четверг, 31 мая 2012 г.

Эрозия корпоративной безопасности и веб-сайты

   Гугл говорит, что в Лукойле в 2003 году волевым решением всех ИБшников перевели в Лукойл-Информ. А ХедХантер говорит, что в 2012 Лукойл-Кардсервису неймется нанять собственного безопасника. Пример отлично иллюстрирует степень управляемости больших компаний, хлипкий баланс интересов и специфику работы с огромным количеством людей (где безопасность разумно мерять метриками - столько-то процентов инфраструктуры покрыто процессом сканирования, столько-то процентов уязвимостей исправляется в срок и т.п. ведь это не маленькая компания, где есть шанс добиться действительно близкой к 100% величины).
   Так что я не удивлен мини-фейлом ВГТРК (в масштабе корпорации неучет одного ресурса скорее допустимая обычная погрешность), впрочем, а был ли фейл? Проект то был о защите ИТ-инфраструктуры... а веб-сайт то - приложение;)

P.S. Кстати, если будете проектировать систему безопасности веб-сайта - не забудьте включить ответственность хостера за безопасность инфраструктуры в договор, равно как и Ваше право проводить анализ защищенности ресурса с помощью автоматизированных средств. А то кавычки кавычками, но кому как не безопасности быть примером ответственного поведения в сфере ИТ.

2 комментария:

  1. А Вы не подумали, что кардсервису нужна служба заказчика?

    ОтветитьУдалить
  2. Это у них целый отдел службы заказчика ИБ?... И нанимают они техспеца для этого? http://msk.superjob.ru/rabota/vacancy-11937634.html

    ОтветитьУдалить