понедельник, 16 ноября 2015 г.

Циничный безопасник и культура ИБ

    Жил да был циничный безопасник в ИТ-компании. Проектировал и внедрял системы ИБ на десятки тысяч рабочих мест, получил отличные ЗП и бонус, и молился на ТОП-4 мер ИБ от австралийской службы разведки и безопасности (рисунок) - верил что СЗИ избыточны, и достаточно whitelisting приложений, патчевания и ограничения использования админских прав.


    И невдомек ему было, что трехмесячный цикл патчинга это еще очень хорошо, админы регулярно забивают на директивы безопасности, а попытка внедрения whitelisting может привести к всамделишнему бунту пользователей против ИБ, т.е. для внедрения ИБ непосредственно в бизнес-процессы необходим определенный уровень культуры ИБ.
    Культуру ИБ, возможно, стоит поставить еще перед классическим анализом риском или угроз, так как она является фундаментом для всей деятельности ИБ - от проектирования процессов и обсуждения рисков до согласования и поддержки внедрения политик и технологий.
    

Комментариев нет:

Отправить комментарий