понедельник, 16 декабря 2013 г.

3 способа снижения риска

     Предлагаю сегодня обсудить подходы к снижению риска, например:
  1. Организационные меры - например, попросим программистов следовать инструкциям по безопасному программированию
  2. Интегрированные технические меры - будем проверять код на наличие проблем автоматизированными средствами
  3. Выделенные технические меры - поставим WAF

    По идее эффективность падает с возрастанием номера, так как мы все дальше и дальше отдаляемся от корня проблемы - неосведомленности программистов о практиках безопасного программирования и их нежелания их реализовывать. Но, сложность реализации подходов, наоборот, падает с возрастанием номера - поставить очередную большую железку намного легче чем регулярно проверять многочисленные релизы ПО, и тем более, чем обучить взрослых людей новым формам поведения.
     Конечно, есть и другие факторы, например, подчинение ИБ ИТ-директору делает ИТ-службы более сговорчивыми, а низкий уровень развития производственных процессов разработки ПО наоборот резко уменьшает шансы на обучение программистов нужным практикам.
     В итоге сформировался вывод - подход к снижению риска должен выбираться не только исходя из соображений эффективности и экономичности (стоимости) но и учитывая сложность реализации, в том числе готовность организации в целом, ИТ и ИБ в частности к постоянному применению подхода на практике.

Комментариев нет:

Отправить комментарий