Twitter-войны безопасников зимы 2013-го

Как известно, все безопасники делятся на две категории: те, для которых на первом месте дыры, экплоиты и пентесты (потому что они любят и умеют ломать) и те, для которых первостепенны риски и влияние на бизнес (потому что они любят и умеют считать деньги). И те, и другие, в общем-то, ничем не отличаются: первые пытаются натянуть свою картину мира на бизнес-ориентированность и подсчет рисков, вторые не отрицают, что технические аудиты (пентесты) являются важной составляющей жизненного цикла ИБ.

В разрезе этого понимания очень занятно наблюдать, как первые безопасники напрыгивают на вторых, искуственно и достаточно топорно разделяя сообщество ИБ на «дартаньянов» и «бумажников». Вторые отвечают в своем классическом стиле «вы ничего не понимаете в бизнес-рисках, покажите деньги или ваши эксплоиты ничего не значат». И вроде бы они правы, но…

Я не скажу, что обладаю богатым опытом непосредственного участия или наблюдения за тем, как занимаются безопасностью крупные компании. Однако кое-какая практика все же есть, причем распространяющаяся от финансовых институтов Великобритании до крупных интернет-компаний. И она показывает простую вещь: то, что написал в своей заметке Алексей Лукацкий, хоть и теоретически верно, на практике нигде не работает. Потому что управлять рисками ИБ в разрезе бизнеса компании, в общем случае, очень сложно. Как же ситуация обстоит на практике?

На практике все очень просто. Те компании, где среди высокого руководства (в топ-менеджменте или совете директоров) находятся люди, неравнодушные к техническим аспектам ИБ (тем же пентестам), как правило, имеют хорошую атмосферу безопасности. Потому что в компании, где топ-менеджмент поддерживает хакеров, очень быстро образуется тусовка неравнодушных людей с горящими глазами. И это уже задача топ-менеджера направить их огонь в нужное бизнесу русло: он наймет аналитиков, они все подсчитают, оценят риски, выработают формат подачи (репортинга) информации наверх и так далее. В итоге всем будет по кайфу работать, и в компании с ИБ «все будет хорошо».

Те же организации, которые пытаются жить «по бумаге», открывают бочку не с того конца. Выстраивать управление рисками и уметь отвечать на вопрос «so what?» это, конечно, хорошо и правильно. Но мы все знаем, что оценка рисков — это во многом черная магия и спекуляция, это система из N уравнений с M неизвестными, где M много больше N. Компании, которые пытаются так жить, как правило, делают это очень плохо. Не потому, что они дураки — просто это очень сложно. Более того, когда процесс спускается до «реальной» безопасности, эти компании испытывают проблемы с исполнителями технической части: хакерам работать в таких компаниях неинтересно, а консультанты-подрядчики слишком технари (те же хакеры), чтобы дать интересующие компанию результаты. В итоге ощущение, что «все хорошо», если и есть, то является скорее ложным. В самых запущенных случаях безопасность в таких компаниях превращается в регулярное мочеиспускание в слуховые органы бизнес-владельцев.

Какие можно сделать выводы? Они простые: ни пентестеры, ни аналитики от бизнеса не делают погоду ИБ в компаниях. Это, на самом деле, ужасный факт, но я вынужден его озвучить: в безопасности бизнеса все зависит от наличия в топ-менеджменте компании неравнодушных к ИБ людей. И только.

Но об этом вам спорящие в twitter и linkedin безопасники, конечно, никогда не скажут.

Источник: toxa.livejournal.com

Запись опубликована в рубрике Opinion. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google photo

Для комментария используется ваша учётная запись Google. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s