Предлагаю сегодня обсудить подходы к снижению риска, например:
По идее эффективность падает с возрастанием номера, так как мы все дальше и дальше отдаляемся от корня проблемы - неосведомленности программистов о практиках безопасного программирования и их нежелания их реализовывать. Но, сложность реализации подходов, наоборот, падает с возрастанием номера - поставить очередную большую железку намного легче чем регулярно проверять многочисленные релизы ПО, и тем более, чем обучить взрослых людей новым формам поведения.
- Организационные меры - например, попросим программистов следовать инструкциям по безопасному программированию
- Интегрированные технические меры - будем проверять код на наличие проблем автоматизированными средствами
- Выделенные технические меры - поставим WAF
По идее эффективность падает с возрастанием номера, так как мы все дальше и дальше отдаляемся от корня проблемы - неосведомленности программистов о практиках безопасного программирования и их нежелания их реализовывать. Но, сложность реализации подходов, наоборот, падает с возрастанием номера - поставить очередную большую железку намного легче чем регулярно проверять многочисленные релизы ПО, и тем более, чем обучить взрослых людей новым формам поведения.
Конечно, есть и другие факторы, например, подчинение ИБ ИТ-директору делает ИТ-службы более сговорчивыми, а низкий уровень развития производственных процессов разработки ПО наоборот резко уменьшает шансы на обучение программистов нужным практикам.
В итоге сформировался вывод - подход к снижению риска должен выбираться не только исходя из соображений эффективности и экономичности (стоимости) но и учитывая сложность реализации, в том числе готовность организации в целом, ИТ и ИБ в частности к постоянному применению подхода на практике.
Комментариев нет:
Отправить комментарий