BIS Journal №3(50)2023

29 августа, 2023

Заметки безопасника. Сказ о купце, скорняке, сове и глобусе

Многие, наверное, помнят сказку о скорняке и его жадном клиенте. В ней скупой купец приходит к скорняку, приносит овечью шкуру и просит сшить из неё шапку. Когда мастер соглашается, клиент меняет задачу и требует уже не одну, а целых семь шапок. В результате купец получает свой заказ, но есть нюанс: готовые изделия по размеру напоминают скорее напёрстки, чем головные уборы.

Сейчас уже не узнать, когда именно родилась эта старая армянская сказка, которая и сегодня до неприличия правдива и актуальна. Она применима и к сфере информационной безопасности, бурлящей ситуациями, почти дословно повторяющими этот древний смешной сюжет.

«А что мы, собственно, хотим защищать?» — вот важнейший вопрос, который обязательно должен быть задан при построении системы безопасности. При этом типичное его обсуждение между сотрудником, ответственным за ИБ, и высшим руководством обычно проходит так:

— А что мы должны защищать?

— Всё!

— Хорошо. Для этого потребуется выделить много-много ресурсов и серьёзно поменять существующие бизнес-процессы.

— Нет, мы не можем себе такого позволить, это дорого. Готовы дать одну десятую часть от запрошенного бюджета и полтора землекопа в придачу. И то много будет.

— Тогда нам нужно пересмотреть стратегию, потому что на весь периметр этого не хватит.

— Нет, это неприемлемо, защищайте всё!

— Но тогда нужно больше ресурсов!

— Ресурсов не дадим.

— Тогда уменьшайте требования!

— Нет, защитить нужно всё.

Перед нами запущенный случай корпоративной шизофрении — распространённого заболевания, не позволяющего руководству принять тот факт, что наша сова на предложенный глобус ну никак не натягивается. Нужно либо купить птицу побольше, либо избрать меньший целевой диаметр сферы. И в выборе второго варианта нет ничего плохого или неестественного: мы ведь не ожидаем, что, купив автомобиль «Победа», сможем и по дорогам на нём ездить, и по пустыне, и даже небольшой океан переплыть. Нет — все ясно понимают, что для таких планов нужно совсем другое транспортное средство (а скорее всего, целый их парк).

То же самое и с информационной безопасностью: лишь обозначив адекватный выделенным ресурсам периметр, можно требовать от подразделений ИБ достижения поставленных целей. Это обязательно нужно учитывать при разработке стратегии защиты. Нет денег на собственный SOC в режиме 24/7? Значит, нужно рассматривать вариант закупки круглосуточного сервиса MDR или же организации работы по схеме 8/5, но с чётко осознаваемым риском не успеть вовремя среагировать на угрозу. Нет денег ни на что вообще, кроме одного специалиста ИБ? Значит, надо принять суровую реальность, что любая атака вряд ли вообще будет обнаружена, и уделить больше внимания стойкости ИT-инфраструктуры и резервному копированию. 

К сожалению, внятная оценка рисков и адекватное планирование целей и задач подразделений ИБ всё ещё не входят в список самых популярных и распространённых компетенций высших эшелонов руководства компаний. Кто в этом виноват —вопрос сложный, эволюционный и, по сути, не такой уж и важный. А вот что делать — вопрос более практический: руководители направлений ИБ должны чётко понимать пределы возможностей своих подразделений и стараться сдерживать бесконтрольный рост зоны их ответственности. В идеале хорошо бы добиться того, чтобы каждая новая задача и новый объект защиты сразу закладывались в бюджет. 

Будем же надеяться, что со временем корпоративная шизофрения излечится или хотя бы уйдёт в ремиссию и системы защиты перестанут наконец походить на группу странных меховых напёрстков на замерзающем теле компании. 

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

30.09.2023
Финансовый сектор в новых условиях: задачи, риски, перспективы
29.09.2023
Стоит ли нарушать принцип сетевой нейтральности?
29.09.2023
Банк России расширит «пилот» по цифровому рублю?
29.09.2023
АБД: Операции с ПДн должны осуществляться не напрямую, а через отправку официальных запросов
29.09.2023
Банк России не планирует отдавать руль роботу в части регуляторно-надзорной деятельности
29.09.2023
Сбой ИТ-систем остановил производство на заводах Volkswagen
29.09.2023
Хлеба и зрелищ! Роботы-доставщики слили видео со своих камер полиции
28.09.2023
Искусственный интеллект в России на 90% — это бутафория
28.09.2023
«Понятно, что когда у тебя чужой код, в нём могут быть закладки»
28.09.2023
У платформы «Гостех» появится центр реагирования и мониторинга кибератак

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных