Jeśli ktoś jest zainteresowany, to raport Bezpieczeństwo w polskim Internecie 2009 może sobie przeczytać. Na szczęście składa się tylko z 24 stron, z czego "treściwych" jest jeszcze mniej, więc da się przez niego przebrnąć. Treść nawet znośna, co jest poniekąd zaskoczeniem w przypadku produktów, w których tworzeniu biorą udział Wielcy Panowie W Garniturach (w tym przypadku Deloitte).
Raport: Bezpieczeństwo w polskim Internecie 2009
Pozwolę sobie na krótki komentarz dotyczący fragmentu raportu. Wynika z niego między innymi, że:
- nakłady na bezpieczeństwo informacji są (za) małe i praktycznie nie rosną,
- bezpieczeństwo informacji postrzegane jest jako zadanie jednego działu (bezpieczników),
- biznes postrzega ten dział jako umiarkowanie skuteczny,
Tak, działy bezpieczeństwa są bardzo często postrzegane jako jednostki generujące wyłącznie koszty. Wynika to, moim zdaniem, po części z tego, że w wielu przypadkach firmy/korporacje nie zostały jeszcze porządnie kopnięte w d... przez kosztowny incydent. W związku z tym określenie kosztów potencjalnego incydentu jest ciężkie, lub budzi wątpliwości. Po prostu ilość dostępnych informacji jest wciąż zbyt mała, by takie "twarde" analizy przygotować.
Oddzielnym problemem może być obsada działów bezpieczeństwa, konkretnie ich "szefowie". Wydaje mi się, że w warunkach korporacyjnych lepiej na tym stanowisku spisywałby się ktoś o znikomej wiedzy technicznej, za to potrafiący rozmawiać językiem biznesu. Od kwestii czysto "twardych" (merytorycznych) są specjaliści. W starciu z biznesowymi wyjadaczami działy bezpieczeństwa wypadają słabo, nie potrafią uzasadnić swojej przydatności, więc w efekcie dostają mniej środków.
O drugiej kwestii pisałem już wielokrotnie. Biznes tematy bezpieczeństwa (informacji) traktuje po macoszemu i nie czuje się za nie odpowiedzialny. Oczekuje, że wszystkim zajmą się inni, czyli bezpieczniki. Oczywiście zajmą się w taki sposób, że nie będą "wtrącać się" w genialne wizje głodnych sukcesu i zysków managerów. I tu się zastanawiam, czy słaba ocena działów bezpieczeństwa wynika z ich rzeczywistej skuteczności, czy raczej z powodu konfliktów między wizją biznesu, a wymaganiami bezpieczeństwa.
http://ipsec.pl/files/ipsec/Selling_security.ppt
Generalnie moje wnioski są takie, że biznes można przekonać do tego, że wydatki na bezpieczeństwo są inwestycją a nie kosztem.
Warunek konieczny: trzeba mieć na poparcie tej tezy rzetelne dane i koszty te muszą być rzeczywiście uzasadnione. A następnie trzeba umieć udowodnić biznesowi, że poprzedni wydatek został wydany rzetelnie, zanim się poprosi się o następny.
Z jednym i z drugim wiele działów bezpieczeństwa ma poważne problemy. W szczególności jako "rzetelny argument" nie liczą się tutaj "niezależne raporty", pisane na życzenie producentów i usługodawców z branży bezpieczeństwa, z których zawsze wynika, że "wydatki są za małe"
Ciekawym porównaniem byłoby zestawienie wykształcenia szefów IT i szefów działów bezpieczeństwa. Mam wrażenie, że ci pierwsi zdecydowanie częściej mogą się pochwalić czymś w stylu MBA, dzięki czemu "rozmawiają językiem biznesu".
Jeszcze nie doczytałem do końca, ale może pomocny będzie nowy papierek by Microsoft&iSEC Partners (http://blogs.msdn.com/sdl/archive/2009/10/05/getting-the-most-for-your-security-investment.aspx). Dodatkowo (chociaż nie lubię pisać o swojej pracy na etacie ) mój aktualny szef jest po MBA - a pracuję zdecydowanie w departamencie bezpieczeństwa. Może to wyjątek albo mam szczęście, ale moi poprzedni szefowie również wykazywali rozwinięte umiejętności rozmowy z biznesem. To chyba nie tylko o sam język chodzi...
Moje doświadczenia potwierdzają niestety teorię o awansowaniu do zajęcia swojego poziomu niekompetencji (http://pl.wikipedia.org/wiki/Zasada_Petera). Osoba dobra technicznie nie koniecznie jest najlepszym kandydatem na stanowisko kierownicze (czy nawet do kierowania projektem), przynajmniej nie bez wcześniejszego przygotowania. Mam po prostu wrażenie, że IT jest nieco do przodu w stosunku do "działów bezpieczeństwa" w ewolucji
To swoją drogą zabawne, ile potrafi taka z pozoru nietechniczna osoba wnieść podczas brain-stormingu nad jakimś problemem z gatunku "techniczne aspekty bezpieczeństwa"...
Ciekawy jestem jak te relacje IT-Security-Biznes wyglądają w firmach poza naszymi granicami. Czy w ewolucji opóźnieni są wszyscy czy może należymy do pewnej grupy bardziej/mniej opóźnionych?
Najlepszy menedżer dla działu bezpieczeństwa powinien być pośrodku między bezpieczeństwem a biznesem. Można to osiągnąć startując od MBA i robiąc np. CISSP (chyba najbardziej wszechstronny), albo startując od bezpieczeństwa i np. prowadząc przez jakiś czas własny biznes.
W banku ostatecznie może się okazać, że np. two-factor authentication nie ma uzasadnienia biznesowego i taniej jest jednak wypłacać odszkodowania czy wykupić ubezpieczenie.
Ten pierwszy scenariusz jest nieintuicyjny, ale większość banków amerykańskich na tym do niedawna jechała co świadczy o tym, że podchodzili racjonalnie do analizy kosztów i zysków. Oczywiście w pewnym momencie może okazać się odwrotnie - że koszt obsługi fraudów jest tak duży, że two-factor authentication szybko się zwróci. Wtedy racjonalne będzie wprowadzenie nowego mechanizmu.
I w przeciwną stronę to też działa. Znam przypadek polskiego banku, który wycofał się z tokenów RSA bo całą korzyść niweczyły ogromne koszty - nawet nie zakupu, tylko zarządzania zgubionymi tokenami czy zapomnianymi PINami. Znam też inny przypadek banku, który z tego samego powodu wycofał się z kwalifikowanego podpisu elektronicznego do autoryzacji transakcji, ale to akurat był poroniony pomysł od początku