Эпиграф
MFA не выдаст, Zero Trust не съест!
Испытание на профпригодность в ИБ похоже на средневековое испытание для женщин, подозреваемых в колдовстве. Их привязывали к стулу и бросали в воду: те, которые тонули, ведьмами не считались.
Так же и в ИБ: вас "привязывают" к имеющейся ИТ-инфраструктуре и "бросают в воду", если не повезло и вас взломали, вы - "дырявое" ИБ.
При этом необходимо заметить, будете ли вы успешны в ИБ или нет, зависит от действий самых нерадивых работников вашей компании, а также от косяков в созданной до вас корпоративной ИТ-инфраструктуре.
По причине скрытых уязвимостей в ИТ-инфраструктуре, и также из-за боязни потерять работу в случае попытки "расставить все точки над "i", ИБ вынужденно прикрывается уклончиво сформулированными служебными записками руководству, предупреждающими о существующих рисках. Это продолжается ровно до того момента, когда следует открыто и прямо признать некоторые шаги бизнеса вредными или недопустимыми с точки зрения информационной безопасности. Но до этого, как правило, не доходит.
У ИБ недостаточно полномочий, чтобы заставить бизнес не рисковать. ИБ может быть обвинена бизнесом (исходя из случившегося позднее – повезло/не повезло) в бессмысленной трате денег по двум основаниям: 1) тратим – а может зря, ведь ничего не происходит, 2) тратим – а это не помогло. Поэтому, когда ИБ "идёт на принцип", его меняют или игнорируют.
