1 мая 2021 г.

Про "дырявое" ИБ

Эпиграф

MFA не выдаст, Zero Trust не съест!


Испытание на профпригодность в ИБ похоже на средневековое испытание для женщин, подозреваемых в колдовстве. Их привязывали к стулу и бросали в воду: те, которые тонули, ведьмами не считались.

Так же и в ИБ: вас "привязывают" к имеющейся ИТ-инфраструктуре и "бросают в воду", если не повезло и вас взломали, вы - "дырявое" ИБ.

При этом необходимо заметить, будете ли вы успешны в ИБ или нет, зависит от действий самых нерадивых работников вашей компании, а также от косяков в созданной до вас корпоративной ИТ-инфраструктуре.

По причине скрытых уязвимостей в ИТ-инфраструктуре, и также из-за боязни потерять работу в случае попытки "расставить все точки над "i", ИБ вынужденно прикрывается уклончиво сформулированными служебными записками руководству, предупреждающими о существующих рисках. Это продолжается ровно до того момента, когда следует открыто и прямо признать некоторые шаги бизнеса вредными или недопустимыми с точки зрения информационной безопасности. Но до этого, как правило, не доходит.

У ИБ недостаточно полномочий, чтобы заставить бизнес не рисковать. ИБ может быть обвинена бизнесом (исходя из случившегося позднее – повезло/не повезло) в бессмысленной трате денег по двум основаниям: 1) тратим – а может зря, ведь ничего не происходит, 2) тратим – а это не помогло. Поэтому, когда ИБ "идёт на принцип", его меняют или игнорируют. Бизнес, пока ещё, не готов принять полностью абстрактное для него событие (ущерб от кибератаки на компанию) за риск.

2 комментария:

  1. Так обычно происходит, когда ИБ подчиняется ИТ, а не напрямую высшему руководству.

    ОтветитьУдалить
    Ответы
    1. Не обязательно. Даже, если ответственный за ИБ напрямую подчиняется своему куратору в руководстве (не связанного с ИТ), он мало на что может повлиять, т.к. живёт в условиях трех НЕТ: нет денег, нет людей, нет времени. Находящийся между требованиями регуляторов, возможностями ИТ и намерением руководства всё оптимизировать.

      Удалить