четверг, 16 февраля 2012 г.

Anti-CISO

    Последняя презентация Дмитрия Евтеева показала мне пример того, как не надо защищать интересы стейкхолдеров в организации - а именно, не надо их пугать, рассказывать о практически безграничном арсенале злоумышленников, и одновременно не приводить сумм, сроков и конкретных примеров реализации конкретных средств защиты интересов стейкхолдеров в информационной сфере. Именно поэтому пост озаглавлен anti-CISO, потому, что презентация показывает "темную сторону силы".
    Да, она дает некое "могущество", способность пугать людей и фактически заставлять их тратить деньги и время на защиту информации, но... разве это достойно настоящего джедая?:)      Мне кажется, что ключевое слово тут может быть "забота". "Забота" заключается не только и не столько в защите собственно информационных активов, но и в защите душевного спокойствия стейкхолдеров;)
    Разве сила не налагает ответственность, в том числе ответственность за распространение паники?..А ведь если мы говорим о каких-то взломах без внятной модели нарушителя, рекомендаций по снижению рисков и конкретных примерах ущерба для стейкхолдера то мы именно сеем панику..

3 комментария:

  1. евтеев не работает в компании которая должна заботиться о своей прибыльности, он по другую сторону баррикад и может не исходить с точки зрения разумности затрат на ИБ. Бизнес это всегда риск.

    ОтветитьУдалить
  2. его начинания понятны - реклама она и в Африке реклама, ему за это платят, чтобы он пугал компании

    ОтветитьУдалить
  3. согласен с вами, Александр и с предыдущим оратором - надо не только трепаться о страшных хакерах, но и хоть-как составлять рекомендации по снижению рисков, давать технические рекомендации, а не переливать из пустого (страшные хакеры) в порожнее (бойтесь хакеров)

    ОтветитьУдалить