Хорошая тактика для каждого безопасника

Хорошая тактика для каждого безопасника
Чтение новостей о сильных мира сего в очередной раз натолкнуло на мысли о том, что нам всем тоже есть чему у них поучиться. На сей раз речь идет о выплатах наград за обнаружение уязвимостей в тех или иных популярных приложениях. "Ну а при чем тут мы?", спросите вы. На самом деле, на мой взгляд, подобная практика подходит не только крупным производителям разнообразного софта, но и любой компании, которая хочет усовершенствовать собственную систему обеспечения информационной безопасности.
 http://soft.mail.ru/Screens/news/2012/11/27/te_496960.jpg
Ведь как обычно бывает? Кто-то находит в корпоративной системе безопасности какое-то узкое место, служба безопасности, боясь получить за это по голове от руководства организации, всеми правдами и неправдами замалчивает информацию об этом, пытаясь нередко прямо-таки "утопить"  того, кто "имел наглость" найти, так сказать, уязвимость. Ну а сама уязвимость что? Прекрасно себе живет и существует. Иногда, правда, бывает несколько по-другому. Кто-то, найдя уязвимость, скажем, в корпоративном сайте, оставляет ненавязчиво на нём свой "автограф", после чего и подрядчику, выполнявшему сайт, и, зачастую, службе ИБ становится очень даже не весело.
Так вот, правильная цель любой организации в подобных ситуациях - это избавляться от всех возможных уязвимостей. Поэтому нужно, во-первых, отказаться от "пропесочивания" службы ИБ при их обнаружении (речь вовсе не только об уязвимостях корпоративного сайта - имеется в виду уязвимость в самом широком смысле этого слова). А для того,чтобы заинтересовать тех, кто способен находить уязвимости, нужно объявить награду за их обнаружение. Не обязательно, конечно, такую баснословную, как Microsoft за уязвимости Internet Explorer'а , но и не совсем копеечную. Ну и, конечно, нужно позаботиться о том, чтобы информация об уязвимостях использовалась по назначению.
А. Дрозд,
заместитель PR-директора компании SearchInform
уязвимости размышления А. Дрозд информационная безопасность работа безопасника
Alt text

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.