Нет, мир не белый и не черный, и, на мой взгляд, не стоит так радикально и жестко отметать то, что создано предыдущими поколениями. Стараясь быть максимально кратким постараюсь изложить свою позицию в нескольких тезисах:
- Мне практически не известны системы эффективные на 100%. Как следствие, имеющийся риск, как правило, не закрывается контролем на 100%. Обычно говорят о допустимых уровнях.
- Снижение эффективности связано с желанием большей гибкости, ибо абсолютно негибкие решения зачастую неприменимы (тут надо помнить, что безопасность - средство, а не цель, и, помимо того, что быть безопасным, бизнесу еще надо как-то работать)
- Не всегда есть возможность реализовывать превентивные меры, а так как оставаться совсем голым еще хуже - реалзиуем детективные: пусть нас можно атаковать, но мы об этом узнаем как только, так сразу, и это 100% лучше, чем не узнаем вообще!
- Считай что оценка рисков - выбор компромисса. Всегда, когда мы решаем проблему безопасности, мы вынуждены искать компромисс - это и есть оценка рисков, и она есть всегда, независимо от размера компании, шатата админов, критичности данных - все это влияет уже лишь на внутренюю организацию процесса оценки рисков. Но, как класс ативностей, он есть, возможно немного вырожденный или видоизмененный.
- Обучение пользователей. Ввиду того, что невозможно разных людей заставить думать одинаково, особенно в области, где они не специалисты, куда более эффективно придумать свод праил "что можно, а что нельзя". Это и есть те самые политики и стандарты. Да, они будут не такие пафосные, как в крупной компании, но как класс они неизбежно будут существовать, и о них будет разговор на awareness training-е для пользователей.
- На рынке есть решения и для SMB.
4 comments:
Посмотри на ситуацию с позиции руководителя компании, в которой работают 5 компьютеров. Его не интересуют "эффективность", "риск", "компромисы". Ему надо чтобы его маленькая фирма работала и приносила доход.
Пройдусь по тезисам:
1. Система резервного копирования.
2. :) на днях бизнес заявил что для снижения затрат ему необходимо подключить к своей ЛВС сети подрядных организаций. Оказалось, что нужно просто иначе спланировать процедуры обмена данными.
3. Детективные меры предполагают наличие человека, который постфактум определит что что-то произошло. Малый бизнес не может себе этого позволить.
4. Никто не будет искать компромис, все должно быть предельно просто.
5. Да и они должны быть естественными и понятными
6. Все это продукты предназначенные для enterprise рынка, с уменьшенной функциональностью и увеличенной удельной ценой лицензии.
Бизнес (в данном случае средств безопасности) часто развивается таким образом, что сначала окучиваются крупные компании, которые могут принести большие прибыли. До небольших компаний дело тоже дойдет (вернее уже доходит). И мне кажется тут наиболее эффективно будет работать сервисная модель - небольшой компании будет выгодно не наращивая штат заплатить за сервис. Могу себе представить рекламу - "Подключив у нас ваш малый офис к Интернету, вы можете подписаться на нашу эксклюзивную услугу обеспечения безопасности, доплатив всего 25%. Не дайте вирусам испортить ваш день! Вы больше никогда не потеряете важную информацию! Спешите, срок предложения ограничен!".
Я и пытаюсь сказать, что сервисной модели в обычном ее понимании не будет. Рынку уже много лет, а до SMB пока никто не опускается. Да и сложно это. Тот же IDS через сервисную модель предоставлять очень накладно.
Получится или не получится сервисная модель я скоро проверю на собственном опыте.
Сейчас я строю SOC, который будет обеспечивать ряд сервисов безопасности для множества небольших предприятий. Основной аргумент "за" - то, что содержать N человек в SOC выгоднее, чем по K (K>=2) человек на M предприятиях, поскольку N < K*M, не говоря уже о том, что внутри N проще отладить коммуникации (как минимум, потомучто людей меньше). Самостоятельно предприятиям действительно невыгодно содержать отдельный штат для обеспечения безопасности, тогда как в SOC один сотрудник может осуществлять мониториг нескольких предприятий. Очвидна аналогия с поточным производством, которое, из ресчета на единицу продукции, выгоднее единичного или опытного.
Post a Comment