BIS Journal №3(50)2023

29 августа, 2023

Заметки безопасника. Сказ о купце, скорняке, сове и глобусе

Многие, наверное, помнят сказку о скорняке и его жадном клиенте. В ней скупой купец приходит к скорняку, приносит овечью шкуру и просит сшить из неё шапку. Когда мастер соглашается, клиент меняет задачу и требует уже не одну, а целых семь шапок. В результате купец получает свой заказ, но есть нюанс: готовые изделия по размеру напоминают скорее напёрстки, чем головные уборы.

Сейчас уже не узнать, когда именно родилась эта старая армянская сказка, которая и сегодня до неприличия правдива и актуальна. Она применима и к сфере информационной безопасности, бурлящей ситуациями, почти дословно повторяющими этот древний смешной сюжет.

«А что мы, собственно, хотим защищать?» — вот важнейший вопрос, который обязательно должен быть задан при построении системы безопасности. При этом типичное его обсуждение между сотрудником, ответственным за ИБ, и высшим руководством обычно проходит так:

— А что мы должны защищать?

— Всё!

— Хорошо. Для этого потребуется выделить много-много ресурсов и серьёзно поменять существующие бизнес-процессы.

— Нет, мы не можем себе такого позволить, это дорого. Готовы дать одну десятую часть от запрошенного бюджета и полтора землекопа в придачу. И то много будет.

— Тогда нам нужно пересмотреть стратегию, потому что на весь периметр этого не хватит.

— Нет, это неприемлемо, защищайте всё!

— Но тогда нужно больше ресурсов!

— Ресурсов не дадим.

— Тогда уменьшайте требования!

— Нет, защитить нужно всё.

Перед нами запущенный случай корпоративной шизофрении — распространённого заболевания, не позволяющего руководству принять тот факт, что наша сова на предложенный глобус ну никак не натягивается. Нужно либо купить птицу побольше, либо избрать меньший целевой диаметр сферы. И в выборе второго варианта нет ничего плохого или неестественного: мы ведь не ожидаем, что, купив автомобиль «Победа», сможем и по дорогам на нём ездить, и по пустыне, и даже небольшой океан переплыть. Нет — все ясно понимают, что для таких планов нужно совсем другое транспортное средство (а скорее всего, целый их парк).

То же самое и с информационной безопасностью: лишь обозначив адекватный выделенным ресурсам периметр, можно требовать от подразделений ИБ достижения поставленных целей. Это обязательно нужно учитывать при разработке стратегии защиты. Нет денег на собственный SOC в режиме 24/7? Значит, нужно рассматривать вариант закупки круглосуточного сервиса MDR или же организации работы по схеме 8/5, но с чётко осознаваемым риском не успеть вовремя среагировать на угрозу. Нет денег ни на что вообще, кроме одного специалиста ИБ? Значит, надо принять суровую реальность, что любая атака вряд ли вообще будет обнаружена, и уделить больше внимания стойкости ИT-инфраструктуры и резервному копированию. 

К сожалению, внятная оценка рисков и адекватное планирование целей и задач подразделений ИБ всё ещё не входят в список самых популярных и распространённых компетенций высших эшелонов руководства компаний. Кто в этом виноват —вопрос сложный, эволюционный и, по сути, не такой уж и важный. А вот что делать — вопрос более практический: руководители направлений ИБ должны чётко понимать пределы возможностей своих подразделений и стараться сдерживать бесконтрольный рост зоны их ответственности. В идеале хорошо бы добиться того, чтобы каждая новая задача и новый объект защиты сразу закладывались в бюджет. 

Будем же надеяться, что со временем корпоративная шизофрения излечится или хотя бы уйдёт в ремиссию и системы защиты перестанут наконец походить на группу странных меховых напёрстков на замерзающем теле компании. 

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

17.05.2024
ЛК: Нежелание персонала соблюдать правила ИБ открывает дверь хакерам
17.05.2024
«Тинькофф Банк» приходит третьим в QR-зачёте
17.05.2024
Тянет на срок. ВТБ — о новой мошеннической схеме с «пластиком»
17.05.2024
Microsoft всё же начала отключать корпоративную Россию от «облаков»
16.05.2024
ИБ и ЕГЭ. Почему каждому абитуриенту нужно быть немного безопасником
16.05.2024
Продажа «симок» через «Госключ» и «Почту России». Что ещё в пакете?
16.05.2024
Ещё два российских финсервиса поделятся данными с властями
16.05.2024
В Британии запустили открытую платформу для тестирования ИИ
16.05.2024
Клиентов хостинг-провайдеров идентифицируют через «Госуслуги»
15.05.2024
«Важно выстроить единую систему подготовки кадров в области ИБ-образования»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных