Висновки після notPetya

для керівників та спеціалістів

Мене тут увесь день питали, тому коротенько про висновки, які мають зробити біг-бада-боси, з усього що сталося.

  1. Інформаційна безпека (ІБ) це не антивірус і не фаєрвол. ІБ це агрегатний стан. Ви або в змозі триматися до купи, або розтікаєтеся по підлозі. Щоб не розтектися, треба ІБешить.
  2. ІБшить мають ІБшники. ІБешники це професія; адмін, програміст, секретар, перекладач, кур’єр – це інші професії, їх не можна примусити ІБшить.
  3. Досвідчені ІБшники коштують дорого. Можна взяти молодого і виростить, але вийде дорожче. Дешевше буде взяти пачку досвідчених і нехай вирощують молодих.
  4. ІБшникам треба давати бюджет. Не то що лишилося від бюджету ІТшників, а окремий бюджет, який вони в змозі логічно обґрунтувати за допомогою оцінки ризиків та чинних норм законодавства. І не половину, не третину того що вони обґрунтують, а весь.
  5. ІБшники повинні ІБшить, а не писати RFP на тендери, щоб найняти інших ІБшників, які будуть ІБшить замість них. Безпека це не прок’юрмент. Деколи ІБшникам потрібна допомога інших ІБшників ззовні. Деколи вона необхідна. Але коли ІБшники займаються виключно освоєнням бюджету – “на фіг” пишеться окремо.
  6. Сертифікат це не доказ безпеки, це шматок зіпсованого паперу. Абсолютно непотрібна річ, тому що ламінована і погано гнеться. Комплаянс це не безпека. Щасливий аудитор це не безпека. “Зелений” звіт про пентест це не безпека. Безпека це коли досвідчений ІБшник, який читає зранку під каву скорельовані логі, бухтить собі під ніс: “– Як малі діти, єйбогу.”
  7. Безпека це головняк Генерального директора, чи як у вас там на візитці написано. Не ІБшників, не COO, не CFO, не борда, а вищої виконавчої влади в корпорації. Можна делегувати функцію, але не можна делегувати відповідальність. Кіберполіція не прилетить на ракеті та не врятує вас від хакерів. Безпека – це +1 бізнес-процес та +1 параметр кожного бізнес-процесу. Додано зранку на свіжу голову.
  8. Будьте готові до інциденту до того, як він настане. Нормальні ІБшники вас до нього підготують. Але майте під рукою плани Б і В. Тому що вони знадобляться. Вас хакнуть. Вас скоріш за все вже хакнули. Якщо ви не вважаєте, що ваш бізнес завершиться на першому зламі, будьте до нього готові.
  9. Майте під рукою кризову піар стратегію. Ми нічого не знаємо це не стратегія. В нас все добре це не стратегія. Ми не винні це не стратегія. Майкрософт та інші вендори помиляються а ми говоримо правду це не стратегія. Стратегія, це нас зламали - так; ми вибачаємося за це перед усіма, кому це завдало шкоди; і ми зробимо усе що в людських силах для того, щоб винести максимум уроків з цього зламу та не дозволити цьому повториться знов. Саме ваша піар поведінка під час кризи демонструє ваше справжнє ставлення до клієнтів.

Бережіться