Читая заметку "Нужен ли Вам пентест после внедрения" заметил мысль - оценивать эффективность услуг аутсорсинга безопасности через пентест.
Однако...на рынке есть компании которые предлагают и то и другое! Так почему не устроить им своеобразное соревнование? Т.е. сначала проводится тендер, первый участник получает право предоставлять услуги на общих основаниях. Через год второй участник проводит пентест и если он успешен, то получает заказ. Возможны вариации - проводить тендер на пентест по результатам которого отдавать заказ..впрочем, если кто относится к пентестам как Шнаер (т.н. пентест по Шнайеру, т.е. пентест практически бесполезен), то принципиальной разницы между пентестом и аудитом по этой схеме нет (аудит правда оценивать сложнее..хотя вопрос оценки и дискуссионен).
Однако, при такой идиллической картине (еще бы, аутсорсинг делает скорее всего наиболее трудоемкие вещи - мониторинг логов и т.п.) выпускается из виду банальное правило единой точки отказа..а именно - кто будет заниматься ИБ если вдруг аутсорс по тем или иным причинам будет какое-то время невозможен? Ведь вряд ли финансовый директор даст держать в штате "дармоедов" (т.е. недогруженных работников "про запас")...
Таким образом схема может быть следующей:
Новая оценка критичности - по кругу..Хорошего дня:)
Однако...на рынке есть компании которые предлагают и то и другое! Так почему не устроить им своеобразное соревнование? Т.е. сначала проводится тендер, первый участник получает право предоставлять услуги на общих основаниях. Через год второй участник проводит пентест и если он успешен, то получает заказ. Возможны вариации - проводить тендер на пентест по результатам которого отдавать заказ..впрочем, если кто относится к пентестам как Шнаер (т.н. пентест по Шнайеру, т.е. пентест практически бесполезен), то принципиальной разницы между пентестом и аудитом по этой схеме нет (аудит правда оценивать сложнее..хотя вопрос оценки и дискуссионен).
Однако, при такой идиллической картине (еще бы, аутсорсинг делает скорее всего наиболее трудоемкие вещи - мониторинг логов и т.п.) выпускается из виду банальное правило единой точки отказа..а именно - кто будет заниматься ИБ если вдруг аутсорс по тем или иным причинам будет какое-то время невозможен? Ведь вряд ли финансовый директор даст держать в штате "дармоедов" (т.е. недогруженных работников "про запас")...
Таким образом схема может быть следующей:
- оценка критичности процессов ИБ для поддержания необходимого для бизнес-целей компании уровня ИБ и ассортимента услуг ИБ
- проведение тендера на не критичные услуги
- проведение тендера на оценку
- передача контракта оценщику если он показал "класс"
Новая оценка критичности - по кругу..Хорошего дня:)
А нет ли тут конфликта интересов? Поясню мысль:
ОтветитьУдалитьЯ как пентестер буду заинтересован:
1. Потратить на пентест больше ресурсов, чем было согласовано (они отобьются во время последующего контракта).
2. Найдя какую-нибудь "тонкую" уязвимость, педалировать ее критичность и сгущать краски. Т.е. при объективной оценке уязвимость может оказаться труднообнаруживаемой, а я скажу: "Нуууу, извините. С такими проблемами жить нельзя!!!!"
Правдоподобная картина? :)
Ну так пусть и тратят!:) Они же оба будут тратить (в т.ч. и на защиту, зная что соперник не поскупится на пентест, т.е. будет соревнование - в чем и идея:) Конечно, можно подумать, что качественно защищать будут только перед и во время пентеста..но очень вещей просто нельзя делать не в процессе - например мониторинг логов за три дня организовать "проблематично"
ОтветитьУдалить