пятница, 15 августа 2014 г.

Корпоративный AppSec на практике или почему ИТ с этим не справится

    C завидной регулярностью встречаю точку зрения, что лучше всего справится с управлением риками конкретной информационной системы ее администратор. Мол, ИБ все интегрируется в ИТ, администратор всяко лучше знает как эти механизмы работают - так ему и карты в руки?..

    Да нет, тут мы имеем классическую ошибку подмены содержания формой. Администратор, конечно, знает свою систему лучше (допустим, SAP), но не обладая ментальностью ИБ-спеца он не видит рисков ИБ, а не обладая знаниями методов управления рисками даже не догадается спросить про риски бизнес-подразделения. Итого получится - могу, но не хочу.
    Если посмотреть как оно на современных российских предприятиях, то будет видно в основном SAP. Оно и понятно - исторически компании с данной ИС находятся на более-менее высоком уровне зрелости процессов, имеют серьезный размер бизнеса + процесс автоматизации финотчетности с помощью SAP подразумевает внедрение целого ряда контролей ИБ (вкратце - контроль целостности, контроль событий и управление доступом). Соответственно на этом примере можно посмотреть на состояние дел. 
    На основе анализа профильных форумов по SAP и почти трехлетнего мониторинга рынка труда могу сказать, что в 80% случаях ИБ в системе занимаются администраторы, в остальных же формируются центры компетенций по ИБ SAP разного размера (примеры - ТНК-ВР, Росатом). В итоге специалисты по ИБ ИС концентрируются сугубо на своей зоне компетенции, игнорируя все смежные вопросы (осведомленность пользователей, ИБ платформы, аудит ИБ и др.), что делает возможным инциденты несанкционированного внесения изменений в базы данных, ставя под угрозу финансовую отчетность и многомиллионные сделки.
    А вот обучение специалиста по ИБ поможет построить целостную эффективную систему контролей ИБ в ИС. Делаем выбор:)

Комментариев нет:

Отправить комментарий