Главная » Хабрахабр » [Из песочницы] Если вы не занимаетесь управлением активами, у вас нет информационной безопасности

[Из песочницы] Если вы не занимаетесь управлением активами, у вас нет информационной безопасности

Привет, Хабр! Представляю вашему вниманию перевод статьи "If You’re Not Doing Continuous Asset Management You’re Not Doing Security" автора Daniel Miessler.

Чем более комплексная и оперативная инвентаризация реализована, тем выше уровень зрелости организации в вопросах защиты информации. Чем больше компания может рассказать о своих активах, тем лучше у них дела с безопасностью. В большинстве случаев на вас посмотрят так, будто вы просите покрасить стены невидимой краской. Убеждаюсь в этом на протяжении 15 лет, консультируя сотни корпоративных клиентов.
Но просто попробуйте как штатный работник или как консультант получить отдельного человека, нанятого для создания и поддержания системы управления активами. Выражения их лиц будут говорить: «Слушай, не знаю, откуда ты, но здесь у нас нет лишних денег, чтобы разбрасываться ими на глупые административные задачи».

Компании несут расходы на печеньки в офисах, отправляют людей на бесполезные тренинги с конференциями и сливают миллионы на маркетинговые кампании, результаты которых не могут потом привязать к уровню продаж. Вот что значат их взгляды, и это смешно, учитывая, на что тратятся деньги. Неа. Но потратить деньги на то, чтобы иметь список того, что мы на самом деле защищаем? Расточительство чистой воды. Слишком дорого.

Управление активами, возможно, самый важный компонент программы безопасности, но я знаю примерно ноль компаний, у которых есть выделенный работник для этого.

Прекратите спрашивать про сертификаты соответствия, регламенты или дипломы. Люди продолжают задавать ненужные вопросы о нарушениях. Вместо этого давайте спросим, у кого из этих компаний был перечень активов, с охватом более 60% и актуальностью менее 30 дней. Это не имеет значения. Я был бы рад услышать от кого-то, что ошибаюсь. Думаю, более 99% компаний, столкнувшихся с серьёзным инцидентом или утечкой за последние пять лет, не имели такого списка своих систем, данных и производителей.

Для большинства компаний самое лучшее, что они могут сделать для своей программы безопасности — это нанять отдельного человека для поддержания перечня активов компании в режиме, близком к реальному времени.

Как такое вообще возможно? И раз уж мы тут играем с огнём, давайте зададим ещё один вопрос: чего стоит соответствие требованиям регуляторов в области защиты информации, если его можно получить, не имея понятия, где ваши данные, и какие у вас системы? Это как если бы автопроизводитель прошёл краштест, не предоставив машину.

Спустите это в унитаз. Забудьте всё, что вы знали про информационную безопасность. Давайте называть это «не-плохо-бы-иметь». Все регламенты, сканеры безопасности, управление уязвимостями и аудиты.

Показатель зрелости команды безопасников — это их ответы на вопросы:

  • Что сейчас доступно из Интернета?
  • Сколько всего у вас систем?
  • Где ваши данные?
  • Сколько производителей у вас?
  • Какого рода данные у каких производителей?

Если они смотрят на вас, как баран на новые ворота, они не занимаются настоящей безопасностью. Если они не знают, что защищают, это всего лишь дорогая и сломанная машина, сжигающая деньги компании.

Одним словом они — потеряны. Они — учитель, который не пересчитывает учеников в опасной поездке, военнокомандующий, потерявший свои боевые части, и родитель, который не представляет, чем занимается их ребёнок. Это не значит, что они не знают безопасность, или у них нет слаженного коллектива. И фиаско неизбежно. Это ловушка, в которую попадаются многие отличные команды.

Можно начать с чего-то вроде этого: Если мы хотим знать настоящий уровень безопасности, давайте использовать единую метрику для всей индустрии: «Точность и актуальность инвентаризации активов».

  • A: 90% точность, или 1 неделя давности
  • B: 80% точность, или 1 месяц давности
  • C: 70% точность, или 2 месяца давности
  • D: 60% точность, или 3 месяца давности
  • E: 50% (или меньше) точность, или 1 год давности

А теперь поставьте каждому руководителю команды безопасников цель достичь 95% точности с ежедневным/еженедельным обновлением в течение 6 месяцев. А ценой будет просто зарплата 1-3 человек, нанятых для выполнения этой задачи. Это сократит нарушения безопасности и обойдётся в разы дешевле, чем та свалка продуктов, которые мы закупаем и развёртываем каждый год.

Я, как и многие, не всегда относился к этому достаточно серьёзно. Я не говорю, что это легко, или что я всегда превосходно делал это раньше. Конечно, я не призываю отказаться от остальных важных мер защиты. Но если вы не хотите платить одному или нескольким людям, чтобы они занимались управлением активами полный рабочий день, вы не на пути к неудаче — вы уже потерпели неудачу. Но я говорю, что это должно стать приоритетным направлением повышения безопасности, а заплатить за это можно деньгами, которые неэффективно тратятся на другие вещи.

Автор оригинала: Daniel Miessler

Об авторе

Daniel Miessler — специалист по защите информации и писатель, родившийся, выросший и проживающий в северной Калифорнии:

Моя главная интеллектуальная страсть в жизни сводится к следующему:

  1. Изучение интересных принципов мироустройства: их выявление, описание и документирование.
  2. Решение реальных проблем с использованием структурированных знаний.
  3. Обмен и обсуждение с другими как самих моделей, так и их применимости для изменения мира.

Говоря иначе, мне нравится находить шаблоны в вещах, создавать модели того, как устроен мир, обсуждать, делиться и использовать эту информацию для улучшения жизни тем или иным образом.


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

Android Things перефокусируется на умные колонки и дисплеи

Тогда заявлялось, что эта платформа поддерживает разработку под Android, создатели собирались постепенно добавлять новые устройства, включая ntel Joule 570x, NXP Argon i. В конце 2016 года корпорация Google представила обновленную платформу для интернета вещей, которая получила название Android Things. MX6UL ...

Важные изменения в работе CTE в PostgreSQL 12

WITH w AS NOT MATERIALIZED ( SELECT * FROM very_very_big_table ) SELECT * FROM w AS w1 JOIN w AS w2 ON w1.key = w2.ref WHERE w2.key = 123; Сегодня в репозиторий PostgreSQL упал комит, позволяющий управлять поведением обработки подзапросов ...