Перечитывая одну дискуссию в украинской группе специалистов по ИБ на LinkedIn, я не удержался и изложил свои мысли по поводу в небольшой статейке. После пары-тройки робких комментариев модератор закрыл тему, ибо по его мнению она не лежит в плоскости ИБ. Я так не считаю. Вот собственно, что я по этому поводу думаю.
Этика бизнеса (я не говорю о морали, мораль – это немного другое) – что это? Зачем это нужно? Как этим пользоваться? Как вы монетизируете этику своего бизнеса? После того, как почти два года назад посыпалось несколько достаточно крупных банков, проблема этики бизнеса немного привсплыла, но тут же утонула за ненадобностью. Я говорю о том, что несколько коммерческих учреждений, имевших высокую репутацию, монетизировали ее одномоментно при помощи способа «Хоп!» Т.е. вывели средства из проблемного актива и переложили задолженность на плечи простых обывателей.
Едва ли Гиленко строил банк «Надра» с целью «кинуть» определенное количество вкладчиков. Но когда стало видно, что, по-честному, банк – «не жилец», было принято решение «спасайся кто как может», а у владельцев средств спасения было поболее, чем у рядовых вкладчиков. Репутация, которая создавалась годами, была оптом конвертирована в прибыль. И это может быть в любом бизнесе.
Но я даже не об этике бизнеса как таковой. Я хочу поговорить о более простых вещах, — об информационной безопасности (ИБ). Мы, выполняя свою работу, создаем различные системы ИБ. Чем мы руководствуемся при их создании? Что пишем в разделе ТЗ «Основания для разработки»?
Мы пишем: «Нормативные документы», «Отраслевые стандарты», «Современные технологии», «Рынок специализированного оборудования и ПО», «Наилучшие практики», «Опыт внедрения подобных систем», что-то еще. Но мы думаем: «Максимальная прибыль».
Множество раз я сталкивался с тем, что многие задачи ИБ могут быть решены административно-оперативными мерами, но для их решения закупалось дорогостоящее оборудование и не производилось активных административно-оперативных мер. Кто-то спросит меня почему? Или всем и так понятно?
Обе стороны — Заказчик и Исполнитель в лице ответственных на каждом уровне садятся вокруг поляны с названием «Информационная безопасность» (то же верно и для ИТ в целом) с одной лишь мыслью – «чтоб у нас побольше всего было и нам за это ничего не было».
Сейчас я не хочу говорить о конкуренции между интеграторами или специализированными компаниями (игроками рынка — резидентами) и роли откатов в ней. Хотя сейчас даже в конкурсах между вендорами ключевыми факторами часто становятся откаты. Откаты стали наибольшим (надеюсь, что еще не рынкообразующим, хотя статистики никто не ведет) «драйвером» бизнеса ИТ и ИБ. ИТ и ИБ стали рыбами-прилипалами на теле производства, торговли, сферы услуг.
Однажды я спросил одного успешного менеджера по продажам – «были ли у него в последнее время продажи без откатов?» — в ответ я услышал длинную паузу, и далее некоторое витиеватое объяснение, почему откаты – это не так плохо, как мне кажется на первый взгляд.
Даже если сделать лицо кирпичиком, а губки бантиком (т.е. игнорировать вопрос этичности откатов – многие работают на заниженных ставках, поскольку работодатель считает, что ИТ/ИБшники сами остальное украдут), то все равно остается вопрос оптимальности планирования и использования ИТ/ИБ бюджетов.
Я хочу поговорить о том, как откаты делают наши ИТ и ИБ решения не оптимальными. Выбор решений, зачастую, определяется раздуванием бюджетов и откатами, а не техническими характеристиками. В одном крупном частном(!) предприятии я наблюдал картину, как годами двумя разными отделами строится две разные системы сетевой безопасности (на эти деньги можно было бы построить одну, но вдвое функциональнее). Почти каждый отдел имел свою серверную, в ИВЦ было более одной системы SAN.
Более того, мало кто задумывается о том, что, однажды сев на иглу откатов, специалист, участвующий в принятии решения о закупке, не может оставаться объективным в выборе ИТ/ИБ решений. Ведь если он захочет «спрыгнуть» с не оптимального вендора в пользу другого (там тоже дают откаты) более оптимального, то ему это может «вылезти боком» — ему грозит разглашение информации об откатах, потеря репутации специалиста. Сейчас ИТ/ИБшники с этим справляются путем регулярной ротации (смены места работы), но суть остается одна и та же.
Итого, выходит интересная штука — служба ИБ на предприятии (часть СБ) должна защищать бизнес от экономического ущерба, но кто защитит бизнес от службы ИБ? Какие есть мысли на этот счет? Париться или не париться по этому поводу? Или это я такой злой потому, что у меня велосипеда раньше не было?
P.S. Да, есть люди, к которым вышесказанное не относится, я в курсе, но я не о них.
Этика бизнеса (я не говорю о морали, мораль – это немного другое) – что это? Зачем это нужно? Как этим пользоваться? Как вы монетизируете этику своего бизнеса? После того, как почти два года назад посыпалось несколько достаточно крупных банков, проблема этики бизнеса немного привсплыла, но тут же утонула за ненадобностью. Я говорю о том, что несколько коммерческих учреждений, имевших высокую репутацию, монетизировали ее одномоментно при помощи способа «Хоп!» Т.е. вывели средства из проблемного актива и переложили задолженность на плечи простых обывателей.
Едва ли Гиленко строил банк «Надра» с целью «кинуть» определенное количество вкладчиков. Но когда стало видно, что, по-честному, банк – «не жилец», было принято решение «спасайся кто как может», а у владельцев средств спасения было поболее, чем у рядовых вкладчиков. Репутация, которая создавалась годами, была оптом конвертирована в прибыль. И это может быть в любом бизнесе.
Но я даже не об этике бизнеса как таковой. Я хочу поговорить о более простых вещах, — об информационной безопасности (ИБ). Мы, выполняя свою работу, создаем различные системы ИБ. Чем мы руководствуемся при их создании? Что пишем в разделе ТЗ «Основания для разработки»?
Мы пишем: «Нормативные документы», «Отраслевые стандарты», «Современные технологии», «Рынок специализированного оборудования и ПО», «Наилучшие практики», «Опыт внедрения подобных систем», что-то еще. Но мы думаем: «Максимальная прибыль».
Множество раз я сталкивался с тем, что многие задачи ИБ могут быть решены административно-оперативными мерами, но для их решения закупалось дорогостоящее оборудование и не производилось активных административно-оперативных мер. Кто-то спросит меня почему? Или всем и так понятно?
Обе стороны — Заказчик и Исполнитель в лице ответственных на каждом уровне садятся вокруг поляны с названием «Информационная безопасность» (то же верно и для ИТ в целом) с одной лишь мыслью – «чтоб у нас побольше всего было и нам за это ничего не было».
Сейчас я не хочу говорить о конкуренции между интеграторами или специализированными компаниями (игроками рынка — резидентами) и роли откатов в ней. Хотя сейчас даже в конкурсах между вендорами ключевыми факторами часто становятся откаты. Откаты стали наибольшим (надеюсь, что еще не рынкообразующим, хотя статистики никто не ведет) «драйвером» бизнеса ИТ и ИБ. ИТ и ИБ стали рыбами-прилипалами на теле производства, торговли, сферы услуг.
Однажды я спросил одного успешного менеджера по продажам – «были ли у него в последнее время продажи без откатов?» — в ответ я услышал длинную паузу, и далее некоторое витиеватое объяснение, почему откаты – это не так плохо, как мне кажется на первый взгляд.
Даже если сделать лицо кирпичиком, а губки бантиком (т.е. игнорировать вопрос этичности откатов – многие работают на заниженных ставках, поскольку работодатель считает, что ИТ/ИБшники сами остальное украдут), то все равно остается вопрос оптимальности планирования и использования ИТ/ИБ бюджетов.
Я хочу поговорить о том, как откаты делают наши ИТ и ИБ решения не оптимальными. Выбор решений, зачастую, определяется раздуванием бюджетов и откатами, а не техническими характеристиками. В одном крупном частном(!) предприятии я наблюдал картину, как годами двумя разными отделами строится две разные системы сетевой безопасности (на эти деньги можно было бы построить одну, но вдвое функциональнее). Почти каждый отдел имел свою серверную, в ИВЦ было более одной системы SAN.
Более того, мало кто задумывается о том, что, однажды сев на иглу откатов, специалист, участвующий в принятии решения о закупке, не может оставаться объективным в выборе ИТ/ИБ решений. Ведь если он захочет «спрыгнуть» с не оптимального вендора в пользу другого (там тоже дают откаты) более оптимального, то ему это может «вылезти боком» — ему грозит разглашение информации об откатах, потеря репутации специалиста. Сейчас ИТ/ИБшники с этим справляются путем регулярной ротации (смены места работы), но суть остается одна и та же.
Итого, выходит интересная штука — служба ИБ на предприятии (часть СБ) должна защищать бизнес от экономического ущерба, но кто защитит бизнес от службы ИБ? Какие есть мысли на этот счет? Париться или не париться по этому поводу? Или это я такой злой потому, что у меня велосипеда раньше не было?
P.S. Да, есть люди, к которым вышесказанное не относится, я в курсе, но я не о них.
