вторник, 4 октября 2016 г.

Белые рыцари комплаенса против наивной "бумажной" Орды

    Примерно 80% задач в ИБ - инфраструктурные (как мне заявил недавно коллега "сейчас я позвоню во ФСТЭК и мы вместе посмеемся над моделью угроз для приложения"). Более 50% штата ИБ - инженеры, со специализацией на сетях, СУБД, веб и т.п. Процентов 90-95% задач ИБ - операционные либо технологические, а из оставшихся 5-10% процентов две трети посвящено комплаенсу. О комплаенсе - самом мощном драйвере ИБ, а по совместительству основной реальной причине строить процессы и заниматься методологией в ИБ и поговорим.
    Подавляющее большинство ИБшников (а это инженеры) свято уверены, что комплаенс это "бумажный шит, который придумали на пару регуляторы с интеграторами что бы создать себе кормушку".  И это почти так, просто потому что комплаенсом часто занимаются люди, которые пробуют выполнить 100% правил регуляторов. 
    А Вы когда нибудь пробовали выполнить 100% правил в какой либо области? Правильно, так мы будем плестись последними. Вот и получается, что реально выполняют 100% правил только те отрасли, которым в принципе не грозит плестись последними (например, монополизированные сектора и госорганы). Они и выходцы из них создают комплаенсу имидж неадекватов, что пытаются закошмарить бизнес и бизнес-ориентированных ИБшников, привнося свои практики в коммерческий сектор (выступая в роли наивной "бумажной" Орды, пытающейся насадить свои порядки на Руси).
    Коммерсанты же стараются блюсти баланс. Да, у них сложно найти сертифицированные СЗИ, они плевать хотели на аттестацию и используют ужасные западные технологии практически везде (цитируя CIO одного из крупнейших коммерческих промхолдингов страны "Мы подождем пока отечественные производители научатся на других клиентах"). Но то что у них внедрено обычно реально работает. Коэффициент использования СЗИ у них может достигать 90-95%, и помогают в грамотном управлении ИБ им белые рыцари комплаенса (бумага ведь белая?:). Так мы назовем тех редких специалистов, что смотрят на требования регуляторов незашоренным взглядом, и могут подходить к ним творчески. Что вместе с юристами адекватно оценивают регуляторные риски, и предлагают принять часть из них - бизнес ведь должен зарабатывать прибыль а не работать на регулятора.
    Такие белые рыцари комплаенса, могут быть ценнее любого инженера, так как влияют на стратегию и архитектуру ИБ всей организации, даже если в ней десятки тысяч пользователей, тысячи серверов и сетевых устройств. И именно их не любят и всячески им противодействуют многие обклеенные сертификатами с головы до пят вендора, и даже те у которых под кипой сертификатов МО, ФСТЭК, ФСБ проглядывают слова "практические" или "продвинутые".
    В компаниях поменьше белыми рыцарями выступают CISO, национальные лидеры содержат целые подразделения, что к примеру внедряют хорошие практики NIST еще за 7 лет до того как ФСТЭК их переведет и утвердит.
     Поэтому господа инженеры - не стесняйтесь и не бойтесь писать "бумагу", это путь к высокооплачиваемой, перспективной и во многом благодарной и понятной бизнесу работе. Работе, выполняя которую можно будет защитить коллег инженеров, ИБ, ИТ и бизнес в целом от ненужной (и даже иногда вредной для бизнеса) работы по выполнению нормативных требований, позволяя сфокусироваться на отражении реальных угроз.

P.S. И еще уместной полагаю цитату из мира разработки:
"Я раньше поражался тому, как уродливы изнутри «взлетевшие» проекты. Сейчас я знаю: красивые проекты не взлетают, потому что они не успевают взлететь. Пока инженеры в белых халатах прикручивают красивый двигатель к идеальному крылу, бригада взлохмаченных придурков во главе с безумным авантюристом пролетает над ними на конструкции из микроавтобуса, забора и двух промышленных фенов, навстречу второму туру инвестиций. Авантюрист любезно раздаёт восторженным пассажирам талоны и бумажные пакетики."
https://habrahabr.ru/post/310310/

Комментариев нет:

Отправить комментарий