“Практическое знание – продукт опыта,
его можно приобрести, но невозможно передать в виде общих формул.
Абстрактное знание, напротив, дело техники,
его можно легко систематизировать, передавать и применять”
его можно приобрести, но невозможно передать в виде общих формул.
Абстрактное знание, напротив, дело техники,
его можно легко систематизировать, передавать и применять”
(цитата из книги Джерри Мюллера “Тирания показателей”)
О чем говорят эксперты
Слушая на разных ИБ-конференциях разных ИБ-экспертов, очень важно научиться фильтровать контент и не "попадаться на крючок" красиво сформулированных постулатов на слайдах докладчиков.
На такие слайды смотришь больше с удовольствием, чем с пользой. Прислушиваться к такого рода советам имеет смысл только, если пропускаешь тот или иной совет через себя.
В качестве иллюстрации рассмотрим пример ниже (в скобках - размышления воображаемого слушателя над постулатом, сдобренные изрядной долей скептицизма и отметкой “? риск”, означающей повышенный риск).
Слайд из твиттера “Что делать CISO” (ну, да, к сожалению,
вырван из контекста презентации уважаемого мною эксперта)
-Определяем бизнес-цель (быть первыми на рынке (? риск), уникальный продукт (? риск), сильный бренд, сильная розничная сеть (? риск) – мои идеи кончаются быстро)
-Определяем, как можем ее достичь (поиск своей ниши (? риск), клиентоориентированность (? риск), уникальный маркетинг (? риск), значительное увеличение точек взаимодействия с внешним миром (? риск), цифровизация каналов продаж (? риск), оптимизация затрат (? риск) – мои идеи кончаются быстро)
Синхронизируем с ней свои проекты (ИБ – финансово затратна для компании. Вложения в инфраструктуру и средства защиты могут не вписываться в планы бизнеса)
-Отсекаем все, что не совпадает (бОльшая часть проектов не имеет четких рамок)
-Перестаем делать работу ради работы (начальству виднее: “работа без KPI – деньги на ветер”)
-Оцениваем операционные риски (решение вопроса руководством: “принимаем риски”, впоследствии: “почему плохо убеждали?”)
-Определяем пределы бюджета (в поисках “волшебника” неизбежно имеешь дело со “сказочником”)
-Разбираемся в стратегии (скорее ищем прорехи в чужой стратегии)
-Оцениваем на что хватит бюджета (“не сейчас” – утешительная форма “никогда”)
-Строим защиту с самого бОльшего (на самое бОльшее может не хватить “пределов бюджета”)
-Все, что не защищаем – учимся выявлять и реагировать (скорее - готовим предметную аргументацию для оправдания своего бездействия)
-Все, что не выявляем сразу – учимся возмещать ущерб (скорее - ищем альтернативные сценарии нейтрализации последствий нарушения безопасности услуги)
-Все, что не покупаем – арендуем (если есть такая возможность)
-Все, что нельзя арендовать – страхуем (если есть такая возможность)
-Все, что нельзя застраховать – прикрываем бумагами (бумаги не спасут ИБ в случае серьёзного инцидента)
Итак, после изучения вышеприведенных “кулинарных рецептов” людям с тяжелой формой перфекционизма можно дать только один, но универсальный совет: “делай, что можешь и будь, что будет”.
Чему нас учит жизнь
Строить ИБ по “кулинарным книгам”, озвученным на ИБ-конференциях, пустая затея. Допустим, вам советуют “разбить яйцо” и “взбить смесь с помощью миксера”, но у вас нет яйца и вам нельзя шуметь. Всё, что вы сможете реализовать у себя в компании из перечисленного: это разбить карьеру начинающего операциониста и сбить спесь с заносчивого менеджера по продажам.
Жизнь – боль. Сегодня ты с трибуны конференции учишь коллег “лучшим практикам в ИБ”, а завтра хакеры и инсайдеры учат тебя правильно расставлять приоритеты в защите периметра компании. Не стоит жить, воображая светлое будущее, – всё происходит сейчас.
Возьмем такое явление, как принятие риска – толерантность к риску. Компании, как правило, неэффективны в управлении собственными рисками - бизнес создается для того, чтобы идти на риск ради получения прибыли.
Миф о том, что управление, например, ИТ- и ИБ рисками можно осуществлять в рамках единого проекта или даже ряда отдельных мероприятий, проводимых в течение определенного бюджетного периода или года, игнорирует динамическую природу внутреннего и внешнего управления ИТ- и ИБ рисками. Чтобы идти в ногу с меняющимися условиями, в которых приходится работать современным компаниям, управление ИТ- и ИБ рисками должно быть организовано как непрерывный процесс.
Надо отдавать себе отчет в том, что ни область деятельности - ИБ, ни надежная профессия в ИБ не могут быть основаны на технических ошибках производителей ПО, системах, приложениях и протоколах связи, имеющих множество уязвимых мест. В результате, кроме плохо сконфигурированных сетей, не работающих средств защиты и минимальных инвестиций в ИТ-безопасность, мы имеем хрупкую инфраструктуру, перегруженную потенциальными уязвимостями.
Деятельность ИБ эффективна лишь в том случае, если она органично встроена в корпоративную культуру компании. Мы должны исходить из того, что люди, финансирующие наш труд, находятся в здравом уме и способны устанавливать приоритеты и определять наиболее важные активы и процессы, которые необходимо защищать. Задача ИБ - совместно с ИТ выявить слабые и сильные стороны в защите инфраструктуры компании и провести структурные реформы, предоставив руководству веские обоснования серьёзных вложений в инфраструктуру и средства защиты.
ИБ редко удается избежать ошибок и просчетов в своей работе, остается лишь утешать себя, что "обходя разложенные грабли, ты теряешь драгоценный опыт".
