"Безопасность" - слово-обман, обещающее рай и безмятежность, когда можно не беспокоиться об опасностях.
В реальном мире безопасности не существует. Но можно защищаться.
В реальном мире безопасности не существует. Но можно защищаться.
Два самых важных процесса защиты
Если бы меня спросили, какие процессы обеспечения безопасности (защиты) самые важные, на что потратить деньги, если их очень мало, то я бы сказала, что это повышение осведомленности работников и управление инцидентами.
Обучение будущих безопасников начинается с постулата о том, что человек - самое слабое звено в безопасности.
Ассоциации по безопасности твердят о том, что 50-95% инцидентов, приводящих к потерям, происходит из-за "человеческого фактора", а именно из-за действий или бездействий работников компаний.
Неясно, откуда берутся эти цифры, но работники могут причинить вам наибольший вред, даже если не хотят этого. Обучите их, чтобы они хотя бы не причиняли вам вред не со зла.
Почему управление инцидентами так важно?
С одной стороны, управление инцидентами - аналог обучения, но уже для бизнеса. Если вы обнаруживаете и расследуете большую часть происходящих инцидентов, вы знаете, где слабые места, и у вас появляются серьёзные аргументы для того, чтобы их закрыть. Или наоборот - вы понимаете, что такие инциденты не настолько страшны для вас, чтобы тратиться на защиту.
С другой стороны - даже если у вас хорошая система предотвращения угроз, не от всех угроз получится защититься, и вовремя замеченный инцидент может быть обработан и не привести к проблемам.
Если вы только начинаете строить безопасность в своей организации, и у вас не так много ресурсов, начните с этих двух процессов.
Не начинайте с аудита, сам по себе он не повышает защищенность. Не всегда результаты аудитов могут достаточно впечатлить тех, кто выделяет деньги на защиту.
Расскажите коллегам о базовых правилах безопасности, определите, как вы можете обнаруживать инциденты сейчас и что делать в случае инцидентов.
Если бы меня спросили, какие процессы обеспечения безопасности (защиты) самые важные, на что потратить деньги, если их очень мало, то я бы сказала, что это повышение осведомленности работников и управление инцидентами.
Обучение будущих безопасников начинается с постулата о том, что человек - самое слабое звено в безопасности.
Ассоциации по безопасности твердят о том, что 50-95% инцидентов, приводящих к потерям, происходит из-за "человеческого фактора", а именно из-за действий или бездействий работников компаний.
Неясно, откуда берутся эти цифры, но работники могут причинить вам наибольший вред, даже если не хотят этого. Обучите их, чтобы они хотя бы не причиняли вам вред не со зла.
Почему управление инцидентами так важно?
С одной стороны, управление инцидентами - аналог обучения, но уже для бизнеса. Если вы обнаруживаете и расследуете большую часть происходящих инцидентов, вы знаете, где слабые места, и у вас появляются серьёзные аргументы для того, чтобы их закрыть. Или наоборот - вы понимаете, что такие инциденты не настолько страшны для вас, чтобы тратиться на защиту.
С другой стороны - даже если у вас хорошая система предотвращения угроз, не от всех угроз получится защититься, и вовремя замеченный инцидент может быть обработан и не привести к проблемам.
Если вы только начинаете строить безопасность в своей организации, и у вас не так много ресурсов, начните с этих двух процессов.
Не начинайте с аудита, сам по себе он не повышает защищенность. Не всегда результаты аудитов могут достаточно впечатлить тех, кто выделяет деньги на защиту.
Расскажите коллегам о базовых правилах безопасности, определите, как вы можете обнаруживать инциденты сейчас и что делать в случае инцидентов.
💯2
Корневая проблема управления защитой организаций - целеполагание
В теории топ-менеджмент организации устанавливает цели деятельности по защите организации, а менеджер(ы) по защите (по безопасности) организуют работу по достижению этих целей.
Эти цели коррелируют с целями деятельности организации, помогают им и не противоречат.
На практике часто происходит что-то из следующего:
1) Топ-менеджмент не понимает возможностей деятельности по защите и требует чуда безопасности = отсутствия инцидентов.
2) Топ-менеджмент не представляет себе стоимость безопасности.
3) Участники выбора целей подразумевают, что целей достаточно достичь один раз и забить.
4) Менеджер по защите не понимает бизнес и не может помочь руководству установить цели защиты, адекватные целям бизнеса.
А руководство, не будучи специалистами по защите, думает, что так и надо - не зря же они специалиста наняли.
5) Менеджмент безопасности кажется менеджеру или руководству бесполезным перекладыванием бумажек, потому что использование документов внутри организации не в культуре компании. Большая часть документов компании плоха по структуре, содержанию, неактуальна, да и совершенно неудобна в использовании. Это препятствует долгосрочным инициативам.
6) Бизнес организации и её контекст, её руководство меняются настолько часто, что процесс достижения целей защиты не приносит пользы и не достигает когда-то поставленных целей. Даже если цели защиты были скоррелированы с целями бизнеса.
В теории топ-менеджмент организации устанавливает цели деятельности по защите организации, а менеджер(ы) по защите (по безопасности) организуют работу по достижению этих целей.
Эти цели коррелируют с целями деятельности организации, помогают им и не противоречат.
На практике часто происходит что-то из следующего:
1) Топ-менеджмент не понимает возможностей деятельности по защите и требует чуда безопасности = отсутствия инцидентов.
2) Топ-менеджмент не представляет себе стоимость безопасности.
3) Участники выбора целей подразумевают, что целей достаточно достичь один раз и забить.
4) Менеджер по защите не понимает бизнес и не может помочь руководству установить цели защиты, адекватные целям бизнеса.
А руководство, не будучи специалистами по защите, думает, что так и надо - не зря же они специалиста наняли.
5) Менеджмент безопасности кажется менеджеру или руководству бесполезным перекладыванием бумажек, потому что использование документов внутри организации не в культуре компании. Большая часть документов компании плоха по структуре, содержанию, неактуальна, да и совершенно неудобна в использовании. Это препятствует долгосрочным инициативам.
6) Бизнес организации и её контекст, её руководство меняются настолько часто, что процесс достижения целей защиты не приносит пользы и не достигает когда-то поставленных целей. Даже если цели защиты были скоррелированы с целями бизнеса.
Прекрасная лекция Максима Ильяхова о письменных коммуникациях в компаниях
https://www.youtube.com/watch?v=4h1mXRTKkG0
https://www.youtube.com/watch?v=4h1mXRTKkG0
YouTube
Как писать, чтобы вас понимали. 5 принципов ясного текста для работы и жизни
Enjoy the videos and music you love, upload original content, and share it all with friends, family, and the world on YouTube.
Тем временем российские чиновники считают, что существует не просто безопасность, но даже "гарантированная безопасность":
😁1
Forwarded from Листок бюрократической защиты информации
Инфофорум-2021. Н. Мурашов (НКЦКИ) в развитие высказывания В. Лютикова (ФСТЭК России) о том, что риск-ориентированный подход не работает в Российской Федерации и никакое увеличение размера наказания не поможет: «Риск-ориентированный подход изживает себя. .... существует и другой подход: «Подход гарантированной безопасности». Защищённая система должна строиться как защищённая с самого начала.»
Зачем придумали риски
Я, конечно, не могу залезть в голову человеку, который придумал понятие риска. Но судя по тому, как это слово определяется в международных стандартах, и наиболее популярному значению по разным отраслям, говоря о риске, подразумевают возможный ущерб и шанс, что этот ущерб наступит.
Риск обычно так и выражается: ущерб от события х вероятность (частота) события.
То есть риск - это мера предполагаемого события или сценария, приводящего к потерям.
Часто слово "риск" употребляют неправильно. Например, сейчас в Москве в общественном транспорте крутят объявление о том, что в Москве высок риск заражения коронавирусом. Здесь более уместно слово "вероятность", потому что заражение не всегда приводит к заболеванию, многие болеют бессимптомно. К тому же объявляющий не может оценить уровень потерь, потери здесь будут очень субъективными у каждого заразившегося: кому-то будет всё равно, что он потерял обоняние, а для кого-то это будет трагедией.
То есть у двух разных людей даже при равных шансах заразиться будет разное понимание их собственного события потерь (иногда даже не до конца формализованного), связанного с заражением коронавирусом, и разные уровни риска. Поэтому кто-то носит респираторы, а кто-то не носит маску в общественных местах совсем - даже если эти люди одинаково проинформированы.
Я, конечно, не могу залезть в голову человеку, который придумал понятие риска. Но судя по тому, как это слово определяется в международных стандартах, и наиболее популярному значению по разным отраслям, говоря о риске, подразумевают возможный ущерб и шанс, что этот ущерб наступит.
Риск обычно так и выражается: ущерб от события х вероятность (частота) события.
То есть риск - это мера предполагаемого события или сценария, приводящего к потерям.
Часто слово "риск" употребляют неправильно. Например, сейчас в Москве в общественном транспорте крутят объявление о том, что в Москве высок риск заражения коронавирусом. Здесь более уместно слово "вероятность", потому что заражение не всегда приводит к заболеванию, многие болеют бессимптомно. К тому же объявляющий не может оценить уровень потерь, потери здесь будут очень субъективными у каждого заразившегося: кому-то будет всё равно, что он потерял обоняние, а для кого-то это будет трагедией.
То есть у двух разных людей даже при равных шансах заразиться будет разное понимание их собственного события потерь (иногда даже не до конца формализованного), связанного с заражением коронавирусом, и разные уровни риска. Поэтому кто-то носит респираторы, а кто-то не носит маску в общественных местах совсем - даже если эти люди одинаково проинформированы.
Техника "пре-мортем"
"Пре-мортем" означает "перед смертью". Техника заключается в том, чтобы вообразить нечто катастрофическое, которое произошло, и провести мысленное расследование, почему оно произошло.
Технику можно использовать в разных сферах как в работе, так и в обычной жизни.
Например, в ИБ вы можете вообразить, что ваша самая главная и важная база утекла, и теперь её продают в даркнете.
Почему так произошло?
💀Её слили изнутри? Кто мог это сделать?
💀Или это хакеры вас взломали?
Как они это сделали? Почему вы вовремя это не заметили?
💀А может, вас и ломать не нужно было, база гуглилась через поисковик?
Как так вышло? Почему вы не знали об этом?
Ответив на эти вопросы, вы получите дерево сценариев, которые приводят к одному итогу, и болевые точки, влияя на которые можно снизить вероятность этого итога.
"Пре-мортем" означает "перед смертью". Техника заключается в том, чтобы вообразить нечто катастрофическое, которое произошло, и провести мысленное расследование, почему оно произошло.
Технику можно использовать в разных сферах как в работе, так и в обычной жизни.
Например, в ИБ вы можете вообразить, что ваша самая главная и важная база утекла, и теперь её продают в даркнете.
Почему так произошло?
💀Её слили изнутри? Кто мог это сделать?
💀Или это хакеры вас взломали?
Как они это сделали? Почему вы вовремя это не заметили?
💀А может, вас и ломать не нужно было, база гуглилась через поисковик?
Как так вышло? Почему вы не знали об этом?
Ответив на эти вопросы, вы получите дерево сценариев, которые приводят к одному итогу, и болевые точки, влияя на которые можно снизить вероятность этого итога.
Когда риск путают со страхом
На картинке - выдержка из отчета, прогнозирующего риски для бизнеса на 2021 год.
2020 научил всех бояться болезней. Но насколько вероятно, что в 2021 году болезни будут так же сильно воздействовать на бизнес? Вероятно ли, что начнётся новая пандемия или текущая пандемия будет с такой же силой "воздействовать" на бизнес? И даже если так - что бизнес, переживший 2020, не переживет новые ограничения и заболевания персонала?
Мне такие оценки кажутся довольно натянутыми, и вот почему:
1. Наиболее пострадавшие от ковида бизнесы не занимаются оценкой рисков: это мелкий бизнес, который не живёт такими понятиями. В статистику risk score они точно не попадают.
2. Опыт ковида - первый опыт пандемии в современном мире. За прошедший год страны многому научились, увидели экономический эффект разных видов ограничений, и в следующий раз, скорее всего, ограничения при прочих равных будут носить более мягкий характер.
——->>
На картинке - выдержка из отчета, прогнозирующего риски для бизнеса на 2021 год.
2020 научил всех бояться болезней. Но насколько вероятно, что в 2021 году болезни будут так же сильно воздействовать на бизнес? Вероятно ли, что начнётся новая пандемия или текущая пандемия будет с такой же силой "воздействовать" на бизнес? И даже если так - что бизнес, переживший 2020, не переживет новые ограничения и заболевания персонала?
Мне такие оценки кажутся довольно натянутыми, и вот почему:
1. Наиболее пострадавшие от ковида бизнесы не занимаются оценкой рисков: это мелкий бизнес, который не живёт такими понятиями. В статистику risk score они точно не попадают.
2. Опыт ковида - первый опыт пандемии в современном мире. За прошедший год страны многому научились, увидели экономический эффект разных видов ограничений, и в следующий раз, скорее всего, ограничения при прочих равных будут носить более мягкий характер.
——->>
Да, я говорю это из России, где строгость закона компенсируется необязательностью его исполнения. В Европе тем временем всё не становится легче. Но западные страны не могут не стрелять себе в ногу.
3. Помимо того, что мы поняли последствия различных мер и ограничений, мы улучшили санитарные условия. Какие-то меры останутся "на постоянку" (может быть, ношение масок в самолёте, дистанцирование) и будут предупреждать распространение других болезней.
4. Пандемия всё ещё остается маловероятным событием.
Конечно, новости о новых найденных потенциально смертоносных вирусах быстро становятся популярными, и за прошедший год мы видели несколько таких. Но всё же заболеванию, которое может привести к пандемии, нужно обладать определенными параметрами - заразностью, летальностью, способами передачи, чтобы стать инициатором пандемии.
Факт, что событие произошло, сам по себе не увеличивает вероятность повторения события. Думать иначе - когнитивное искажение.
5. Вряд ли непосредственно "заболевание, не связанное с работой" так сильно повлияло на чей-либо бизнес, чтобы ставить его наибольшим риском среди возможных влияний на бизнес. Да, несколько снизило эффективность рабочей силы. Но не более того. Люди всегда болеют, просто в прошлом году - немного чаще.
6. Формулирование риска как "заболевание, не связанное с работой" некорректно, потому что неясно, кто заболевает, и как именно это влияет на бизнес.
Формулировка в отчете больше похожа на то, что больше всего боится бизнес, но не как проанализированный и оцененный риск.
К отчетам даже больших и уважаемых организаций стоит относиться со скептицизмом.
3. Помимо того, что мы поняли последствия различных мер и ограничений, мы улучшили санитарные условия. Какие-то меры останутся "на постоянку" (может быть, ношение масок в самолёте, дистанцирование) и будут предупреждать распространение других болезней.
4. Пандемия всё ещё остается маловероятным событием.
Конечно, новости о новых найденных потенциально смертоносных вирусах быстро становятся популярными, и за прошедший год мы видели несколько таких. Но всё же заболеванию, которое может привести к пандемии, нужно обладать определенными параметрами - заразностью, летальностью, способами передачи, чтобы стать инициатором пандемии.
Факт, что событие произошло, сам по себе не увеличивает вероятность повторения события. Думать иначе - когнитивное искажение.
5. Вряд ли непосредственно "заболевание, не связанное с работой" так сильно повлияло на чей-либо бизнес, чтобы ставить его наибольшим риском среди возможных влияний на бизнес. Да, несколько снизило эффективность рабочей силы. Но не более того. Люди всегда болеют, просто в прошлом году - немного чаще.
6. Формулирование риска как "заболевание, не связанное с работой" некорректно, потому что неясно, кто заболевает, и как именно это влияет на бизнес.
Формулировка в отчете больше похожа на то, что больше всего боится бизнес, но не как проанализированный и оцененный риск.
К отчетам даже больших и уважаемых организаций стоит относиться со скептицизмом.