Намедне занялся зубами. И перед каждой операцией, будь это кариес или посложнее, подписываю отказ от ответственности - и бур у меня в зубе может остаться, и осложнения могут быть.. А что делать? Вменяемому человеку понятно - А) в любом деле есть операционный риск Б) доктор не отвечает за мои действия, и я могу торпедировать его усилия не придерживаясь его рекомендаций.
С внедрением то же - как SIEM повысит эффективность выявления инцидентов если организация не смогла обеспечить мотивацию SIEM-спеца или регулярно повышать его квалификацию? Вспоминаются золотые слова свода знаний по ИБ "облаков" - Ответственность нельзя передать. Даже в облаках, даже в SaaS, где на нашей стороне остается только безопасность бизнес-процессов.
Внедрения мер ИБ
В случае внедрений мер ИБ (не важно, технологий или процессов) время от времени вижу обсуждения необходимости гарантий снижения рисков от внедрений мер ИБ. Это примерно как стоматологу гарантировать, что моя временная пломба не вылетит если я займусь дайвингом или второй раз прыгну с парашютом. Если мой стоматолог это гарантирует - я перестану быть его клиентом. Потому как гарантировать низкоуровневыми инструментами - технологиями, обучением, специфичными услугами снижение риска в целом - профанство. И того кто спрашивает, и того кто обещает.А что гарантировать?
Гарантировать возможно передачу риска. Это делают страховые, в России это точно делает AIG. Но владельцы страховых полисов знают, что возмещение можно получить если А) чесно предоставить изначальную информацию о страхуемом обьекте Б) придерживаться рекомендаций страховой.С внедрением то же - как SIEM повысит эффективность выявления инцидентов если организация не смогла обеспечить мотивацию SIEM-спеца или регулярно повышать его квалификацию? Вспоминаются золотые слова свода знаний по ИБ "облаков" - Ответственность нельзя передать. Даже в облаках, даже в SaaS, где на нашей стороне остается только безопасность бизнес-процессов.
Комментариев нет:
Отправить комментарий