network Operations Center (NOC) Источник: Digital Practitioner Body of Knowledge™ Standard, 2019

22. Заключение: технологические и организационные изменения при переходе к цифровым бизнес-моделям

    22 Продукты и Товары Цифровые продукты (ПО) и SDL (ИБ в разработке) Управление проектами / Водопад Agile / SCRUM Монолитные приложения Микросервисы ИТ ИТ как услуга (Облако) Данные Большие данные + ИИ Каналы продаж Цифровая экосистема Омниканальность Единый клиентский опыт Цифровая платформа и экосистема Промышленная платформа Цифровое производство Промышленное производство

23. Михаил Козлов Разработка, внедрение и развитие новых цифровых бизнес- моделей

    для b2b https://ru.linkedin.com/in/mkozloff 23 Разработка Внедрение Развитие Идея бизнес-модели Бизнес-план Ценность для клиентов Запуск нового бизнеса / направления / продукта Продажи Маркетинг Cognitive CARANA Microsoft EMC Accenture Код Безопасности Sumitomo 1ОФД DocsVision Softprom … Cognitive Microsoft VMware VDEL / Red Hat Trend Micro DeNovo Russia Rostelecom IBM Cognitive V6 Microsoft VMware VDEL / Red Hat DeNovo Russia Rostelecom IBM

24. Михаил Козлов Разработка, внедрение и развитие новых цифровых бизнес-моделей для

    b2b 24 Разработал инвестиционную модель для крупнейшего японского инвестфонда для оценки потенциала выхода на российский рынок ЦОДов. Приобретена доля в одном из крупнейших ЦОД Разработал бизнес-план для одного из крупнейших региональных телеком- операторов в России по оценке перспектив выхода на рынок облачных услуг SaaS Разработал инвестиционную, финансовую и операционную бизнес- модели для крупнейшего оператора фискальных данных (ОФД) в России Разработал бизнес-модель для разработчика WebRTC PaaS платформы VoxImplant (Zingaya) и выступал в роли бизнес- ментора Разработал бизнес-план, привлек инвестиции, создал и управлял работой российского поставщика облачных услуг De Novo CSP. В последствии организовал продажу бизнеса De Novo компании ActiveCloud (Softline Group, Россия) Отвечал за разработку облачной бизнес- платформы и облачной b2b бизнес-модели Ростелекома, участвовал в разработке бизнес- моделей государственных облачных провайдеров в Беларуси (beCloud) и Казахстане (Nitec)

25. Автор не несет ответственности по каким бы то ни было

    претензиям по возмещению ущерба, понесенного в результате действий любого конечного пользователя документа, который полагался на содержащуюся в нем информацию. Содержание документа может быть использовано только в информационных целях и не должно рассматриваться в качестве рекомендаций применительно к конкретным ситуациям, действиям или операциям конечного пользователя. Информация представлена в виде «как есть», без каких- либо гарантий в отношении ее полноты или своевременности, без каких бы то ни было иных явно выраженных или подразумеваемых гарантий и может быть изменена в любой момент времени без предварительного уведомления пользователей. Мнения и комментарии, высказанные здесь, являются отражением личного взгляда авторов, и не как не связаны с позицией третьих сторон. Несмотря на приложенные усилия, документ и представленные данные могут содержать неточности и ошибки. Некоторые ссылки указывают на документы, расположенные в других местах, например, на сайтах в сети интернет. Автор не несет ответственность за содержание этих документов и не может контролировать политику их авторов или владельцев в отношении использования содержащейся в них информации. Все материалы и информация, представленные в документе (включая тексты, фотоизображения, видеоматериалы, аудиозаписи, иллюстрации, дизайн, а также подбор, расположение и систематизация информационного представления), является объектом интеллектуальной собственности и охраняется в соответствии с законодательством РФ о защите интеллектуальной собственности. При публичном использовании этих материалов и информации целиком или по частям ссылка на авторство обязательна. Все использованные торговые названия и торговые марки принадлежат их законным владельцам и использованы только в ссылочных и/или информационных целях. Начало использования документа означает согласие пользователя с изложенными здесь правилами. Все данные в документе носят исключительно информационный характер и ни при каких условиях не являются публичной офертой, определяемой положениями Статьи 437 (2) Гражданского кодекса Российской Федерации. Михаил Козлов, 2020 Отказ от ответственности 25