воскресенье, 13 февраля 2011 г.

Защита информации и бизнес

«А гренка в нашем ресторане называется крутон. Это точно такой же поджаренный кусочек хлеба, только гренка не может стоить 8 долларов, а крутон – может.» © «О чем говорят мужчины» Театр "Квартет И"

Меня иногда интересует, почему сложилось так, что безопасность в информационных технологиях довольно часто оказывается при распределении финансов далеко не в первых рядах. Утверждение, что безопасность рассматривается собственником как чисто расходная статья, понимания не вносило. Каждый раз было желание ответить, что, дескать, сейф компания покупает, и с совершенно непонятными целями садит на входе охранника. Кстати, а много есть good-story о том, что охранник, переписывающий паспорта на входе, предотвратил какое либо хищение? Казалось бы безопасность напрямую связана с инстинктом самосохранения, вторым по важности и эти примеры это подтверждают. Но факты говорят об обратном.


Однако, если проанализировать квартальную аналитику ведущих фирм можно понять, что безопасности внимания не уделяется. Для примера можно посмотреть отчеты Cisco 4Q10 Global Threat Report, The cyber-crime black market: uncovered от Panda Security и другие.
Так почему, бизнес в России, да и судя по всему во всем мире, не уделяет внимания информационной безопасности?

С этим вопросам я обратился к знакомым мне собственникам бизнеса, не директорам и топ-менеджерам, а к хозяевам, вложившим в дело гораздо больше, чем деньги и часть своей жизни.
Наиболее распространенный ответ – у меня нет секретов, мне нечего защищать. Т.е. демонстрируется:
- недооценка собственных активов;
- непонимание основных целей защиты информации.
И если первое говорит о зрелости Российского бизнеса, то второе говорит о низком качестве работы специалистов по защите информации.
Недавно купил книгу "Обеспечение информационной безопасности бизнеса". Первая глава называется "Философия информационной безопасности бизнеса". В ней затрагиваются такие моменты информационного обеспечения бизнеса как:
- возрастающая сложность информационных систем и как следствие ограниченность по времени и объему информации лица принимающего решение.
- Неточности в моделях отображения окружающего мира позволяющие маскировать манипулирование под естественные сбои и ошибки;
- Конфликт интересов и проблема доверия персоналу определяющие последующие проблемы с инсайдерами и уничтожением информационных массивов.
Есть одна простая мысль: лицу принимающему решение (собственник, директор и т.п.) необходимо непротиворечивая информация и хороший прогноз. Ошибки которые содержатся в предоставляемой информации становятся очевидны постфактум и далеко не всегда их связывают с злонамеренной деятельностью или ошибками которые могла предотвратить комплексная СЗИ. А в коммерческих предложениях об этих аспектах функционирования систем нет ни слова.
Типичный руководитель с трудом осознает вирусную опасность, игры на более высоких уровнях для него не более чем маркетинговые сказки необходимые для продажи дорогостоящих решений.

Комментариев нет:

Отправить комментарий