продолжим рассуждения автора: а зачем нужна медицина?
27.03.2006 10:59:25
продолжим рассуждения автора: а зачем нужна медицина?
|
|
|
|
27.03.2006 11:00:55
А медицина - это способ инвестиций для больного? |
|||
|
|
27.03.2006 11:13:00
Роберту: Ну вопрос ведь всегда в цене. И когда надо закрытый телефонцик кого-нибудь, то к кому из сотовой кампании обращаться мы тоже знаем. :) Что проделывалось не разз..
|
|
|
|
27.03.2006 11:14:01
Правильная мысль - есть: безопасность - это не инвестиции, это гигиена.
но в остальном - Полнейший бред!!!, причем почти в в каждом абзаце. |
|
|
|
27.03.2006 11:21:10
Автор, не смог даже до середины дочитать...нет вообще никакой цепочки мысли
Начнём Внедрение ИТ, как правило снижает уровень безопасности информации. Здесь все тоже достаточно прозрачно. Информация становится более мобильной, её гораздо легче скопировать, изменить, уничтожить. 1. Грамотно, с минимумом следов, изменить пару строчек в бумажном документе могут единицы, в то время как модификация текстового файла и изменение даты - тривиальная повседневная операция. Единицы??? Ну-ну...у вас на работе сколько раз уборщица за шефа подписывалась? Мало....а в половине офисов директора забыли, когда уже в последний раз подписи ставили. А если отдел ИБ в организации не может обеспечить аудит и защиту информации - то это уже их трудности, которые переростают в потери денег компанией. Утверждение 4. Своя информационная безопасность не может приносить прибыль. Информационная безопасность не призвана приносить прибыль. Её задача - защитить доходы организации... Если бы разработали систему, когда ОС дяди Билла была бы ПОЛНОСТЬЮ защищена от нелегального использования, то доход компании увеличился бы очень-очень....Или вы несогласны? Или утверждаете, что все бы перешли на НИКСО-подобные системы? Вот и используют майкрософтовцы что-то среднее между тем, что нужно и тем, что защищено И то, что я бегло просмотрел, но что порадовало меня больше всего Вообще эта непостоянность весьма полезна для продаж безопасности. Судорожные попытки защитится от очередного вирусного скандала, побуждает владельцев информационных систем вести себя как покупатели в магазине 30го декабря. А кто должен заниматься безопасностью? Каждый в офисе отдельно? Или админ, который, как правило, по совместительству и программист, и дизайнер, и отдел ИБ.....? Этим должен заниматься специальный отдел, который ДЕНЕГ ПРИНОСИТЬ НЕ БУДЕТ....он должен ,повторюсь, ЗАЩИТИТЬ ДОХОД И затраты на ИБ не с потолка рисуются а выводятся....есть уже не только желизячники....есть специальные отделы менеджмента в сфере ИБ.... PROXIMO MAIL cuziasd@rambler.ru |
|
|
|
27.03.2006 11:31:51
а так абсолютной безопасности нету.... сидит какая-нить девчушка глупая - ей цветочки конфеты, а она все на духу и выложит.... как с этим бороться, я не знаю((((... |
|||
|
|
27.03.2006 11:39:22
видимо, мысль автора сильно флуктуировала в разные стороны, что не могло не отразиться на удобочитаемости данного документа.
а если по теме - такое уже было (в том числе и в философии софистов) - зачем вообще учиться если мир так огромен и непознаваем, зачем лечиться если в конце концов всё равно умрешь, зачем куда то вообще выходить из дома если потом собираешься в него вернуться... |
|
|
|
27.03.2006 11:39:31
Автор не очень хорошо знаком с современным бизнесом. Эффективность тех или иных процессов не всегда определяется финансовой прибылью. Существуют и другие показатели и критерии оценки эффективности. Например, соответствие законодательству, улучшение прозрачности и управляемости и т.д.
Тоже неверно, хотя такая точка зрения считается общепризнанной. Все от того, что безопасность считается самостоятельной задачей - в отрыве, как от стратегии развития бизнеса, так и от стратегии ИТ-развития. Если понимать безопасность, как один из бизнес-процессов (или можно утрировать - как неотъемлемуюю часть любого ИТ-проекта), то внедрение ИТ никак не связано со снижением уровня безопасности. В нормально организованном процессе это просто невозможно. Ка раз наоборот - безопасность является одной из решаемых задач при внедрении ИТ.
Тоже неверно. Исходит из очень недалекой, но распространенной, точки зрения на ИТ/ИБ. Достаточно посмотреть на 5-тиуровневую модель зрелости ИТ Gartner, которая идеально проецируется и на безопасность, и сразу все встает на свои места. Самые отсталые компании находятся на нулевом уровне - хаотическое применение ИБ. Большинство компаний перешли на первый уровень - реактивная безопасность ("пока гром не грянет, мужик не перекрестится"). Очень небольшой процент компаний на втором уровне - проактивном. Это как раз тогда, когда безопасность воспринимается, как гигиенический фактор или страховка от будущих бед. А вот на третьем (безопасность, как сервис) или в идеале, четверотом (безопасность - как бизнес-процесс или как add value для бизнеса) вообще никого нет. А все потому, что большинство компаний-производителей сами находятся на втором уровне (недавнее обсуждение статьи Ильи Медведовского это лишний раз доказывает). Они же это пропагандируют среди заказчиков. А раз так, то вполне закономерно такое отношение к ИБ, как описано в статье и материалах многих разработчиков. Собственно это проблема не только российская, но и западная.
Luka
|
|||||||
|
|
27.03.2006 11:51:57
2 Алексей Лукацкий:
полностью согласен.... |
|
|
|
27.03.2006 11:59:15
А вообще средства, затраченные на благо развития компании, не обязательно должны приносить деньги. Их задача IMHO сделать все возможное для того, чтобы компания получала доход, но это не означает, что эти средства должны сами по себе приносить доход. Ведь тот же шкаф, стол и даже компьютер в компании, занимающейся продажами, например, каких-либо услуг в Интернет, сами по себе не приносят доход, они лишь средства, без которых, согласитесь!, будет весьма сложно работать.
Пример: Обнаружена критическая уязвимость в ОС, которая используется в качестве рабочих станций в компании. Появился вирус, эксплуатирующий эту уязвимость. Исправления не были выпущены или не были установлены (в принципе для конечного пользователя это одно и тоже). Вследствие халатного отношения к безопасности компания была парализована на несколько дней. А это – отсутствие прибыли. Таких примеров можно привести очень много. Задача ИБ – IMHO не приносить прибыль, а делать все возможное, чтобы получение этой прибыли было возможным. |
|||||
|
|
27.03.2006 12:07:55
Гаго, ты?
|
|
|
|
27.03.2006 13:12:07
То: Алексей Лукацкий:
Полностью согласен. Проблема в том, что топ-менеджмент большинства российских компаний не представляет, как создавать стоимость бизнеса внедрением определенных стандартов и требований, в том числе по безопасности (хотя есть еще хороший пример ISO 9001). Все требования и стандарты, которые когда-либо внедрялись в российских компаниях, либо навязаны (обязательны к исполнению), либо внедрялись "с низу" и, соответственно, нежизнеспособны. В обоих случаях эффективность минимальная. |
|
|
|
27.03.2006 13:34:47
Да в первом случае огромны, а во втором случае что с Вами сделают клиенты?
Продать? Это если Вы занимаетесь строительством кораблей. Что Вы будите продавать если он у Вас утонул?
|
|||||||
|
|
27.03.2006 16:08:50
Не убедительно. Доказать, что ИБ бесполезна не получилось.
OFF: Можно целую серию таких статей флеймогонных забацать. Например, следующая тема: "О бесполезности заправлять постель по утрам". :) |
|
|
|
27.03.2006 16:27:04
Охрана (своя) прибыль не приносит.
Охрану - устранить. Страхование прибиль не приносит - не страховать. Хотя последователи автора есть везде... Не даром последний писк моды в бизнес организациях - разделение не зарабатывающие и обслуживающие подразделения в пропорциях - 80 (как минимум) и 20 (как максимум) процентов соответственно. |
|
|
|
27.03.2006 17:10:42
2 Алексей Лукацкий:
согласен на все 100%. Постоянные конференции и выставки "последних достижений в ИБ", показывают, что сами же производители решений в области ИБ не понимаю что на самом деле это такое "ИБ", о моделях зрелости по Gartner(у) эти ребята вообще не слышали :)) И о процессном подходе практически никто не говорит, хотя без него обеспечить ИБ невозможно. Хотя нет, Алексей и говорит :) только, к сожалению, мало кто его понимает ... По поводу того, кто должен заниматься ИБ: Information Security is everyone's responsibility Так что не забывайте про Awareness ;-) Да и еще, раздражает постоянная путаница в терминологии. ИТ-безопасность и ИБ - это все-таки разные вещи, так что не используйте данные выражения в качестве синонимов, не корректно это. |
|
|
|
27.03.2006 17:34:18
Хороший текст. Хороший на предмет демонстрации явного непонимания вопроса ИБ.
Во первых ИБ не есть ответвление от ИТ. Не стоит понимать задачи ИБ только в сфере ИТ, есть еще и документооборот (а полностью электронным он быть не может согласно законодательству), телефония, работа с персоналом и многое другое. Во вторых, даже в контексте ИТ, ИБ решает вопросы в большей части внутренних нарушителей а не внешних. Как тут уже правильно заметили процентное соотношениее 98/2. Хотя мне кажется более реальной соотношение 86/14 (опять же Infowatch в своем отчете приводит похожую цифру) |
|
|
|
27.03.2006 18:57:11
Работал я некоторое время на заводе ... так там одной из целей внедрения ИТ было снижение КРАЖ ...
|
|
|
|
28.03.2006 03:12:45
а и КРАЖ тоже. почему бы нет?
|
||||
|
|
|||