среда, 5 сентября 2012 г.

Фитнес как модель информационной безопасности. Часть II


Fitness as a model for security // Фитнес как модель информационной безопасности
автор: Tim Keanini [www.insecuremag.com]
перевод: Рустам Абдуллин [rustam-abdullin.blogspot.com]

"Security"-фитнес и безопасность

Горькая правда, которую может подтвердить каждый спортсмен: фитнес подготовка не гарантирует превосходства в соревновании. Как следствие из этого правила: быть compliance не значит быть полностью защищенным. Команда может обладать превосходными физическими показателями и ничего не выигрывать, организация может быть compliance с требованиями того или иного регулятора, но оставаться уязвимой для определенных угроз.

Этот факт, однако, не дает нам права игнорировать compliance. Так плохая физическая подготовка гарантирует легкую победу сопернику. Нельзя игнорировать базовую фитнес и security подготовку, однако также не следует предполагать, что это позволит вам без труда справляться со сложными соперниками. И вот почему.

Проблема связанная с compliance программами информормационной безопасности в том, что они сфокусированы на производительности вашей операционной деятельности. В этот нет ничего не правильного, важно иметь подобные навыки.

Опасность заключается в том, что подобные метрики рассматриваются как ключ к информационной безопасности. Compliance метрики - это измерение операционной целостности и эффективности, но они не предостваляют информацию о специфических угрозах информационной безопасности организации.

Спортсмены с хорошей физической подготовкой "в зале" зачастую проходят через стресс при первом выступлении за взрослую команду. Отличная подготовка в замкнутой среде очень полезна, но ее не достаточно, чтобы противодействовать более серьезным угрозам.

Вызов для спортсмена и участника информационного обмена, определяемый выживанием в серьезной конкурентной среде,  это тренировка тех навыков, которые предоставят ему наибольшие шансы на успех в контексте того соревнования с которым ему придется столкнуться. Это тяжкий труд и дисциплина. Зачастую это еще и набор вещей, которые не хотитят делать. Это разница между победителями и проигравшими на поле соревнования, и между жертвами и выжившими в Интернет. 

Звучит хорошо, но как определить направление тренировок "в контексте определенных угроз" и включить необходимый набор навыков в вашу программу информационной безопасности, в особенности когда угрозы, с которыми мы сталкиваемся, постоянно меняются?

Специфика тренировок и игр в информационную безопасность


Представьте себя в "игре" против организации хактивистов. 
Каков по вашему их "план игры"?


Фитнес подготовка спортивных команд сосредоточена на очень специфичных целях и делает ее более эффективной. Программы подготовки профессиональных спортсменов строятся на основе определенных задач, выбранных с целью улучшить персональные характеристики против определенных оппонентов. Это справедливо и для зрелых команд.

Два ключевых принципа фитнес программ находят свое отражение в информационной безопасности. Первый - знать как можно больше о своем оппоненте. Второй - использовать полученные сведения для построения стратегии подготовки, которая позволит использовать свои сильные стороны против оппонента.


Что значат эти принципы с точки зрения информационной безопасности? Представьте себя в "игре" против организации хактивистов. Каков по вашему их "план игры"? Иначе: "какие информационные ресурсы вашей организации больше всего заинтересуют хактивистов"? Ответы на эти вопросы определят хактивистов в качестве оппонентов. 


Если вы зададите схожие вопросы про кибер-криминал или про тех, кто представляет собой угрозу национальной безопасности - ответы будут другими, так как эти противники из другой игры. Такой мыслительный процесс позволит сделать "фитнес" программу информационной безопасности для вашей организации более точной.

Всем приходится сталкиваться с организованной кибер преступностью, которую интересует доступ к данным клиентов, интеллектуальная собственность, деятельность конкурентов и финансовые данные. Данные такого рода приносят прибыль. Если бизнес обрабатывает подобную информацию, а это почти все коммерческие и некоммерческие организации, тогда должно иметь место обучение, дабы эффективно противостоять кибер преступности.

Рассматривая различные классы атак можно выделить конкретные ресурсы и бизнес-процессы,  которые являются наиболее привлекательными для кибер-преступников, и направить программу обучения именно на эти цели.

Хактивисты и действия направленные на государственные интересы страны могут иметь целью различные ресурсы и бизнес процессы. Если бизнес достаточно велик для того, чтобы считаться целью для подобных атак, ваша "фитнес" программа должна быть значительно шире, чтобы защитить дополнительные ресурсы организации.

Разработка эффективной программы информационной безопасности требует знания собственных особенностей бизнеса, знаний такой же глубины ваших конкурентов, время и размышлений. Информационная безопасность не подразумевает существования ответа на все вопросы. Хорошая новость заключается в том, что выполненная работа по оптимизации программы информационной безопасности предоставит организации наибольшие шансы минимизировать потери после серьезных кибер атак.

Продолжение следует.

Комментариев нет:

Отправить комментарий