Comments 13
Ну да, вода мокрая, пламя обжигает, в компаниях, где ИБ подчиняется ИТ никакой безопасности нет. Все это знают, но ИБ - это от 10 до 25% бюджета ИТ. И не все бизнесы это могут себе позволить.
Это как по телеку когда то показывали, как стало антилоп бежит через реку с крокодилами. Ну да, утащат крокодилы по антилопе. И крокодилы сыты и стадо с 10 тыс голов не особо пострадало. Стратегия))
Да и то, утащат... Вон, собеседования я в СДЭК на того самого ciso. С шикарным опытом работы в операторе почтовой связи) Не взяли. Через квартал их ломают... Ну, думаю, за квартал я б не успел) хорошо что не взяли. И что, СДЭК а больше нет? Есть. Всем ...безразлично. а вот боксбери из которых утечек данных не было, больше нет.
Винлаб за углом неделю не работал. Но щас работает. Правда - касса повисла, перезагружается. Ждите 5 минут. Как будто ИТ директора не сменили после инцидента.
Я к чему это... ИБ есть там, где это за чем то нужно первому лицу. Тогда он найдет специалистов, выдаст им достаточно средств и административного ресурса. А рассказывать им о нужности ИБ бесполезно.
.
бюджет ИТ = бюджет ИБ, а идеально когда свои статьи расходов.
Так как для топ-менеджмента/бухгалтерии/финансистов: ИТ=ИБ , потому что для них это "программное обеспечение" и "услуги".
Хорошие примеры, кстати! Лично видел как вбухивалу кучу бабла в организацию кибербеза с шифрованием, защитой от дудоса и прочего, но по факту это все было как Неуловимый Джо - тем кто умеет ломать, компания нафиг не нужна была. А кому нужна, делали проще - подсаживали инсайдера, и все текло. Ущерб был, больной, но не критичный.
Ну вот , начали вроде за здравие, а потом опять началось...
Формально и содержательно в обязанности CISO входят:
Разработка и реализация стратегии кибербезопасности компании
Каждый раз, когда провожу семинары по организации ИБ, первый вопрос с которого начинаю: кто понимает разницу между информационной безопасностью и кибербезопасностью?
Слив коммерческой тайны конкурентам это ИБ или Кибербез?
А слив денег мошенникам которые твоим директором представляются это ИБ или Кибербез? И при чем тут вообще корпоративная безопасность, если это личные накопления, а не корпоративный счет?
Вот как раз кибербез и есть зона ответственности ИТ, все остальное это немного другие компетенции за рамками ИТ
Какие интересные у вас семинары. Факт слива - это СБ, а вот техническая форма реализации этого самого слива - это кибербез, инцидент информационной безопасности. Слив денег мошенникам, которые представились директором - тоже инцидент ИБ, тоже кибербез. Потому что фишинг, можно в Госсопку пойти, можно в финцерт, если финансовая сфера, и они также посчитают это инцидентом ИБ.
Более того, в серьезных организациях, ИТ в разрезе кибербеза отвечают только за опернадежность, которая может быть нарушена в результате инцидентов ИБ, а за все остальное в этих инцидентах - зона ответственности ИБ
А ИБ для Вас это не СБ? Тогда что это если не безопасность?
Фишинг, это про компрометацию паролей и доступов, а не про то чтобы отдать мошенникам деньги. Вот и вопрос, при чем тут ИБ? И уж при чем тут ИБ, с вашей же точки зрения, если мошенникам отдаются личные деньги, а не корпоративные, да и самого факта технической реализации слива тут нет?
Конечно нет, СБ - это экономическая и физическая безопасность. ИБ здесь про конкретные способы получения чего бы то ни было. И вот здесь фишинг - это способ получения данных, и не обязательно паролей. Был кейс фишинга получения конкретного номера телефона контрагента.
А по поводу личных денег. Если личные деньги переводятся в результате корпоративного обмана, а импрсоналия руководителя - оно самое, то конечно это инцидент ИБ. Более того, один из регуляторов считает так же. И принимает информацию об этих инцидентах с дальнейшей отправкой в правоохранительные органы
По идее да, СБ традиционно занимаются физической и экономической безопасностью.
Но на практике бывает и так, что СБ действительно занимается не только экономической, физической но ещё и информационной безопасностью. За частую при такой реализации разделения полномочий, при отсутствии отдельно выделенной функции ИБ, им отходит бумажная часть и согласования, а ИТ подразделению реализация с технической стороны, но всё же.
Да и по сути то назвать подразделение можно как угодно, главное чтобы квалификация соответствовала исполняемым обязанностям и соответствующие полномочия были документально закреплены)
Квалификации не достаточно.
Когда один и тот же человек отвечает и за быстрый вывод фич в прод и за то что б харекы не поломали, у него возникает конфликт интересов. Так не работает, видел к сожалению лично.
В ИТ можно оставлять эксплуатацию тех сзи, которые являются точками отказа. Тоесть прежде всего МСЭ и антивируса. Формирование и контроль требований должны быть в ИБ, и ИБ не должно подчиняться ИТ. Те сзи , которые для собственной безопасности, ну грубо говоря dlp, ИБ должны эксплуатировать сами. Иначе не работает.
ИБ может быть в вертикали безопасности. Так нормально, так работает. Говорят, что ciso может сам быть вторым лицом. Сам такого не видел, но готов допустить что так тоже норм.
Кибербез - это часть общей ИБ. Слив коммерческой тайны - это ИБ. В том числе - тематика и кибербеза, если при этом был компьютерный инцидент.
Конечно есть зона пересечения между ИБ и ИТ, которую четко не проведешь, но путать направления работы - это странно. Это же классическая проблема - когда кибербез под ИТ - ведет к постоянным нарушениям безопасности обработки информации. Конфликт интересов.
Именно, спасибо за адекватный коммент!
Кибербез это часть ИБ, ИБ это часть общей системы корпоративной безопасности. Но кибербез невозможен без ИТ функции и вот тут и есть корень проблем: где проводить грань между корпоративной ИТ функцией и кибербезом? Или создавать на стыке. Но это уже совсем отдельная история
Когда происходит утечка, кто виноват первым? Конечно, айтишники. Сервер они настраивали, доступ они выдали, антивирус не сработал — все логично.
Неправильно. Утечка не у нас, никто не виноват.
Кто на самом деле отвечает за защиту информации в организации: зона ответственности ИТ и ИБ