Жизнь – боль или как перестать быть успешным в своем воображении

“Практическое знание – продукт опыта,
его можно приобрести, но невозможно передать в виде общих формул.
Абстрактное знание, напротив, дело техники,
его можно легко систематизировать, передавать и применять”

(цитата из книги Джерри Мюллера “Тирания показателей”)

О чем говорят эксперты

Слушая на разных ИБ-конференциях разных ИБ-экспертов, очень важно научиться фильтровать контент и не "попадаться на крючок" красиво сформулированных постулатов на слайдах докладчиков.

На такие слайды смотришь больше с удовольствием, чем с пользой (любая красиво представленная информация воспринимается, как откровение). Прислушиваться к такого рода советам имеет смысл только, если пропускаешь тот или иной совет через себя.

В качестве иллюстрации рассмотрим пример ниже (в скобках - размышления воображаемого слушателя над постулатом, сдобренные изрядной долей скептицизма и отметкой “↑ риск”, означающей повышенный риск).

Слайд из твиттера “Что делать CISO” (ну, да, к сожалению,

вырван из контекста презентации уважаемого мною эксперта)

-Определяем бизнес-цель (быть первыми на рынке (↑ риск), уникальный продукт (↑ риск), сильный бренд, сильная розничная сеть (↑ риск) – мои идеи кончаются быстро)

-Определяем, как можем ее достичь (поиск своей ниши (↑ риск), клиентоориентированность (↑ риск), уникальный маркетинг (↑ риск), значительное увеличение точек взаимодействия с внешним миром (↑ риск), цифровизация каналов продаж (↑ риск), оптимизация затрат (↑ риск) – мои идеи кончаются быстро)

Синхронизируем с ней свои проекты (ИБ – финансово затратна для компании. Вложения в инфраструктуру и средства защиты могут не вписываться в планы бизнеса)

-Отсекаем все, что не совпадает (бОльшая часть проектов не имеет четких рамок)

-Перестаем делать работу ради работы (начальству виднее: “работа без KPI – деньги на ветер”. Чем плох KPI - вас постоянно "вырывают из контекста")

-Оцениваем операционные риски (решение вопроса руководством: “принимаем риски”, впоследствии: “почему плохо убеждали?”)

-Определяем пределы бюджета (в поисках “волшебника” неизбежно имеешь дело со “сказочником”)

-Разбираемся в стратегии (скорее ищем прорехи в чужой стратегии)

-Оцениваем на что хватит бюджета (“не сейчас” – утешительная форма “никогда”)

-Строим защиту с самого бОльшего (на самое бОльшее может не хватить “пределов бюджета”)

-Все, что не защищаем – учимся выявлять и реагировать (скорее - готовим предметную аргументацию для оправдания своего бездействия)

-Все, что не выявляем сразу – учимся возмещать ущерб (скорее - ищем альтернативные сценарии нейтрализации последствий нарушения безопасности услуги)

-Все, что не покупаем – арендуем (если есть такая возможность)

-Все, что нельзя арендовать – страхуем (если есть такая возможность)

-Все, что нельзя застраховать – прикрываем бумагами (бумаги не спасут ИБ в случае серьёзного инцидента)

Итак, после изучения вышеприведенных “кулинарных рецептов” людям с тяжелой формой перфекционизма можно дать только один, но универсальный совет: “делай, что можешь и будь, что будет”.

Чему нас учит жизнь

Строить ИБ по “кулинарным книгам”, озвученным на ИБ-конференциях, пустая затея. Допустим, вам советуют “разбить яйцо” и “взбить смесь с помощью миксера”, но у вас нет яйца и вам нельзя шуметь. Всё, что вы сможете реализовать у себя в компании из перечисленного: это разбить карьеру начинающего операциониста и сбить спесь с заносчивого менеджера по продажам.
Верьте своим глазам, а не красивым историям из презентаций на ИБ-форумах.

Жизнь – боль. Сегодня ты с трибуны конференции учишь коллег “лучшим практикам в ИБ”, а завтра хакеры и инсайдеры учат тебя правильно расставлять приоритеты в защите периметра компании. Не стоит жить, воображая светлое будущее, – всё происходит сейчас.

Возьмем такое явление, как принятие риска – толерантность к риску. Компании, как правило, неэффективны в управлении собственными рисками - бизнес создается для того, чтобы идти на риск ради получения прибыли.

Миф о том, что управление, например, ИТ- и ИБ-рисками можно осуществлять в рамках единого проекта или даже ряда отдельных мероприятий, проводимых в течение определенного бюджетного периода или года, игнорирует динамическую природу внутреннего и внешнего управления ИТ- и ИБ-рисками. Чтобы идти в ногу с меняющимися условиями, в которых приходится работать современным компаниям, управление ИТ- и ИБ-рисками должно быть организовано как непрерывный процесс.

Надо отдавать себе отчет в том, что ни область деятельности - ИБ, ни надежная профессия в ИБ не могут быть основаны на технических ошибках производителей ПО, системах, приложениях и протоколах связи, имеющих множество уязвимых мест. В результате, кроме плохо сконфигурированных сетей, не работающих средств защиты и минимальных инвестиций в ИТ-безопасность, мы имеем хрупкую инфраструктуру, перегруженную потенциальными уязвимостями.

Деятельность ИБ эффективна лишь в том случае, если она органично встроена в корпоративную культуру компании. Мы должны исходить из того, что люди, финансирующие наш труд, находятся в здравом уме и способны устанавливать приоритеты и определять наиболее важные активы и процессы, которые необходимо защищать. Задача ИБ - совместно с ИТ выявить слабые и сильные стороны в защите инфраструктуры компании и провести структурные реформы, предоставив руководству веские обоснования серьёзных вложений в инфраструктуру и средства защиты.

ИБ редко удается избежать ошибок и просчетов в своей работе, остается лишь утешать себя, что "обходя разложенные грабли, ты теряешь драгоценный опыт".