BIS Journal №3(50)2023

29 августа, 2023

Заметки безопасника. Сказ о купце, скорняке, сове и глобусе

Многие, наверное, помнят сказку о скорняке и его жадном клиенте. В ней скупой купец приходит к скорняку, приносит овечью шкуру и просит сшить из неё шапку. Когда мастер соглашается, клиент меняет задачу и требует уже не одну, а целых семь шапок. В результате купец получает свой заказ, но есть нюанс: готовые изделия по размеру напоминают скорее напёрстки, чем головные уборы.

Сейчас уже не узнать, когда именно родилась эта старая армянская сказка, которая и сегодня до неприличия правдива и актуальна. Она применима и к сфере информационной безопасности, бурлящей ситуациями, почти дословно повторяющими этот древний смешной сюжет.

«А что мы, собственно, хотим защищать?» — вот важнейший вопрос, который обязательно должен быть задан при построении системы безопасности. При этом типичное его обсуждение между сотрудником, ответственным за ИБ, и высшим руководством обычно проходит так:

— А что мы должны защищать?

— Всё!

— Хорошо. Для этого потребуется выделить много-много ресурсов и серьёзно поменять существующие бизнес-процессы.

— Нет, мы не можем себе такого позволить, это дорого. Готовы дать одну десятую часть от запрошенного бюджета и полтора землекопа в придачу. И то много будет.

— Тогда нам нужно пересмотреть стратегию, потому что на весь периметр этого не хватит.

— Нет, это неприемлемо, защищайте всё!

— Но тогда нужно больше ресурсов!

— Ресурсов не дадим.

— Тогда уменьшайте требования!

— Нет, защитить нужно всё.

Перед нами запущенный случай корпоративной шизофрении — распространённого заболевания, не позволяющего руководству принять тот факт, что наша сова на предложенный глобус ну никак не натягивается. Нужно либо купить птицу побольше, либо избрать меньший целевой диаметр сферы. И в выборе второго варианта нет ничего плохого или неестественного: мы ведь не ожидаем, что, купив автомобиль «Победа», сможем и по дорогам на нём ездить, и по пустыне, и даже небольшой океан переплыть. Нет — все ясно понимают, что для таких планов нужно совсем другое транспортное средство (а скорее всего, целый их парк).

То же самое и с информационной безопасностью: лишь обозначив адекватный выделенным ресурсам периметр, можно требовать от подразделений ИБ достижения поставленных целей. Это обязательно нужно учитывать при разработке стратегии защиты. Нет денег на собственный SOC в режиме 24/7? Значит, нужно рассматривать вариант закупки круглосуточного сервиса MDR или же организации работы по схеме 8/5, но с чётко осознаваемым риском не успеть вовремя среагировать на угрозу. Нет денег ни на что вообще, кроме одного специалиста ИБ? Значит, надо принять суровую реальность, что любая атака вряд ли вообще будет обнаружена, и уделить больше внимания стойкости ИT-инфраструктуры и резервному копированию. 

К сожалению, внятная оценка рисков и адекватное планирование целей и задач подразделений ИБ всё ещё не входят в список самых популярных и распространённых компетенций высших эшелонов руководства компаний. Кто в этом виноват —вопрос сложный, эволюционный и, по сути, не такой уж и важный. А вот что делать — вопрос более практический: руководители направлений ИБ должны чётко понимать пределы возможностей своих подразделений и стараться сдерживать бесконтрольный рост зоны их ответственности. В идеале хорошо бы добиться того, чтобы каждая новая задача и новый объект защиты сразу закладывались в бюджет. 

Будем же надеяться, что со временем корпоративная шизофрения излечится или хотя бы уйдёт в ремиссию и системы защиты перестанут наконец походить на группу странных меховых напёрстков на замерзающем теле компании. 

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

11.12.2024
Безбумажность подождёт! «Сбербанк» возвращает «аналоговые» документы в моду
11.12.2024
«Код Безопасности» присоединился к Консорциуму для исследований безопасности ИИ-технологий
11.12.2024
Расходы на новые ИТ-активы должны будут утверждаться правкомиссией по цифровому развитию
11.12.2024
РКН покажет, где правильно хоститься
11.12.2024
Дата-центры наконец-то перестанут «крутить счётчики»
10.12.2024
Конференция «Сетевая безопасность». Эксперты — о рынке NGFW
10.12.2024
В России появится реестр «хороших мальчиков». Депутаты хотят оцифровать домашних и безнадзорных животных
10.12.2024
Период «охлаждения» приходит в сферу недвижимости
10.12.2024
Григоренко: Важно не просто заместить зарубежное ПО, но и тиражировать новое
10.12.2024
Банк России представил III квартал 2024 года в антифрод-разрезе

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных