7 мифов кибербезопасности корпораций

     Честно говоря, я никогда не работал в компании с присутствием меньше чем в 7 странах или с количеством ПК в сети меньше чем 10 тысяч, поэтому с удивлением обнаружил, что многие вещи для приходящих в корпорации безопасников в новинку.                            Соответственно, я подготовил ТОП 7 мифов ИБ корпораций:

1. Уровень ИБ корпораций высок. Мне знаком целый ряд больших и огромных даже по мировых меркам компаний, методологическая база ИБ в которых не развита, а основные средства защиты - AV, правила на роутере и средства резервного копирования. На самом деле для ИБ гораздо важнее бизнес-модель и цепочка создания ценности (value chain) компании чем ее размер.
2. Корпорации строго следуют всем нормативным требованиям. Корпорации строго следуют своему видению нормативных требований. Видение может очень сильно отличаться от общепринятого, как минимум потому, что корпорации содержат сильные юридические службы, и банально не по зубам многим проверяющим, особенно по таким неоднозначным с юридической точки зрения вопросам как техническая защита персональных данных.
3. В корпорациях работают лучшие практики и передовые средства защиты. Корпорации не любят непроверенных решений, поэтому пионерами они выступают редко. Пионеры обычно еще не ставшие корпорациями компании в 3-7 тысяч человек, у которых в силу размера уже есть деньги и некоторый обьем подлежащих защите информационных активов для инвестиций в ИБ-инновации.
4. В корпорациях отлажены процессы. Больше всего порядка я видел в небольших компаниях. В них сложно затеряться и всегда видно где узкое место в процессе, кто работает а кто нет, какая технология полезна, а за какую пора перестать платить поддержку.
5. В корпорациях хорошо платят. Корпорации действительно могут себе позволить платить больше чем в среднем по рынку (так как талантливый человек за счет корпоративного рычага сможет привести к большим прибылям), но далеко не всегда платят. Зарплаты зависят больше от индустрии, близости к источнику доходов (продажам в B2C или клиенту в B2B) и размеру проектов, на которые влияет должность.
6. В корпорациях строго контролируется расходование ресурсов и они знают зачем нанимают сотрудника либо запускают проект. На самом деле не всегда так. В корпорации наоборот легче нанять сотрудника на временный проект (а потом оставить), так как у нее часто есть свободные помещения, деньги на дополнительные проекты, отлажены процессы приема на работу и увольнения. Аналогично мне известен даже не десяток «коробочных» внедрений, когда после завершения внедрения системой защиты никто не пользуется, и потом даже пароли для доступа к ней сыскать сложно.
7. В корпорациях используются только проверенные практики ИБ\ИТ. Корпорации любят "промышленные" решения, но используют и open source в специфичных случаях. Например, когда автоматизируется небольшой участок некритичного с точки зрения бизнеса процесса.

         Суммируя - в корпорациях работают те же живые люди, и там можно встретить все тоже что в компаниях поменьше. Единственная принципиальная разница - масштаб, что выливается с одной стороны в повышенное внимание общества (в том числе регуляторов) к корпорациям, с другой - в больший обьем активов под защитой, а значит в другую экономику многих ИБ-практик.