Про "дырявое" ИБ

Про "дырявое" ИБ

Эпиграф

MFA не выдаст, Zero Trust не съест!


Испытание на профпригодность в ИБ похоже на средневековое испытание для женщин, подозреваемых в колдовстве. Их привязывали к стулу и бросали в воду: те, которые тонули, ведьмами не считались.

Так же и в ИБ: вас "привязывают" к имеющейся ИТ-инфраструктуре и "бросают в воду", если не повезло и вас взломали, вы - "дырявое" ИБ.

При этом необходимо заметить, будете ли вы успешны в ИБ или нет, зависит от действий самых нерадивых работников вашей компании, а также от косяков в созданной до вас корпоративной ИТ-инфраструктуре.

По причине скрытых уязвимостей в ИТ-инфраструктуре, и также из-за боязни потерять работу в случае попытки "расставить все точки над "i", ИБ вынужденно прикрывается уклончиво сформулированными служебными записками руководству, предупреждающими о существующих рисках. Это продолжается ровно до того момента, когда следует открыто и прямо признать некоторые шаги бизнеса вредными или недопустимыми с точки зрения информационной безопасности. Но до этого, как правило, не доходит.

У ИБ недостаточно полномочий, чтобы заставить бизнес не рисковать. ИБ может быть обвинена бизнесом (исходя из случившегося позднее – повезло/не повезло) в бессмысленной трате денег по двум основаниям: 1) тратим – а может зря, ведь ничего не происходит, 2) тратим – а это не помогло. Поэтому, когда ИБ "идёт на принцип", его меняют или игнорируют.

Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Валерий Естехин

Информационная безопасность глазами практикующего специалиста по ИБ (16+)