среда, 16 сентября 2015 г.

О "бумажной" безопасности и не только

Термин "бумажная безопасность" уже практически укоренился в нашей среде и приобрел оттенок резко отрицательный. Все чаще представители различный компаний в своих выступлениях пытаются показать что мол мы тут реальными вещами занимаемся, а не какой-то там "бумажной" безопасностью. 

Я нисколько не пытаюсь умалить ценность разного рода технических средств, да только на практике доказано, что количество, стоимость и крутизна бренда установленных в компании средств безопасности далеко не всегда коррелирует с реальной защищенностью и готовностью оперативно реагировать на меняющийся ландшафт угроз. Сейчас на рынке информационной безопасности чего только нет, сотни различных решений и кого не спроси все же не просто так выпускают новые ИБ-продукты, все так или иначе решают какие-то реальные проблемы, устраняют угрозы и проч. 

Но вот что при этом упускается из вида, что подчас приписывается к той самой "бумажной безопасности", это необходимость не просто наращивать мускулы в виде средств защиты, но и "включать голову" в смысле адекватного оценивания ситуации, выставления приоритетов, определения той самой (заезженный термин) стратегии обеспечения безопасности. Но стратегии не в том смысле как это часто делается, в виде документа на несколько сотен страниц, который успевает устареть к моменту его утверждения в организации, а стратегии если можно так сказать "в режиме реального времени", ориентированной на текущие обстоятельства. 

А что для этого нужно ? Нужно адекватно инвентаризировать инфраструктуру и определить наиболее критичные активы, необходимо оценивать риски и расставлять приоритеты в части того, что нужно минимизировать в первую очередь, нужно собирать аналитику и оценивать состояние текущих средств защиты, нужно искать механизмы взаимодействия с бизнесом с точки зрения понимания ключевых задач и приоритетов и прочее. Готовых рецептов тут тоже нет, можно ориентироваться на стандарты, на лучшие практики, да на что угодно, но главное "включать голову". К сожалению все что я описал выше очень часто относят к "бумажной" безопасности и, стало быть, начинают воспринимать как абсолютно бесполезную вещь, мне кажется зря. В качестве подтверждения моих слов приведу еще два небольших комментария: 

Если брать в пример военное дело, то можно найти немало примеров полководцев, которые одерживали победы над превосходящими силами противника. Что им помогало ? Конечно же верно выбранные стратегия и тактика. На эту тему есть, например, труды известного полководца А.В. Суворова, который, как известно, за всю жизнь не проиграл ни одного сражения. 

Недавно проведенное исследование компании Delloite показало что директора по безопасности тратят порядка 77% процентов всего своего времени на  разного рода технические задачи, в то время как руководители бизнеса ожидают от них прямо противоположного: больше ориентации на бизнес-задачи, стратегическое планирование и проч.

Комментариев нет:

Отправить комментарий