BIS Journal №2(25)/2017

30 июня, 2017

12 законов всамделишной безопасности

12 ЗАКОНОВ ВСАМДЕЛИШНОЙ КОРПОРАТИВНОЙ БЕЗОПАСНОСТИ
 
Недавно, прочитав онтологическое исследование общества «Россия - поместная федерация» от Симона Кордонского, я поразился, насколько точно там сформулированы мои ощущения от противоречивости корпоративной жизни в целом и корпоративных служб ИБ в частности. Симон противопоставляет «реальность» (политики и процедуры) и «на самом деле» (практику). В его трактовке политики и процедуры в России всегда противостоят практике, чтобы в образовавшейся «лакуне» (на языке переговорщиков «поляне для торга») было пространство для маневра, а значит и возможность торговаться, договариваться и извлекать финансовую или нефинансовую прибыль.

Источник нашей «лакуны» – практика корпоративной жизни, ведь даже в лучших компаниях противоречий полно. Почему так – сотрудники не знают, исполнители валят на менеджеров, те на топ-менеджеров, а те в свою очередь – на акционеров, т.е. как будто толком не выстроены процессы управления компанией (в клинических случаях я использую термин «корпоративная шизофрения»).

Однако «плохо» управляемые компании как-то растут, зарабатывают прибыль, выходят на новые рынки, и в общем чувствуют себя неплохо, а значит мы чего-то не знаем и есть пространство для исследования и эмпирических опытов.
 
С помощью концепций Симона Кордонского я обобщил личный и клиентский опыт корпоративных ситуаций – сформулировал 12 законов «всамделишной» корпоративной безопасности. О них не написано в ФГОСах, лучших практиках или security guides, но их понимание изрядно упрощает корпоративную жизнь безопаснику, позволяя достигать большего и легче переносить стресс. 
  1. Безопасность по умолчанию непонятна бизнесу. Умелые безопасники держат непонятность на удобном для них уровне.
  2. Чем мутнее и толще пачка утвержденных документов по безопасности, тем меньше спорят с безопасником в целом и в частности по бюджетам и выполнению политик ИБ – много читать боятся практически все.
  3. Чем понятнее деятельность, тем меньше смысла ей заниматься безопасности. Ведь тогда есть риск, что безопасность станет сервисной прозрачной организацией и будет работать в «мыле» - в бэк-офисе.
  4. Если что-то работает как-либо (особенно если безопасность уже что-то делает), лучше этого не менять. Перемены – враг безопасности.
  5. Настоящая безопасность живет только под чьей-то «крышей». «Крышей» в зависимости от типа корпоративной культуры могут выступать CEO, регулятор, вышестоящая организация или лучшие практики. А лучше все вместе – «крыши» много не бывает.
  6. Никто не знает, чем должна заниматься безопасность. А значит, чтобы заниматься хоть чем-то, должна быть веская причина. Желательно в рамках выполнения обещаний «крыше».
  7. Никто не знает, сколько людей и денег нужно для обеспечения безопасности. А значит их количество ограничено только мощностью «крыши» и толщиной пачки обосновывающих документов.
  8. Никто не знает, как нужно измерять безопасность. А значит лучшее практически полезное измерение - удовлетворенность «крыши».
  9. Лучший способ повысить безопасность - ничего не делать. Рано или поздно произойдет аудит или инцидент, и сразу всем захочется повышать безопасность. А без аудита или инцидента никто не будет хотеть, и никакого толку от активности безопасности не будет.
  10. Дешевая безопасность - плохая безопасность. Так недалеко и до понимания сервисной роли безопасности и даже богомерзского SLA.
  11. Гибкая безопасность – не лучше дешевой. Для безопасности нет ничего хуже перемен.
  12. Нет ничего хуже структурированного подхода к безопасности, ведь тогда руководителя службы ИБ можно заменить - процессы-то налажены.
 
КАК Я ПРОИГРАЛ СДЕЛКУ НА 10 МЛН ИЛИ О СКОРОСТНОМ РЕЖИМЕ В КИБЕРБЕЗОПАСНОСТИ 

Пару лет назад я вел пилот одного из ведущих мировых SIEM в B2C-банке ТОП-50 (SIEM A). В Банке уже был другой ведущий SIEM (SIEM B), но мой партнер был дешевле и лучше сочетался с архитектурой ИБ банка (у него было много технологий от того же вендора). За меня было много чего - банк купил у нас антифрод-проект, нас знали на уровнях CSO и CISO, и CSO и CISO были профи и не имели заоблачных требований к SIEM. Банк не хотел платить за поддержку дорогого SIEM B (как раз скакал доллар), у меня была поддержка директора бизнес-юнита ИБ и вендора SIEM A. 

Против меня был только один фактор - скорость. Я и моя платформа (работодатель) просто не успевали за процессами Банка. Мы были медленнее во всем - выделении ресурсов, поставке пилотного оборудования, настройке коннекторов и правил, да даже в изьятии оборудования после пилота. В конце-концов, мой личный пайплайн тогда составлял 20 сделок и миллиард рублей - и отчитывался я за каждую.

Хотя определенные косяки были и у Банка (в силу скорости Банк уделял каждому проекту всего по чуть-чуть внимания - сильно разбрасывался), причина провала сделки все же оказалась в разной скорости бизнеса Интегратора и Банка. Банк непрерывно выводил новые сервисы и услуги, боролся за прибыльность, оптимизировал штат, ключевые заказчики генерировали больше половины бизнеса, госконтракты и госкомпании давали еще больше, сокращения были чисто ритуальные (отдали 1-2 человек в паническом декабре 2014).

А через год я закрыл несколько на порядок более крупных сделок - работал с клиентами, что жили на схожей с нами скорости. С B2B госкомпаниями всегда работать принципиально легче -  Интегратор принципиально быстрее их, уже они не поспевают за нами, а затормозить всегда легче, чем набрать скорость.

Подобная история в последние пару лет наблюдается чуть ли не у всех бизнесов. Потребители живут на скорости Х, бизнес (так же как и киберпреступность) пытается выжать хотя бы Х-1, служба ИТИБ и игроки рынка ИБ – хотя бы Х-2. Может быть поэтому в последнее время крупные игроки рынка ИБ стали источником целого ряда spin-off’ов (например, Solar Security, Reaxoft, Ангара, Иридис)  - новые игроки за счет компактности, большей управляемости и маневренности могут набрать большую скорость и отгрызают контракты у крупняка. А крупняк не больно и сопротивляется, ведь у него все хорошо и проблема скорее в управляемости - миллиардные обороты не всегда сопровождаются устойчивой диверсифицированной структурой бизнеса, непрерывным денежным потоком и «вкусной» маржинальностью (хотя бы на среднем уровне в индустрии).
 
Из этой истории я вынес простой урок - успех все-таки от слова успевать (например, в сумасшедшем режиме нарушая половину корпоративных регламентов удалось закрыть сделку по IDM за 3 месяца). А при выборе сотрудников / места работы / подрядчиков / клиентов обеим сторонам стоит подумать, совпадают ли ритмы работодателя и сотрудника. 
Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

04.07.2025
Конгрессмен рассказал агентам ФБР про кибербез (не наоборот)
04.07.2025
«Это ускорит развитие национальной платёжной инфраструктуры»
04.07.2025
«Пар»? «Ростелеком» строит свой Steam
04.07.2025
«Не будет никакой остановки». Европейский AI Act — на марше
04.07.2025
В России всё же создадут базу биометрии мошенников
03.07.2025
В Госдуме продолжают намекать на преимущества импортозамещения
03.07.2025
Котята отрастили щупальца. Kraken целится в Apple издалека?
03.07.2025
DLBI: До конца года стилеры могут парализовать поиск «удалёнки» в РФ
03.07.2025
Международный уголовный суд подвергается атакам хакеров
03.07.2025
17% компаний выбирает ноутбуки с предустановленными отечественными ОС

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных