Rambler's Top100
Блоги Александр ШИБАЕВ

Размышления по итогам ИБ-конференций

  18 декабря 2018 Страница персоны
Проведение конференций давно превратилось в бизнес. Конференции по информационной безопасности от общего тренда не отстают. Слово «безопасность» придает таинственность и обещает  приобщить к  неким секретным знаниям. Однако за этой завесой скрывается стандартное желание продавцов продвинуть свои продукты на рынок и неожиданно проявляется некомпетентность очень многих клиентов.

«Те, кто против безопасности, – неблагонадежные». Тезис не забыт со времен социализма. Я не против ИБ, но кое на что я бы обратил критическое внимание.

План дня типовой конференции по информационной безопасности:

Первое. Пугать! «Хакеры пробрались везде, хакеры атакуют и развиваются быстрее, чем развиваются средства защиты. Хакеры используют все мыслимые и немыслимые методы для достижения своих целей. Каждый год они крадут миллиарды. Кругом и всюду есть секретные кнопки (но о них нам все известно), которые отключат вашу систему! Надо защищаться!».

Второе. Рассказ о комплексных подходах, о том, что делается на законодательном, правительственном, административном, философском, технологическом, аудиторском и других уровнях. Делается много, надо делать еще больше, но все очень запутано…

Когда аудитория «доведена до кондиции» начинается основная часть.

Третье. Купите наши решения! Реклама и технические детали, профессиональные объяснения, как надо использовать продукты информационной безопасности, кейсы счастливых клиентов.

Все вместе взятое напоминает хождение пациента по поликлинике. Пациент еще не знает, чем болеет и болеет ли вообще, но разные врачи предлагают срочные решения: профилактически пить таблетки, предварительно отрезать что-нибудь, ввести запреты на что-нибудь удобное, чтобы стало неудобно… И задают массу «интимных» вопросов!

Из первой части следует единственный вывод: на безопасность надо тратить! Наиболее радикальные предложения: тратить надо в процентах от украденных средств. Эти выводы близки той части публики, которая называет себя безопасниками. Кто эти люди, с годами все менее понятно. Разновидность системных администраторов? Профессиональные проверяющие и составители актов проверок? Надсмотрщики, не отвечающие за бизнес-результат, но влияющие на бизнес-процесс? Архитекторы параллельных технологических решений?

Из второй части следует, что в нормативных актах, положениях, методиках, требованиях объективно много непонятного: часть документов противоречит жизни, часть – отстает. И применимы эти требования в основном не для создания защищенных систем, а как методичка для проверяющих и аудиторов. При этом останется неизвестным, защищена ваша система или нет, но она, вполне возможно, будет соответствовать определенному нормативу.

Третий пункт – это тест на технологическую зрелость службы безопасности организации. Продвинутые и отстающие технологии бывают только в квадрантах Gartner. Для конкретной реализации системы безопасности важна целостность и всеобъемлющий охват. Это означает, что ответственный за безопасность должен знать бизнес-процесс и ИТ-систему своей организации, информационные технологии, мировую ситуацию с киберугрозами и технологии защиты, государственные и международные требования. Это очень высокие и серьезные требования. Квалифицированных cybersecurity немного.

Конференции высвечивают приметы, скажем так, ложных «безопасников»: предельный скептицизм, абсолютно непонятные вопросы и туманные рассуждения, недоверие к любому решению и желание выявить слабые места. Никакой «интимности», т.е. желания выведать «страшную» тайну, в вопросах к потенциальным клиентам нет! А вот уход от ответов и обсуждений воспринимается как защита собственной некомпетентности.

В целом очевиден разрыв в компетенциях между специалистами специализированных фирм и сотрудниками служб информационной безопасности. Вывод на сегодня следующий – необходимы не закупки железа и софта под различные идеи или против различных угроз, а комплексные договоры на обслуживание в области информационной безопасности, с определенными гарантиями и требованиями. И вопрос не в бюджете, а в системном подходе.
Поделиться:

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.