вторник, 8 июля 2014 г.

Профессиональная этика ИБ и триллионы долларов

    ИБ - инвестбанк, т.е. бизнес по управлению деньгами. Совпадение сокрашений весьма символично, ведь инвестбанкиры как и спецы по ИБ находятся в вечной зоне турбулентности.

    У нас хакеры неизвестной квалификации, у них непредсказуемые правительства, у нас политические игры внутри корпораций, у них конкуренция на финансовых рынках, у нас есть задача обеспечения соответствия (часто плохо выполнимая) - у них тоже, у них есть даже отдельная обязательная позиция в штатном расписании "контролер профессионального участника".
    И мы и они, если по честному, не можем отвечать за 100% результат. Мы не можем дать 100% гарантию что нас не взломают, а они - что деньги клиента уцелеют.
    Поэтому мы пишем политику безопасности и обещаем бизнесу что мы ее внедрим. А инвестбанкиры пишут инвестиционную декларацию и обещают ее придерживаться. Мы честно проводим аудит соответствия, и они честно контролируют операции брокеров на соответствие инвестиционной декларации.
    Поэтому недавний пост Алексея Лукацкого напоминает мне давнишний иск негосударственного пенсионного фонда к управляющей компании. Т.е. инвестбанкир оказался виноват в падении рынка. Но, разве ИБшник могут 100% защитить против целевой атаки? Это банальный форс мажор, и в таком случае должно наступать освобождение от ответственности. Какой прогноз мы бы не построили всегда существует вероятность непредсказуемого варианта событий.
    Соответственно, разумно делать то что мы можем с тем что мы имеем (как завещал нам Линкольн), а именно (аналогично инвестбанкирам) выдерживать due care - придерживаться профессиональных стандартов и демонстрировать заботу о клиентах. В отрасли тестирования на проникновение это значит честно пробовать "сломать" инфраструктуру заказчика, иметь внутреннюю методологию проведения пентеста и постоянно работать над повышением квалификации производственного персонала.
    Все это делают лидеры рынка, и в частности Диджитал, больше десятка отчетов по инфраструктурным пентестам которого я имел удовольствие читать.
    И если триллионы долларов на финансовых рынках защищены только требованием due care, то для обьективно меньшей проблемы аудитов ИБ подобная система уж точно сойдет

Комментариев нет:

Отправить комментарий