BIS Journal №3(50)2023

29 августа, 2023

Заметки безопасника. Сказ о купце, скорняке, сове и глобусе

Многие, наверное, помнят сказку о скорняке и его жадном клиенте. В ней скупой купец приходит к скорняку, приносит овечью шкуру и просит сшить из неё шапку. Когда мастер соглашается, клиент меняет задачу и требует уже не одну, а целых семь шапок. В результате купец получает свой заказ, но есть нюанс: готовые изделия по размеру напоминают скорее напёрстки, чем головные уборы.

Сейчас уже не узнать, когда именно родилась эта старая армянская сказка, которая и сегодня до неприличия правдива и актуальна. Она применима и к сфере информационной безопасности, бурлящей ситуациями, почти дословно повторяющими этот древний смешной сюжет.

«А что мы, собственно, хотим защищать?» — вот важнейший вопрос, который обязательно должен быть задан при построении системы безопасности. При этом типичное его обсуждение между сотрудником, ответственным за ИБ, и высшим руководством обычно проходит так:

— А что мы должны защищать?

— Всё!

— Хорошо. Для этого потребуется выделить много-много ресурсов и серьёзно поменять существующие бизнес-процессы.

— Нет, мы не можем себе такого позволить, это дорого. Готовы дать одну десятую часть от запрошенного бюджета и полтора землекопа в придачу. И то много будет.

— Тогда нам нужно пересмотреть стратегию, потому что на весь периметр этого не хватит.

— Нет, это неприемлемо, защищайте всё!

— Но тогда нужно больше ресурсов!

— Ресурсов не дадим.

— Тогда уменьшайте требования!

— Нет, защитить нужно всё.

Перед нами запущенный случай корпоративной шизофрении — распространённого заболевания, не позволяющего руководству принять тот факт, что наша сова на предложенный глобус ну никак не натягивается. Нужно либо купить птицу побольше, либо избрать меньший целевой диаметр сферы. И в выборе второго варианта нет ничего плохого или неестественного: мы ведь не ожидаем, что, купив автомобиль «Победа», сможем и по дорогам на нём ездить, и по пустыне, и даже небольшой океан переплыть. Нет — все ясно понимают, что для таких планов нужно совсем другое транспортное средство (а скорее всего, целый их парк).

То же самое и с информационной безопасностью: лишь обозначив адекватный выделенным ресурсам периметр, можно требовать от подразделений ИБ достижения поставленных целей. Это обязательно нужно учитывать при разработке стратегии защиты. Нет денег на собственный SOC в режиме 24/7? Значит, нужно рассматривать вариант закупки круглосуточного сервиса MDR или же организации работы по схеме 8/5, но с чётко осознаваемым риском не успеть вовремя среагировать на угрозу. Нет денег ни на что вообще, кроме одного специалиста ИБ? Значит, надо принять суровую реальность, что любая атака вряд ли вообще будет обнаружена, и уделить больше внимания стойкости ИT-инфраструктуры и резервному копированию. 

К сожалению, внятная оценка рисков и адекватное планирование целей и задач подразделений ИБ всё ещё не входят в список самых популярных и распространённых компетенций высших эшелонов руководства компаний. Кто в этом виноват —вопрос сложный, эволюционный и, по сути, не такой уж и важный. А вот что делать — вопрос более практический: руководители направлений ИБ должны чётко понимать пределы возможностей своих подразделений и стараться сдерживать бесконтрольный рост зоны их ответственности. В идеале хорошо бы добиться того, чтобы каждая новая задача и новый объект защиты сразу закладывались в бюджет. 

Будем же надеяться, что со временем корпоративная шизофрения излечится или хотя бы уйдёт в ремиссию и системы защиты перестанут наконец походить на группу странных меховых напёрстков на замерзающем теле компании. 

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

30.06.2025
Всё связать до 1 июля: «симку», биометрию, «Госуслуги»
30.06.2025
Нейросетям поставили задачу усовершенствовать бюджетный процесс
30.06.2025
Draugnet послужит демократизации отчётности по киберугрозам
30.06.2025
Россиян превращают в дропперов особо изощрённым способом
30.06.2025
Банк России сдал нулевой срез по цифровому рублю
30.06.2025
Половина безопасников хочет приостановить развёртывание GenAI
27.06.2025
«Корыстные цели и низкий уровень правовой культуры». Телеком-лицензии — только в чистые руки
27.06.2025
США опасаются усиления иранских кибератак после авиаударов
27.06.2025
«Можно было бы просто запретить импорт отдельных сегментов». «Аквариус» — о вечном
27.06.2025
ИИ позволяет бороться с телефонными мошенниками, сохраняя тайну связи

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных