Рубрикатор |
Блоги | Александр ШИБАЕВ |
Размышления по итогам ИБ-конференций
18 декабря 2018 |
«Те, кто против безопасности, – неблагонадежные». Тезис не забыт со времен социализма. Я не против ИБ, но кое на что я бы обратил критическое внимание.
План дня типовой конференции по информационной безопасности:
Первое. Пугать! «Хакеры пробрались везде, хакеры атакуют и развиваются быстрее, чем развиваются средства защиты. Хакеры используют все мыслимые и немыслимые методы для достижения своих целей. Каждый год они крадут миллиарды. Кругом и всюду есть секретные кнопки (но о них нам все известно), которые отключат вашу систему! Надо защищаться!».
Второе. Рассказ о комплексных подходах, о том, что делается на законодательном, правительственном, административном, философском, технологическом, аудиторском и других уровнях. Делается много, надо делать еще больше, но все очень запутано…
Когда аудитория «доведена до кондиции» начинается основная часть.
Третье. Купите наши решения! Реклама и технические детали, профессиональные объяснения, как надо использовать продукты информационной безопасности, кейсы счастливых клиентов.
Все вместе взятое напоминает хождение пациента по поликлинике. Пациент еще не знает, чем болеет и болеет ли вообще, но разные врачи предлагают срочные решения: профилактически пить таблетки, предварительно отрезать что-нибудь, ввести запреты на что-нибудь удобное, чтобы стало неудобно… И задают массу «интимных» вопросов!
Из первой части следует единственный вывод: на безопасность надо тратить! Наиболее радикальные предложения: тратить надо в процентах от украденных средств. Эти выводы близки той части публики, которая называет себя безопасниками. Кто эти люди, с годами все менее понятно. Разновидность системных администраторов? Профессиональные проверяющие и составители актов проверок? Надсмотрщики, не отвечающие за бизнес-результат, но влияющие на бизнес-процесс? Архитекторы параллельных технологических решений?
Из второй части следует, что в нормативных актах, положениях, методиках, требованиях объективно много непонятного: часть документов противоречит жизни, часть – отстает. И применимы эти требования в основном не для создания защищенных систем, а как методичка для проверяющих и аудиторов. При этом останется неизвестным, защищена ваша система или нет, но она, вполне возможно, будет соответствовать определенному нормативу.
Третий пункт – это тест на технологическую зрелость службы безопасности организации. Продвинутые и отстающие технологии бывают только в квадрантах Gartner. Для конкретной реализации системы безопасности важна целостность и всеобъемлющий охват. Это означает, что ответственный за безопасность должен знать бизнес-процесс и ИТ-систему своей организации, информационные технологии, мировую ситуацию с киберугрозами и технологии защиты, государственные и международные требования. Это очень высокие и серьезные требования. Квалифицированных cybersecurity немного.
Конференции высвечивают приметы, скажем так, ложных «безопасников»: предельный скептицизм, абсолютно непонятные вопросы и туманные рассуждения, недоверие к любому решению и желание выявить слабые места. Никакой «интимности», т.е. желания выведать «страшную» тайну, в вопросах к потенциальным клиентам нет! А вот уход от ответов и обсуждений воспринимается как защита собственной некомпетентности.
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.