?

Log in

Security vs visibility - Журнал Восставшей Машины [entries|archive|friends|userinfo]
ArkanoiD

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

Security vs visibility [Feb. 25th, 2013|02:07 am]
ArkanoiD
[Tags|]

Конечно, понятно, что основа безопасности -- понимание того, что происходит в твоей организации.

Но что-то последнее время мне кажется, что 99% CISO, которым предложат навертеть дурацких дыр ради того, чтобы у них автоматически рисовались еще несколько красивых отчетов -- даже не задумаются. А если говоришь, что тебе это не нравится -- покровительственно хлопают по плечу и говорят "да ладно тебе, все так делают, не выпендривайся". Ну есть еще опция -- "раз ты такой параноик, ты должен купить продукт в десять раз дороже, а простым парням это ни к чему".

Не, ну это понятно -- собственно безопасность штука эфемерная, ее не пощупаешь. А бумажки, отчеты, KPI жопу прикрыть -- вот они. Но не до такой же степени..
linkReply

Comments:
[User Picture]From: humpty_dumpty
2013-02-25 05:03 am (UTC)
Аркеной познаёт мир.
Да люди суки такие имеют странное свойство заниматься тем за что им платят деньги, а не тем чем надо.
(Reply) (Thread)
[User Picture]From: arkanoid
2013-02-25 07:20 am (UTC)
мне всегда казалось, что если тебе неинтересно то, чем ты занимаешься, способ продать свою жизнь за деньги можно придумать и более эффективный, логичнее пойти куда-то поближе к этим деньгам.
(Reply) (Parent) (Thread)
[User Picture]From: humpty_dumpty
2013-02-25 07:32 am (UTC)
Опять произвольные выводы.
Объясняю ещё раз, медленно - людям платят деньги не за "безопасность" что бы ты там ни понимал под этим многогранным словом, а за составление отчётов. Возможно им даже это интересно.
Работа у них такая - отчёты делать - этим и занимаются.
Следствие - если даже на такую работу случайно попадает человек, которому интересна именно "безопасность" то быстро с неё вылетит потому что он не сможет посвящать столько сил и времени основной работе - отчётам. К тому же как ты сам сказал - "если тебе неинтересно то, чем ты занимаешься, способ продать свою жизнь за деньги можно придумать и более эффективный, логичнее пойти куда-то поближе к этим деньгам."
Так что они как раз на своём месте.
(Reply) (Parent) (Thread)
From: suvorov_crimea
2013-02-25 08:11 pm (UTC)
Педагогика. Всё так. Конспекты уроков "Что я спросил и что мне ответили дети, дословно" - это адъ.
(Reply) (Parent) (Thread)
[User Picture]From: xsaper
2013-02-25 12:35 pm (UTC)
Платят везде по-разному :)
Мне кажется в моей стране зарплаты не очень сбалансированные по навыкам/знаниям/опыту/умениям.
Можно творить невероятной сложности вещи за гроши, а можно писать отчеты за хорошие деньги.
Судя по нашим партнерам из Европы, у них сильно проще со всем этим.
(Reply) (Parent) (Thread)
[User Picture]From: e1am0
2013-02-25 05:55 am (UTC)
варианты есть, кроме как на тракторе?
мне кажется, что трактор тоже не панацея
в фейсбуке чтоли лукацкий поднял тему про то, что официальные проёбы в безопасности не сказать чтоб уж как-то сильно кореллируют с курсом акций
(Reply) (Thread)
[User Picture]From: arkanoid
2013-02-25 04:26 pm (UTC)
я про это в ЖЖ тоже писал, кстати.
(Reply) (Parent) (Thread)
[User Picture]From: e1am0
2013-02-25 05:39 pm (UTC)
а там ссылка на исследование какой-то конкретной конторы была. типа с графиками. сразу после утечки немного просели. кто надо поднял бабла. а потом всё опять отыграли. иногда мне кажется, что в безопасность можно только запинать. черенком. от сапёрной лопаты...
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2013-02-25 05:53 pm (UTC)
Да что исследовать, все на обычном графике типа yahoo finance или google stock видно.
(Reply) (Parent) (Thread)
[User Picture]From: e1am0
2013-02-25 05:58 pm (UTC)
ну так это ж надо посмотреть за нужный временной интервал :)
вот и целое исследование, хотя интуитивно где-то в глубине души и так понятно
было бы сильно нужно, изеры бы строчили отчёты под дулом пулемёта
какие там соц.сети и прочие мимишечки в баню
(Reply) (Parent) (Thread)
[User Picture]From: vit_r
2013-02-25 10:18 am (UTC)
Безопасность не относится к категории assets в балансе, а деньги жрёт. Производители просто подстраиваются под клиентов, чтобы не быть выкинутыми из бизнеса.

И не факт, что дыры в дешёвые продукты китайских конкурентов закладывают не их разведорганы.
(Reply) (Thread)
[User Picture]From: altmind
2013-02-28 06:32 pm (UTC)
страховка тоже не является asset, но покупают же.
(Reply) (Parent) (Thread)
[User Picture]From: xsaper
2013-02-25 12:33 pm (UTC)
У нас так было до внедрения Risk Management, который стал задавать некоторые "рамки приемлимости дыр".
Технарям стало попроще, так как некоторые моменты не надо отстаивать перед бизнесом.

Раньше было как у тебя описано: мы продаём кофе/коньяк/сигары, и безопасность не должна мешать этого делать.
Соответственно максимум, что можно было сделать - нарисовать Risk Acceptance Form для бизнеса. Тогда они задумывались и принимали или не принимали, но такое разумно рисовать под грубые нарушения, а ля откроем MSSQL порт с внутреннего сервера в Internet через NAT.

А про Visibility только и говорят. Как я понял у Information/IT Security отделов с этим всегда проблемы, хотя все знают, что все проекты идут через этот отдел.
(Reply) (Thread)
[User Picture]From: arkanoid
2013-02-25 12:49 pm (UTC)
Видишь ли, все это ok, если есть CISO, который хочет управлять рисками, а не писать бумажки. Я так понимаю, это становится редкостью. То есть дырку, которая нужна бизнесу он прокрутит с большим сомнением и под acceptance form, а вот которая нужна лично ему, чтобы отчеты было проще рисовать -- с куда меньшим и ни с кем даже не посоветуется.
(Reply) (Parent) (Thread)
From: (Anonymous)
2013-02-26 07:52 am (UTC)
Гм, ну не скажу, что наш не любит бумажки и отчеты.
Но внедрение управления рисками позволило ему поднять то самое Visibility :)

Про сверление дырок ты конечно прав. Только наш CISO просит дырок не для себя, а скорее для "хороших приятелей-коллег", которые пытаются обойти сложное одобрение технического отдела IT Security согласовав всё на верхах напрямую. К счастью, это редко бывает (не более 3 раз в год)!
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2013-02-26 09:19 am (UTC)
что-то не так с политикой, если это часто нужно

а что до visibility и управления рисками -- он понимает, что первично, в отличие от, увы, большинства.

Edited at 2013-02-26 09:20 am (UTC)
(Reply) (Parent) (Thread)