Задумался я тут о предстоящих возможных трансформациях отрасли инфобезопасности и решил поделится этими соображениями с вами, дорогие читатели. И вот что мне думается:
1) Информационная безопасность vs. ИТ-безопасность
На мой взгляд в ближайшем будущем термин ИТ-безопасность будет более применим к тому, чем придется заниматься специалистам по ИБ. БОльшая часть информации уже давно циркулирует именно в электронной форме и ее обработка невозможна без информационных технологий. А что это значит ? А то, что безопасность будет обеспечиваться именно в контексте ИТ-технологий. Мне думается, что это приведет к тому, что для обеспечения максимальной эффективности традиционные "технари" от безопасности должны будут перейти под крыло ИТ-подразделения, а директор по информационной безопасности должен будет сконцентрироваться на вопросах уровня GRC, т.е. общем руководстве, управлении рисками и соответствием законодательству.
2) Сращивание ИТ и ИБ
Как продолжение предыдущей мысли, уже сейчас видно как крупные ИТ-игроки скупают компании, занимающиеся информационной безопасностью (Intel купил McAfee, HP купил ArcSight и т.д. и т.п.). Все это на мой взгляд говорит о том, что в будущем элементы безопасности будут встроены в ИТ-сервисы, предоставляемые пользователям. И это будет правильно по двум причинам: во-первых интегрированный сервис удобен пользователям, т.к. им не надо заботится о защите (хотя они и так не заботятся :)), во-вторых такой сервис надежнее, т.к. как известно безопасность встроенная лучше безопасности наложенной.
3) Отказ от жесткого регулирования вопросов применения средств защиты
Я убежден, что "завинчивание гаек" в виде сертификации средств защиты хоть и имеет краткосрочный эффект (многие вендоры задумались о необходимости сертификации), но в долгосрочной перспективе абсолютно нежизнеспособно. Может быть это чересчур эмоционально, но думаю что такие меры это позор для нашей страны, которая так нуждается в модернизации. Так что мне думается, что если уж не в краткосрочной, то в долгосрочной перспективе отказ от обязательной сертификации непременно произойдет.
4) Усиление регуляторного прессинга
И как это не парадоксально в контексте предыдущего размышления, но количество стандартов и разного рода законов и регуляторных требований будет возрастать, т.к. все же безопасностью бизнес старается заниматься в последнюю очередь (в первую конечно же основные процессы) и ничего с этим не сделаешь (люди вообще склонны к риску и игнорированию опасности, особенно когда она не очевидна), а единственный способ заставить все же думать о безопасности - это введение регулирования (отраслевого, законодательного, международного).
