Twitter-войны безопасников зимы 2013-го

Как известно, все безопасники делятся на две категории: те, для которых на первом месте дыры, экплоиты и пентесты (потому что они любят и умеют ломать) и те, для которых первостепенны риски и влияние на бизнес (потому что они любят и умеют считать деньги). И те, и другие, в общем-то, ничем не отличаются: первые пытаются натянуть свою картину мира на бизнес-ориентированность и подсчет рисков, вторые не отрицают, что технические аудиты (пентесты) являются важной составляющей жизненного цикла ИБ.

В разрезе этого понимания очень занятно наблюдать, как первые безопасники напрыгивают на вторых, искуственно и достаточно топорно разделяя сообщество ИБ на "дартаньянов" и "бумажников". Вторые отвечают  в своем классическом стиле "вы ничего не понимаете в бизнес-рисках, покажите деньги или ваши эксплоиты ничего не значат". И вроде бы они правы, но...

Я не скажу, что обладаю богатым опытом непосредственного участия или наблюдения за тем, как занимаются безопасностью крупные компании. Однако кое-какая практика все же есть, причем распространяющаяся от финансовых институтов Великобритании до крупных интернет-компаний. И она показывает простую вещь: то, что написал в своей заметке Алексей Лукацкий, хоть и теоретически верно, на практике нигде не работает. Потому что управлять рисками ИБ в разрезе бизнеса компании, в общем случае, очень сложно. Как же ситуация обстоит на практике?

На практике все очень просто. Те компании, где среди высокого руководства (в топ-менеджменте или совете директоров) находятся люди, неравнодушные к техническим аспектам ИБ (тем же пентестам), как правило, имеют хорошую атмосферу безопасности. Потому что в компании, где топ-менеджмент поддерживает хакеров, очень быстро образуется тусовка неравнодушных молодых людей с горящими глазами. И это уже задача топ-менеджера направить их огонь в нужное бизнесу русло: он наймет аналитиков, они все подсчитают, оценят риски, выработают формат подачи (репортинга) информации наверх и так далее. В итоге всем будет по кайфу работать, и в компании с ИБ "все будет хорошо".

Те же организации, которые пытаются жить "по бумаге", открывают бочку не с того конца. Выстраивать управление рисками и уметь отвечать на вопрос "so what?" это, конечно, хорошо и правильно. Но мы все знаем, что оценка рисков -- это во многом черная магия и спекуляция, это система из N уравнений с M неизвестными, где M много больше N. Компании, которые пытаются так жить, как правило, делают это очень плохо. Не потому, что они дураки -- просто это очень сложно. Более того, когда процесс спускается до "реальной" безопасности, эти компании испытывают проблемы с исполнителями технической части: хакерам работать в таких компаниях неинтересно, а консультанты-подрядчики слишком технари (те же хакеры), чтобы дать интересующие компанию результаты. В итоге ощущение, что "все хорошо", если и есть, то является скорее ложным. В самых запущенных случаях безопасность в таких компаниях превращается в регулярное мочеиспускание в слуховые органы бизнес-владельцев.

Какие можно сделать выводы? Они простые: ни пентестеры, ни аналитики от бизнеса не делают погоду ИБ в компаниях. Это, на самом деле, ужасный факт, но я вынужден его озвучить: в безопасности бизнеса все зависит от наличия в топ-менеджменте компании неравнодушных к ИБ людей. И только.

Но об этом вам спорящие в твиттере и линкедине безопасники, конечно, никогда не скажут.