Меня очень раздражают все эти глупые публикации типа "21 истина, о которой я не знал в 21 год, а стоило бы" или вроде этого. Поэтому я не обижусь, если этот пост никто не станет читать: я бы и сам, наверное, не стал. Но написать его придется, потому что ну очень уж часто в последнее время приходится сталкиваться с ситуациями, в которых, вроде бы, и стоит объяснить, но при этом или лень, или элементарно некогда. Поэтому давайте по пунктам.
- Не существует такого понятия, как "лучшие практики".Лучшие практики придумали консультанты из компаний "большой N-ки", ранее известной как "большая N+1-ка". Смысл этого нововведения: упростить подход к консалтингу и унифицировать свои внутренние процессы, тем самым поднять эффективность, то есть, прибыль. "Don't use brains, use templates".
Как нет двух абсолютно одинаковых компаний, так нет и двух идентичных подходов к безопасности.Поэтому, даже если вы изловчитесь и выберите "лучший" подход, вам все равно придется его изменить, причем очень скоро. В общем, лучшее враг хорошего, а хорошее -- лучший заменитель лучшего. Ищите индивидуальный подход, будьте гибки и идите навстречу бизнесу, вместо того, чтобы пытаться увести его за собой. - Риска нет и точка.Для бизнеса риска не существует, пока вы его ему не продемонстрировали. Особенно, если речь идет о риске в той плоскости, в которой у руководства нет компетенций, коей ИБ, несомненно, является. Выражение "существует риск"нужно приберечь для использования в узком кругу себеподобных, в бизнес-среде его употребление вредит карьере.
Простое правило: бизнес создается для того, чтобы идти на риск ради получения прибыли.Поэтому нечего ему рассказывать о том, что риска немного больше, чем он думает. Покажите ему конкретные цифры, а еще лучше -- примеры. - Безопасность это не процесс,как нас тому учат многочисленные последователи Демминга. Конечно же, понятие о безопасности, как о продуктеили проекте -- еще хуже, но процессный подход в отрыве от реальности -- немногим лучше. Безопасность это не процесс, безопасность это свойство.Свойство процесса, продукта, проекта, объекта, субъекта... практически, чего угодно в этом мире. Поэтому идеальный исход для нашей профессии -- это ее исчезновение в связи с тем, что безопаность станет неотъемлимой частью всех областей деятельности. А это, как мастерски отметил Сергей Гордейчик на PHDays, прекрасная но несбыточная мечта.
- Бизнес и технари говорят на разных языках, потому что общего языка у них нет. Нельзя усадить за один стол CEO и CIO/CISO/CTO/ETC и надеяться, что из от их конструктивной дискуссии что-то изменится в лучшую для последних сторону. Хотя бы потому, что вполне очевидно, чье мнение в итоге будет решающим.
Не нужно стараться побороть проблемы коммуникации раз и навсегда. Тем более, не стоит сетовать, что бизнес не понимает технарей и наоборот. Пора смириться и жить дальше, приняв эту тяготу бытия как данность. - Безопасность это игра, в которой у каждого игрока есть свои собственные цели. Причем скорее всего достижение/обеспечение безопасности бизнеса это цель всего одного участника игры, то есть, ваша. И достичь ее вы сможете только учтя в нужной пропорции интересы и цели остальных игроков.