Про "дырявое" ИБ

Дата: 02.05.2021. Автор: Валерий Естехин. Категории: Блоги экспертов по информационной безопасности
Про

Эпиграф

MFA не выдаст, Zero Trust не съест!


Испытание на профпригодность в ИБ похоже на средневековое испытание для женщин, подозреваемых в колдовстве. Их привязывали к стулу и бросали в воду: те, которые тонули, ведьмами не считались.

Так же и в ИБ: вас привязывают к имеющейся ИТ-инфраструктуре и бросают в воду, если не повезло и вас взломали, вы — дырявое ИБ.

При этом необходимо заметить, будете ли вы успешны в ИБ или нет, зависит от действий самых нерадивых работников вашей компании, а также от косяков в созданной до вас корпоративной ИТ-инфраструктуре.

По причине скрытых уязвимостей в ИТ-инфраструктуре, и также из-за боязни потерять работу в случае попытки расставить все точки над i, ИБ вынужденно прикрывается уклончиво сформулированными служебными записками руководству, предупреждающими о существующих рисках. Это продолжается ровно до того момента, когда следует открыто и прямо признать некоторые шаги бизнеса вредными или недопустимыми с точки зрения информационной безопасности. Но до этого, как правило, не доходит.

У ИБ недостаточно полномочий, чтобы заставить бизнес не рисковать. ИБ может быть обвинена бизнесом (исходя из случившегося позднее – повезло/не повезло) в бессмысленной трате денег по двум основаниям: 1) тратим – а может зря, ведь ничего не происходит, 2) тратим – а это не помогло. Поэтому, когда ИБ идёт на принцип, его меняют или игнорируют. Бизнес, пока ещё, не готов принять полностью абстрактное для него событие (ущерб от кибератаки на компанию) за риск.


Источник — Блог Валерия Естехина «ИБ. Взгляд снизу. Путеводитель по миру корпоративных тревог безопасника по ИБ (16+)».

Валерий Естехин

Об авторе Валерий Естехин

Персональный блог содержит информацию, которая отражает только личную точку зрения автора и не имеет никакого отношения к точке зрения его работодателя или иной организации, с которой автора связывают официальные отношения. Если вы ссылаетесь на материалы блога, то хорошей практикой будет согласование такого упоминания с автором (для СМИ это должно быть нормой). В любом случае при ссылке на информацию из этого блога не стоит указывать мою должность и моего работодателя - это личный блог автора.
Читать все записи автора Валерий Естехин

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *