Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3 4 5 След.
RSS
О бесполезности информационной безопасности
 
продолжим рассуждения автора: а зачем нужна медицина?
 
Цитата
trup пишет:
а зачем нужна медицина?

А медицина - это способ инвестиций для больного?
 
Цитата
Интересно, кто-то пытается этому противойдествовать, или просто приняли риски на основе их глубокого анализа :-))
Сам работаю специалистом по ИБ в сотовой компании.... у нас с этим очень строго... полный контроль... да и людей имеющих полный доступ к базе всего 7 человек..... а так,  устал я мля от  этих инсайдеров... чтож им спокойно не живется?... щас вот одну присучил - пошел к руководству :))
 
Роберту: Ну вопрос ведь всегда в цене. И когда надо закрытый телефонцик кого-нибудь, то к кому из сотовой кампании обращаться мы тоже знаем. :) Что проделывалось не разз..
 
Правильная мысль - есть: безопасность - это не инвестиции, это гигиена.

но в остальном -  Полнейший бред!!!, причем почти в в каждом абзаце.
 
Автор, не смог даже до середины дочитать...нет вообще никакой цепочки мысли

Начнём
Внедрение ИТ, как правило снижает уровень безопасности информации.
Здесь все тоже достаточно прозрачно. Информация становится более мобильной, её гораздо легче скопировать, изменить, уничтожить.

1. Грамотно, с минимумом следов, изменить пару строчек в бумажном документе могут единицы, в то время как модификация текстового файла и изменение даты - тривиальная повседневная операция.

Единицы??? Ну-ну...у вас на работе сколько раз уборщица за шефа подписывалась? Мало....а в половине офисов директора забыли, когда уже в последний раз подписи ставили. А если отдел ИБ в организации не может обеспечить аудит и защиту информации - то это уже их трудности, которые переростают в потери денег компанией.

Утверждение 4. Своя информационная безопасность не может приносить прибыль.

Информационная безопасность не призвана приносить прибыль.
Её задача - защитить доходы организации...
Если бы разработали систему, когда ОС дяди Билла была бы ПОЛНОСТЬЮ защищена от нелегального использования, то доход компании увеличился бы очень-очень....Или вы несогласны? Или утверждаете, что все бы перешли на НИКСО-подобные системы?
Вот и используют майкрософтовцы что-то среднее между тем, что нужно и тем, что защищено


И то, что я бегло просмотрел, но что порадовало меня больше всего


Вообще эта непостоянность весьма полезна для продаж безопасности. Судорожные попытки защитится от очередного вирусного скандала, побуждает владельцев информационных систем вести себя как покупатели в магазине 30го декабря.


А кто должен заниматься безопасностью? Каждый в офисе отдельно? Или админ, который, как правило, по совместительству и программист, и дизайнер, и отдел ИБ.....?
Этим должен заниматься специальный отдел, который ДЕНЕГ ПРИНОСИТЬ НЕ БУДЕТ....он должен ,повторюсь, ЗАЩИТИТЬ ДОХОД

И затраты на ИБ не с потолка рисуются а выводятся....есть уже не только желизячники....есть специальные отделы менеджмента в сфере ИБ....

PROXIMO
MAIL cuziasd@rambler.ru
 
Цитата
Ну вопрос ведь всегда в цене. И когда надо закрытый телефонцик кого-нибудь, то к кому из сотовой кампании обращаться мы тоже знаем. :) Что проделывалось не разз..
что верно, то верно.... только часто бывает , что утечки идут не от нас, а от доблестных правоохранительных органов.... тем более с ведением постановления правительства - они получили полный доступ к базам.... но там ведется логирование - так что в случае чего можно и побадаться....
а так абсолютной безопасности нету.... сидит какая-нить девчушка глупая - ей цветочки конфеты, а она все на духу и выложит.... как с этим бороться, я не знаю((((...
 
видимо, мысль автора сильно флуктуировала в разные стороны, что не могло не отразиться на удобочитаемости данного документа.

а если по теме - такое уже было (в том числе и в философии софистов) - зачем вообще учиться если мир так огромен и непознаваем, зачем лечиться если в конце концов всё равно умрешь, зачем куда то вообще выходить из дома если потом собираешься в него вернуться...
 
Цитата
Соответственно информационная безопасность, раз за неё платят, должна приносить деньги.

Автор не очень хорошо знаком с современным бизнесом. Эффективность тех или иных процессов не всегда определяется финансовой прибылью. Существуют и другие показатели и критерии оценки эффективности. Например, соответствие законодательству, улучшение прозрачности и управляемости и т.д.

Цитата
Внедрение ИТ, как правило снижает уровень безопасности информации.

Тоже неверно, хотя такая точка зрения считается общепризнанной. Все от того, что безопасность считается самостоятельной задачей - в отрыве, как от стратегии развития бизнеса, так и от стратегии ИТ-развития. Если понимать безопасность, как один из бизнес-процессов (или можно утрировать - как неотъемлемуюю часть любого ИТ-проекта), то внедрение ИТ никак не связано со снижением уровня безопасности. В нормально организованном процессе это просто невозможно. Ка раз наоборот - безопасность является одной из решаемых задач при внедрении ИТ.

Цитата
Своя информационная безопасность не может приносить прибыль

Тоже неверно. Исходит из очень недалекой, но распространенной, точки зрения на ИТ/ИБ. Достаточно посмотреть на 5-тиуровневую модель зрелости ИТ Gartner, которая идеально проецируется и на безопасность, и сразу все встает на свои места. Самые отсталые компании находятся на нулевом уровне - хаотическое применение ИБ. Большинство компаний перешли на первый уровень - реактивная безопасность ("пока гром не грянет, мужик не перекрестится"). Очень небольшой процент компаний на втором уровне - проактивном. Это как раз тогда, когда безопасность воспринимается, как гигиенический фактор или страховка от будущих бед. А вот на третьем (безопасность, как сервис) или в идеале, четверотом (безопасность - как бизнес-процесс или как add value для бизнеса) вообще никого нет. А все потому, что большинство компаний-производителей сами находятся на втором уровне (недавнее обсуждение статьи Ильи Медведовского это лишний раз доказывает). Они же это пропагандируют среди заказчиков. А раз так, то вполне закономерно такое отношение к ИБ, как описано в статье и материалах многих разработчиков. Собственно это проблема не только российская, но и западная.
Luka
 
2 Алексей Лукацкий:
полностью согласен....
 
Цитата

Утверждение 1. Бизнес - первичен.
...
Соответственно информационная безопасность, раз за неё платят, должна приносить деньги.
Это если ИБ является основным занятием компании :)
А вообще средства, затраченные на благо развития компании, не обязательно должны приносить деньги. Их задача IMHO сделать все возможное для  того, чтобы компания получала доход, но это не означает, что эти средства должны сами по себе приносить доход. Ведь тот же шкаф, стол и даже компьютер в компании, занимающейся продажами, например, каких-либо услуг в Интернет, сами по себе не приносят доход, они лишь средства, без которых, согласитесь!, будет весьма сложно работать.

Цитата

Утверждение 4. Своя информационная безопасность не может приносить прибыль.
А она разве должна?
Пример: Обнаружена критическая уязвимость в ОС, которая используется в качестве рабочих станций в компании. Появился вирус, эксплуатирующий эту уязвимость. Исправления не были выпущены или не были установлены (в принципе для конечного пользователя это одно и тоже). Вследствие халатного отношения к безопасности компания была парализована на несколько дней. А это – отсутствие прибыли. Таких примеров можно привести очень много. Задача ИБ – IMHO не приносить прибыль, а делать все возможное, чтобы получение этой прибыли было возможным.
 
Гаго, ты?
 
То: Алексей Лукацкий:
Полностью согласен.

Проблема в том, что топ-менеджмент большинства российских компаний не представляет, как создавать стоимость бизнеса внедрением определенных стандартов и требований, в том числе по безопасности (хотя есть еще хороший пример ISO 9001). Все требования и стандарты, которые когда-либо внедрялись в российских компаниях, либо навязаны (обязательны к исполнению), либо внедрялись "с низу" и, соответственно, нежизнеспособны. В обоих случаях эффективность минимальная.
 
Цитата
иноморский гость пишет:
Как вариант - построить мегакорабль который выдерживает один рейс. С вероятностью 0,5 он доплывет (либо не доплывет) .
В первом случае - прибыли - огромны.
Доплывет - не доплывет. Какой шанс что во время плавания у Вас случится "страшное"? Попытайтесь расчитать этоту вероятность для: пожара, течи, шторма.
Да в первом случае огромны, а во втором случае что с Вами сделают клиенты?

Цитата
Гость пишет:
Плохой пример. Корабль относится к основным реурсам и сам по себе представляет ценность. Его можно перепрадать и сдать на металлолом. А что делать с системой документооборота, везущей груз корпоративных данных через год?

Продать? Это если Вы занимаетесь строительством кораблей.
Что Вы будите продавать если он у Вас утонул?

Цитата
Гость пишет:
Правильная мысль - есть: безопасность - это не инвестиции, это гигиена.
Раз проще обсуждать медицинские аспекты, тогда соблюдение гигиены не гарантирует, что у человека не случится инфаркт. Для его предотвращения необходимо к примеру заниматься физкультурой (опять тратится время и деньги).
 
Не убедительно. Доказать, что ИБ бесполезна не получилось.

OFF:
Можно целую серию таких статей флеймогонных забацать.
Например, следующая тема: "О бесполезности заправлять постель по утрам". :)
 
Охрана (своя) прибыль не приносит.
Охрану - устранить.

Страхование прибиль не приносит - не страховать.

Хотя последователи автора есть везде... Не даром последний писк моды в бизнес организациях - разделение не зарабатывающие и обслуживающие подразделения в пропорциях - 80 (как минимум) и 20 (как максимум) процентов соответственно.
 
2 Алексей Лукацкий:
согласен на все 100%.
Постоянные конференции и выставки  "последних достижений в ИБ", показывают, что сами же производители решений в области ИБ не понимаю что на самом деле это такое "ИБ", о моделях зрелости по Gartner(у) эти ребята вообще не слышали :))  
И о процессном подходе практически никто не говорит, хотя без него обеспечить ИБ невозможно. Хотя нет, Алексей и говорит :) только, к сожалению, мало кто его понимает ...
По поводу того, кто должен заниматься ИБ: Information Security is everyone's responsibility
Так что не забывайте про Awareness ;-)
Да и еще, раздражает постоянная путаница в терминологии. ИТ-безопасность и ИБ - это все-таки разные вещи, так что не используйте данные выражения в качестве синонимов, не корректно это.
 
Хороший текст. Хороший на предмет демонстрации явного непонимания вопроса ИБ.
Во первых ИБ не есть ответвление от ИТ. Не стоит понимать задачи ИБ только в сфере ИТ, есть еще и документооборот (а полностью электронным он быть не может согласно законодательству), телефония, работа с персоналом и многое другое.
Во вторых, даже в контексте ИТ, ИБ решает вопросы в большей части внутренних нарушителей а не внешних. Как тут уже правильно заметили процентное соотношениее 98/2. Хотя мне кажется более реальной соотношение 86/14  (опять же Infowatch в своем отчете приводит похожую цифру)
 
Работал я некоторое время на заводе ... так там одной из целей внедрения ИТ было снижение КРАЖ ...
 
а и КРАЖ тоже. почему бы нет?
Страницы: Пред. 1 2 3 4 5 След.
Читают тему