BIS Journal №2(45)/2022

16 июня, 2022

Семь аудитов на сундук безопасника

Информационная безопасность — занятие непростое, особенно там, где она сталкивается с реальностью: печально известные Security Operations. Из-за постоянно меняющегося ландшафта угроз (а зачастую — и самой ИT-инфраструктуры) отовсюду лезут и лезут проблемы: то логи перестали приходить, то инцидент неправильно отработали, то пентестеры опять поломали всю сеть. В общем, «то лапы ломит, то хвост отваливается», как в одном известном советском мультфильме.

После определённого количества серьёзных проблем высшее руководство обычно начинает искать пути их решения. На самый долгий, сложный и дорогой (нанять больше людей, выстроить процессы и автоматизировать по максимуму рутинные задачи) решаются немногие — что неудивительно, учитывая то, что собственный SOC — удовольствие и так недешёвое. И тут на помощь руководству спешат консультанты. Дорвавшись до высокой аудиенции, они демонстрируют простой и понятный план: давайте мы проведём аудит всего, напишем рекомендации — а вам только и останется воплотить их в жизнь и наслаждаться результатами.

Звучит, может быть, и здорово — но вот в реальности прекрасная идея оборачивается совсем другим. И без того замотанные текущими задачами подразделения безопасности вынуждены теперь тратить драгоценное время на внеплановые совещания и заполнение бесчисленных табличек в «Экселе», которые отправляются аудиторам на «проверку». И потом всё бумерангом возвращается в виде вопросов, уточнений и вороха рекомендаций. А вот дополнительного времени и ресурсов на эту активность, как правило, никто не даёт.

Я несколько лет работаю в SOC одной зарубежной компании, и мой личный рекорд на данный момент — это, кажется, четыре параллельно идущих аудита в один месяц. При этом каждый аудитор клятвенно уверял, что его вопросы срочные и требуют немедленного внимания. Вот бы ещё и работать успевать при таких вводных...

В общем, если кто-то из читающих этот выпуск делает подобное у себя — не надо так. А вот как надо:

— перед принятием решения об аудите соберите обратную связь от команды

— наверняка они сами назовут какие-то критичные проблемы, которые имеет смысл решить сразу же;

— чётко определите цели аудита (и, желательно, согласуйте их с подразделением, где он будет проходить);

— по возможности — обходитесь теми аудитами, которые являются обязательными (например, проводимыми в рамках PCI DSS), не плодите лишние сущности;

— обеспечьте достаточные ресурсы и временны́е рамки для устранения выявленных замечаний;

— в любом случае не допускайте нескольких аудитов, идущих одновременно. Расставьте приоритеты и оставьте какой-то один. Закончите его, отработайте замечания — и только потом переходите к следующему.

 

И операционная безопасность скажет вам спасибо.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

10.07.2025
От айтишников всё чаще требуют развитых soft skills
10.07.2025
Хакер попытался украсть личность госсекретаря США с помощью ИИ
10.07.2025
Финрегулятор хочет раскрыть имена собственников банков
10.07.2025
«Большая часть компаний начинает инвестировать в ИБ только в ответ на требования извне»
10.07.2025
Telegram эволюционирует, скамеры — тоже
09.07.2025
Депутаты не одобрили деятельность «белых шляп»
09.07.2025
Командная игра в семь раз сократила объём NFC-хищений в России
09.07.2025
Trend Micro: У зловреда Bert — российские корни (вероятно)
09.07.2025
Только 5% компаний закладывает потери от кибератак в ИБ-бюджет
09.07.2025
В японские воды сойдёт дата-центр на 10000 тонн

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных