10 июня 2017 г.

Real security – Да! Да! Да! Not real security – Нет! Нет! Нет!

О бессмыленных интервью в СМИ на темы ИБ. Как не надо задавать вопросы, если перед журналистом стоит цель разговорить интервьюрируемого


-Вы согласны, что безопасность должа быть комплексной?
-Да.

-А с утверждением, что ИБ должна быть проактивной?
-Да.

-Вы поддерживаете тренд на диджитализацию?
-Да.

-Вы понимаете банки, которые не выполняют требования регулятора и не обеспечивают реальную безопасность?
-Нет.

-Как по-вашему, следует ли потребителям выбирать многоуровневые решения с полноценными функциями защиты?
-Да.

-Вашему банку хотелось бы работать с интегратором, который ставит у заказчика систему защиты и сразу забывает о заказчике?
-Нет.

-Аутсорсинг в ИБ востребован?
-Да.

-В использовании ЦОД-ов банками есть здравый смысл?
-Да.

-Являются ли решения по обеспечению информационной безопасности наиболее трудно оцениваемыми с точки зрения бизнес-эффективности и возврата инвестиций?
-Да.

-У бизнеса есть готовность вкладывать в ИБ- безопасность?
-Нет.

-Должен ли соблюдаться баланс между удобством пользователя и безопасностью?
-Да.

-Зараженные IoT-устройства это реальная угроза компаниям?
-Да.

-Двухфакторная аутентификация клиента банка на текущий момент панацея?
-Да.
-А просто логин и пароль?
-Нет.

-Антивирус умер?
-Да.

-А решения класса анти-APT?
-Нет.

-Дырявый софт это проблема для банка?
-Да.

-А регулярные обновления ПО и внедрение анти-фрод решений?
-Нет.

-Говорят, у вас весело и неформально проходят киберучения?
-Да.

-Повышение осведомленности пользователей в вопросах ИБ эффективно?
-Да.

-А действия скучающих на работе сотрудников это проблема для ИБ?
-Да.

При всём приведённом выше многообразии вопросов зачастую журналисты забывают спросить, например, следующее:

Что Вы можете посоветовать сделать, чтобы предотвратить разглашение информации людьми, которые имеют к ней санкционированный доступ?

Как Вы защищаете данные на бумажных носителях?

Что Вы можете сделать, чтобы помешать пользователям умышленно передавать свои учетные записи другим лицам (например, своим коллегам)?

Даже если Ваша компания соответствует всем требованиям закона, что Вы можете сделать, чтобы клиенты не писали жалобы?

Поскольку риски зависят не только от внутренних, но и от внешних факторов, что Вы можете сделать, чтобы реально изменить риски?

Как Вы узнаете, сколько инцидентов не произошло (было предотвращено)?

Есть ли в Вашей организации уязвимые серверы или серверы с незащищенным RDP-доступом?

Можно ли добиться успехов при цифровизации бизнес-процессов без готовности руководства к риску неудач?

Разработаны ли в Вашей компании метрики ИБ, которые реально помогают выполнять свою деятельность сотрудникам службы информационной безопасности?

Как вы боретесь со снижением (со временем) полезности метрик безопасности в системах защиты (слишком много ложных срабатываний, нет возможности детально исследовать каждое предупреждение)?

Комментариев нет:

Отправить комментарий