четверг, 18 апреля 2013 г.

Курица и яйцо в безопасности

   Что первичнее - курица - анализ рисков, или необходимость реальной защиты от угроз (т.е. ценность) - яйцо?

   Безусловно, это вечный спор. Но если мы обратимся к истории... оказывается, все же яйцо. Птицы произошли от пресмыкающихся (яйцекладующих), и современная курица банально результат множества переходных форм. Разве мы не наблюдаем эти переходные формы сейчас? Что как не они требования ФСТЭК, PCI DSS, FISMA да и то, что в коммерческих компаниях понимают под риск-менеджментом? Наверное, когда-то средняя зрелось процесса управления ИБ рисками в компаниях (если он будет в виде отдельного процесса) будет на 4-ом уровне зрелости (причем по 15504), но пока приходится работать с тем что есть.
   Соответственно, для себя ответ на спор governance\технари я нашел... чем меньше компания тем больше должен быть уклон в сторону технарей. Governance там будет во многом избыточным, а вот технической экспертизы в силу отсутствия специализации ИТ-кадров будет мало. И вот тут как раз и цветут отсутствие патчей и дефортные учетки;) С другой стороны - в большой не ИТ-шной компании держать "управленцев" необходимо (много групп интересов, сложные процессы..) а вот технических безопасников сложно - экспертиза у них будет хуже специализированной ИТшной, давление на безопасность как на центр затрат будет большое, а возможность "продавить" очередного подрядчика на качественные и чуть дешевле рыночных услуги - соблазнительной.

Комментариев нет:

Отправить комментарий