среда, 27 апреля 2016 г.

"Ковровая бомбардировка" клиентской базы или 6 стилей и 7 проблем маркетинга в ИБ

    Только ленивый не считает своим долгом пнуть маркетинг в ИБ (или специалист службы маркетинга), присоединюсь и я, тем более что себя пинать даже как-то весело (иногда я выступаю в роли такого специалиста).

    Маркетинг в ИБ не то что бы беспощаден, а скорее размашист - разносортица заказчиков требует применения общих образов и инструментов, что обычно выхолащивает маркетинг, превращая его из диалога с клиентом о том что у него реально "болит" в набор агиток для "ковровой бомбардировки" клиентской базы. Тем не менее, возможно выделить 6 стилей маркетинга в ИБ (на примере презентаций):
  1. Big4-стайл. Мелкий штрифт, презентации на 30-50 слайдов, тщедушные юные консультанты. Полезной информации много. Проблема - новой информации около ноля (пересказывают отчеты и лучшие практики). Исключений мало.
  2. Вендор-стайл. Много картинок, английского языка, крутых заказчиков (все в курсе что условный UBS\GE имеет 100500 отделений и купил любое международное решение хоть в какой нибудь стране или бизнес-единице?) и бесконечное перечисление даже самых мелких функций на 40-60 слайдов. Надо выполнять HIPAA, SOX а можно и австралийский стандарт ИБ. Проблема - нет привязки к локальной специфике.
  3.  Статистик-стайл. По данным Покемон Института ущерб от утечки одной медицинской записи ХХХ USD. Ничего что в России нет требований по раскрытию утечек персональных данных, а значит сколько бы ни утекло никто об этом не узнает, а рынок здравоохранения в разы менее капитализирован? Проблема - статистика не применима в других регуляторных условиях.
  4. Гос-стайл. На основании 371-ого постановления Пленума Всеединой России.. ну Вы поняли о чем я? Куча ссылок на законодательство, оторванность от реальной жизни и редкие проблески попыток измерять эффективность собственной деятельности. Исключения радуют. Проблема - непереносимо на соседнюю организацию, где руководитель уже не вхож в те самые нужные кабинеты.
  5. Рисеч-стайл. Мы нашли Очень Ужасную Уязвимость в очень Крутом Продукте - оно конечно баян, но вообще полезно понять что базовая ИБ это патч-менеджмент и безопасная архитектура. Проблема - сложно переводится во влияние на бизнес (вопрос "И чо?").
  6. Двор-стайл. "У нас на раене пацаны DLP внедряли" - часто пользуются интеграторы - простые тезисы, простые доказательства, реальные кейсы но презентации в целом неглубокие (хотя и понятные). Проблема - из презентации непонятен уровень экспертизы потенциального подрядчика, указанные кейсы оторваны от среды заказчиков - их тяжело использовать.
    Кроме стилей можно выделить и проблемы маркетинга в ИБ:
  1. Разные уровни зрелости компаний - кто-то в 2008 развернул процессы SOC и покрыл 20 000 ПК единым стандартом ИТ, а у кого-то на 5 000 ПК разносортица компетенций, процессов и технологий.
  2. Эффект масштаба - применимые для глобальных и федеральных организаций практики в большинстве случаев избыточны для предприятий СМБ. Зачем им SIEM, они в log management то смотреть будут только если у них уворуют средства со счетов среди бела дня. Для внедрения и поддержки продвинутых мер контроля просто не хватает ресурсов.
  3. Разные индустрии. Редкий банк не задумался о WAF для интернет-банкинга, а многочисленные интернет-порталы для миллиардных оборотов B2B-взаимодействия промышленных компаний, их дистрибуторов и клиентов частенько защищены обычным TMG,  по которому и основной поддержки уже нет.
  4. Разносортица решений. В портфеле крупных игроков десятки продуктов по ИБ. Комбинация продуктов с заказчиками и их потребностями та еще комбинаторика..
  5. Жадность акционеров\штаб-квартир - предыдущие пункты усугубляются давлением со стороны акционеров или штаб-квартиры. Попытка выполнить план в этом году приводит к дурацкой идее "оббежать всех", несмотря на очевидные затратность и малоперспективность такого решения. Лидогенерация превращается в самоцель.
  6. Интеллектуальная леность заказчиков. Вместо того что бы применять десятки и сотни встроенных в типовые продукты Microsoft, Oracle, Cisco механизмов ИБ, тяжело работать над проектированием и внедрением сквозных ИБ-процессов заказчики смотрят на коробочные решения. "Я сам обманываться рад" может быть мотто ИБ службы в России.
  7. Регуляторный разнобой. Не порегулировало ИБ в том или ином виде только ленивое ведомство. ФСТЭК, ФСБ, Роскомнадзор, МО, Минкомсвязи, профильные министерства (в рамках отраслей), и все это усугубляется сложной сертификацией в нескольких системах, в том числе сакраментальные "технические условия", под которыми кажется можно сертифицировать даже кофеварку.
    Итого маркетингу непонятно что кому и зачем продвигать, а заказчики не получают того что им нужно. Наверное, надо меньше говорить друг другу "в одну сторону", а больше слушать, или обсуждать реальные свежие проблемы, особенно те что не прочтешь в журнале.

Комментариев нет:

Отправить комментарий