понедельник, 25 января 2016 г.

Война и мир в информационной безопасности

    Уравнение риска включает как ценность актива так и наличие уязвимости в информационной системе, но почему-то игроки рынка ИБ фокусируются на одной из сторон. "Практические" безопасники молятся на уязвимости, "бумажные" на ценность актива. Понятно, что и та и другая точка зрения имеют право на жизнь, ведь и так и та оплачивается конечным потребителем, и мы видим заказ клиентов как на бесчисленные "бумажные" проекты (в первую очередь ФЗ-152) так и на анализ уязвимости различных систем.


    Обе стороны используют одно и то же уравнение риска, но подходят к нему с разных сторон. Консультанты используют подход "сверху-вниз" (top-down),  находя критичные активы и поводя поиск уязвимостей, исследователи сперва находят уязвимости, а потом доказывают критичность взломанных активов (подход "снизу-вверх" - bottom-up).
    В сухом остатке имеем 2 зеркальных процесса - asset-to-vulnerability и vulnerability-to-asset. ISACA учит что у каждого есть свои достоинства и недостатки, я считаю что разница в мировоззрении заказчика процесса:
  • Фокус на уязвимостях, выведывании ТТХ средств противника, осведомленности об угрозах присущ войнам и военным ведомствам в целом. 
  • Фокус на активах, разумном управлении риска присущ бизнесу и мирному времени в целом.
    Таким образом в первом приближении финансируя исследователей мы финансируем "военную" парадигму, но во втором - выбор делают за нас. Если шифротрояны наступают, пошли первые примеры кибертерроризма с уничтожением данных (SPE, Sands Casino), то мы переходим в ранее описанный мной сценарий "Война" и должны поступать соответственно.
    В этом сценарии технические навыки ценятся априори выше (т.к. актуальность ИБ очевидна), и в нем живут, например, США. А вот анализ рынка вакансий Соединенного Королевства наводит на мысль что там актуален сценарий "Мир". Там действительно принципиально больше вакансий с фокусом на управление ИБ.
    Определение актуального для страны и индустрии состояния поможет сформировать адекватную ситуации стратегию и дорожную карту ИБ, двигаться последовательно и непротиворечиво, понимать мотивацию заинтересованных сторон и легче защищать бюджеты.

Комментариев нет:

Отправить комментарий