- Мне практически не известны системы эффективные на 100%. Как следствие, имеющийся риск, как правило, не закрывается контролем на 100%. Обычно говорят о допустимых уровнях.
- Снижение эффективности связано с желанием большей гибкости, ибо абсолютно негибкие решения зачастую неприменимы (тут надо помнить, что безопасность - средство, а не цель, и, помимо того, что быть безопасным, бизнесу еще надо как-то работать)
- Не всегда есть возможность реализовывать превентивные меры, а так как оставаться совсем голым еще хуже - реалзиуем детективные: пусть нас можно атаковать, но мы об этом узнаем как только, так сразу, и это 100% лучше, чем не узнаем вообще!
- Считай что оценка рисков - выбор компромисса. Всегда, когда мы решаем проблему безопасности, мы вынуждены искать компромисс - это и есть оценка рисков, и она есть всегда, независимо от размера компании, шатата админов, критичности данных - все это влияет уже лишь на внутренюю организацию процесса оценки рисков. Но, как класс ативностей, он есть, возможно немного вырожденный или видоизмененный.
- Обучение пользователей. Ввиду того, что невозможно разных людей заставить думать одинаково , особенно в области, где они не специалисты, куда более эффективно придумать свод праил "что можно, а что нельзя". Это и есть те самые политики и стандарты. Да, они будут не такие пафосные, как в крупной компании, но как класс они неизбежно будут существовать, и о них будет разговор на awareness training-е для пользователей.
- На рынке есть решения и для SMB.
На "Маленькая Безопасность"
На "Маленькая Безопасность"
Нет, мир не белый и не черный, и, на мой взгляд, не стоит так радикально и жестко отметать то, что создано предыдущими поколениями. Стараясь быть максимально кратким постараюсь изложить свою позицию в нескольких тезисах:
Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!
