вторник, 25 июня 2013 г.

Полезность "негативного" опыта для аудита ИБ

   Все мы знаем что есть лучшие практики, иногда их читаем, иногда используем, и безусловно считаем что с некоторой оговоркой к ним нужно стремиться (еще бы, тысяча леммингов экспертов ведь не могут ошибаться?:)


   Однако пытаясь использовать лучшие практики в аудите (а без этого никуда - хотим ли мы улучшить качество оценки, придать ей легитимности или просто структурировать результаты нашей работы в понятном для заказчика форме), сталкиваемся с тотальным несоответствием реалий лучшим практикам. Вот там вот в процессе управления изменениями есть конфликт принципа разделения полномочий, вот там не смотрят логи, а вот там патчат без формального анализа рисков...
   Соответственно, лучшие практики обьявляются продуктом мечтателей, и мы снова сваливаемся в чистой воды бенчмаркинг экспертный аудит (мол, вот у тех то уважаемых людей все хорошо значит такой же набор контрольных процедур будет работать и тут...). Но почему-то в душе скребут кошки, ведь вообще-то весь мир давно использует лучшие практики, и неужели именно мы и наши клиенты такие особенные?
   Нет, конечно нет (кроме случая когда мы разрабатываем нейтронную бомбу для армии США), это просто мы не видели как бывает плохо. Мы не работали в малом бизнесе, в каких-то особенно отсталых госкомпаниях, в бедных негосударственных организациях, не знали что такое "ИБ бюджет 0", не смотрели логи "глазами" и не делали проверки "руками" - зачем, у нас же есть SIEM и сканер уязвимостей?.. Мы не знаем как бывает "плохо", и поэтому не можем дать заказчику то что ему нужно - понимание насколько клиент отличается от других, сможет ли он "бежать быстрее соседа от медведя", и какой же все таки уровень зрелости правильнее будет рисовать учитывая специфику индустрии.
   Поэтому опыт работы в компании с не очень развитой ИБ для специалиста считаю очень полезным, его может заменить только большой опыт работы в аудите.

Комментариев нет:

Отправить комментарий