5 Марта, 2015

ИБ зациклилась на регуляторах?

АБЦ
Информационная безопасность (ИБ) – это лишь один из инструментов обеспечения экономической безопасности (ЭБ). В зависимости от организации инструменты экономической безопасности имеют разный вес. У кого-то преобладает физическая безопасность, у кого-то информационная или кадровая. У кого-то все активы на серверах, у кого-то на складах или в недвижимости. Соответственно, и подходы к ИБ разные (либо их нет). Я это все к тому, что ИБ – лишь инструмент ЭБ и судя по бюджетам многих организаций не самый эффективный, по мнению руководства.

Хорошо, если риски организации описаны и классифицированы, каждый риск имеет свою цену и вероятность, но чаще приоритет тому или иному инструменту организация предоставляет не вследствие анализа и выявления своих рисков, а по наитию (опыту). Провести качественный анализ рисков дорогого стоит. Анализ рисков организации слабо связан с информационной безопасностью, это финансовые риски, однако при подобном анализе можно выявить активы и бизнес-процессы, требующие защиты, в том числе и в части ИБ. А зная экономические риски, бизнес-процессы и активы, которые связаны с рисками, можно выстроить риски ИБ. То есть И-безопасники прежде всего должны знать, ЧТО конкретно надо защищать. Например, бесполезна защита от DDoS атак WEB- сервиса, нарушение работы которого не повлияет на финансовое состояние организации. Наверное, описаны банальные вещи, но Вы уверены, что точно знаете, ЧТО надо защищать в вашей организации? Следующие вопросы – от кого, как и т.п. – это ваш опыт (и в некоторых случаях требования регулятора).

В медийном ИБ-пространстве тема регуляторов широко представлена, иногда даже с избытком. Не хочется, чтобы специалисты ИБ зацикливались на регуляторах – это лишь часть рисков. Конечно, все связанное с ними проще обосновать для закупки (ведь гендиректора и посадить могут! Это ж персданные!!!) или для продажи (ровно те же аргументы). Надо понимать, что регуляторы не занимаются защитой ваших активов (если вы не входите в узкий круг курируемых компаний), не выпускают для этого нормативную базу - у них своя миссия. ИБ-специалисты в компаниях-заказчиках находятся в ситуации, когда у интеграторов и производителей цель заработать деньги, у регулятора блюсти закон, и только у ИБ-специалиста цель связана с благополучием своей организации.

Приведу пример реальной утечки моих персданных. Подумайте, как бы поступили вы сами на месте руководителя дилера Ауди – тратили бы деньги на защиту персданных или приняли бы этот риск.

Купил я новую машину. Через год начались звонки о продлении страховки, звонков 30 было из разных организаций, у каждого звонившего я пытался узнать, откуда мой номер и данные обо мне и машине – показания путались либо вешалась трубка. Неприятно. Я так думаю, не я один через это прошел. Я решил понять, откуда ноги растут. Покупая год назад машину у другого дилера Ауди я в разных инстанциях (дилер, страховая, ГИБДД и тп) оставил разные номера телефонов. Через год позвонили на телефон, который был только у дилера Ауди. Тоже раз 30. Съездил к дилеру, поговорил с руководством… сливают ваши сотрудники….


В следующую покупку проверю, думаю ничего не изменится. Будет та же ситуация и те же извинения. Менять свои авто-предпочтения из-за такого отношения к клиенту я не буду – мне не на руководстве дилера ездить, а на автомобиле, который меня устраивает.

Данный пример показателен и по принятию риска организацией и по поведению потерпевшего. Я этим не призываю забывать о рисках регуляторов, только показываю, как рачительный хозяин (акционер) может принять некоторые риски (если он вообще о них знал). И судя по моему поведению в данной ситуации, я даже его понимаю.


Я позже продолжу эту тему, все-таки хочется разнообразить рынок ИБ интересными идеями вне навязанного спроса. Регуляторы всегда будут, их требования будут меняться и наполнять ИБ рынок новыми продуктами и услугами – это нормальная экономика, но для развития ИБ нужно большее.