Термин "бумажная безопасность" уже практически укоренился в нашей среде и приобрел оттенок резко отрицательный. Все чаще представители различный компаний в своих выступлениях пытаются показать что мол мы тут реальными вещами занимаемся, а не какой-то там "бумажной" безопасностью.
Я нисколько не пытаюсь умалить ценность разного рода технических средств, да только на практике доказано, что количество, стоимость и крутизна бренда установленных в компании средств безопасности далеко не всегда коррелирует с реальной защищенностью и готовностью оперативно реагировать на меняющийся ландшафт угроз. Сейчас на рынке информационной безопасности чего только нет, сотни различных решений и кого не спроси все же не просто так выпускают новые ИБ-продукты, все так или иначе решают какие-то реальные проблемы, устраняют угрозы и проч.
Но вот что при этом упускается из вида, что подчас приписывается к той самой "бумажной безопасности", это необходимость не просто наращивать мускулы в виде средств защиты, но и "включать голову" в смысле адекватного оценивания ситуации, выставления приоритетов, определения той самой (заезженный термин) стратегии обеспечения безопасности. Но стратегии не в том смысле как это часто делается, в виде документа на несколько сотен страниц, который успевает устареть к моменту его утверждения в организации, а стратегии если можно так сказать "в режиме реального времени", ориентированной на текущие обстоятельства.
А что для этого нужно ? Нужно адекватно инвентаризировать инфраструктуру и определить наиболее критичные активы, необходимо оценивать риски и расставлять приоритеты в части того, что нужно минимизировать в первую очередь, нужно собирать аналитику и оценивать состояние текущих средств защиты, нужно искать механизмы взаимодействия с бизнесом с точки зрения понимания ключевых задач и приоритетов и прочее. Готовых рецептов тут тоже нет, можно ориентироваться на стандарты, на лучшие практики, да на что угодно, но главное "включать голову". К сожалению все что я описал выше очень часто относят к "бумажной" безопасности и, стало быть, начинают воспринимать как абсолютно бесполезную вещь, мне кажется зря. В качестве подтверждения моих слов приведу еще два небольших комментария:
Если брать в пример военное дело, то можно найти немало примеров полководцев, которые одерживали победы над превосходящими силами противника. Что им помогало ? Конечно же верно выбранные стратегия и тактика. На эту тему есть, например, труды известного полководца А.В. Суворова , который, как известно, за всю жизнь не проиграл ни одного сражения.
Недавно проведенное исследование компании Delloite показало что директора по безопасности тратят порядка 77% процентов всего своего времени на разного рода технические задачи, в то время как руководители бизнеса ожидают от них прямо противоположного: больше ориентации на бизнес-задачи, стратегическое планирование и проч.
