среда, 11 июня 2014 г.

ИБ, русская душа и балалайка



Мысль не моя. Ну или не совсем моя. Алексей Лукацкий бросил камень и пошел дальше нести доброе и вечное ИБ людям, а в моем мозгу плотно засела идея – дописать.
Итак… Особенности национального ИБ в разрезе моего личного опыта, а так же мнений коллег и знакомых.

КОМПЛЕКСНЫЙ ПОДХОД

Чертовски редкая вещь! Как правило, все решает набор технологий, успешно проданных вендором, интегратором или просто хорошим человеком. DLP, МСЭ, антивирусы и т.д. и т.п. создают иллюзию полной защиты активов компании от всего на свете и позволяют руководителю ИТ спать спокойно, а собственнику верить в то, что уж если ИТшники спят спокойно, то с ИБ у компании и правда все отлично. Встречаются кое-где даже документы с DRP, BCM, KPI, ROI и с прочими сочетаниями латинских букв, эти документы очень любят показывать аудиторам и на корпоративных конференциях. Как правило, собственник бизнеса, окинув взглядом такую поляну, понимает, что проще поддаться первобытному страху и дать денег, чем разбираться в том, что вообще происходит с этим ИБ. И уж тем более, не приведи Господь, запачкаться в этом всем.
Почему так? Так проще продавать! Так проще внедрять! Так проще всем!
Путь наименьшего сопротивления и вера в технологии! Ну и откаты, куда без них.
Было бы нечестным сказать, что это не работает. Это работает и местами неплохо. Вопрос в том, работает ли это эффективно и насколько подобная ИБ отвечает целям бизнеса. Но ведь если вопрос не задан, то возможно и не стоит искать на него ответ?
Вообще, отсутствие комплексного подхода в российском ИБ – это не проблема российского ИБ. Это проблема той среды, в которой отечественная ИБ растет и развивается. Качество и количество различных НПА и регуляторов только усугубляет положение.
Получилось мрачновато, но на самом деле всё не так и плохо. ИБ развивается вместе со страной. Увидим комплексный подход в бизнесу, экономике, регулированию, мегапроектам – увидим и комплексную ИБ. Кстати, обратная связь тоже есть, но ИБ находиться на коротком конце рычага, так что усилии по трансформации среды потребуется значительно больше.

ТРУДНОСТИ ПЕРЕВОДА

Опять же исторически так сложилось, что под ИБ у нас в стране понимают ИТ-безопасность и выполнение требований регуляторов. Проблема, казалось бы пустяковая, но уже много лет она жива и тормозит развитие отрасли. Да, да… Руководители и собственники бизнеса, не говоря уж о чиновниках понимают под ИБ то, что видят, а видят они ИТ.
Это как устоявшийся в 90-х обычай называть всех, кто имеет отношение к ИТ – программистами.  
Мне часто кажется, что такой подход крайне выгоден интеграторам. Оргмеры продавать значительно сложнее, нежели оборудование и софт. )))

МЕНТАЛИТЕТ И КОРПОРАТИВНАЯ КУЛЬТУРА

Американцу говорят:
«Гражданин, вы получите миллион долларов, если прыгнете с моста в реку».
Американец требует подписания контракта и предоплаты, после чего спокойно прыгает в воду.
Немцу говорят:
«Вы получите миллион долларов, если прыгнете с моста».
Немец не соглашается, говорит, что у него дела, семья, обязанности. Ему говорят:
«Но есть строгий приказ вашего руководителя прыгнуть с моста».
Немец немедленно прыгает.
Русскому говорят:
«Вы получите миллион долларов, если прыгнете с моста в реку».
Русский в ответ: «Чихал я на ваши миллионы» и идет по своим делам.
Ему говорят: «Ваш начальник приказал вам прыгнуть с моста».
Русский: «Чихал я на приказы» и идет дальше.
Ему говорят: «Вы знаете, вообще-то с этого моста прыгать запрещено».
Русский перелезает через перила и со словами: «А чихал я на ваши запреты» — прыгает.

Правила для слабаков. Хочешь выиграть – нарушай.
Сложнее всего изменить отношение людей к безопасности. Что говорить об ИБ, если на промышленных предприятиях постоянно происходят абсолютно дикие нарушение правил техники безопасности приводящие к гибели людей. Что говорить об ИБ, если на многих предприятиях требования пожарной безопасности выполняются только формально. Что говорить об ИБ, если ПДД нарушают все, кому не лень, ибо так удобнее.
ИБ неудобно, ИБ мешает работать, ИБ требует дополнительных усилий как со стороны руководства, так и со стороны сотрудников… А ведь так легко немножко нарушить правила.

Совершенно точно могу сказать, что внедрение организационных мер ИБ в Германии значительно проще и эффективнее нежели в РФ. И связано это исключительно с менталитетом работников.  Это приходит из их опыта повседневной жизни и легко проецируется на рабочие процессы. Кроме того, общая культура работы с информацией и информационными технологиями там выше, как и информированность населения об угрозах безопасности на государственном уровне.

БАЛАЛАЙКА, МЕДВЕДЬ И ВОДКА

Интересно? )))) (To be continued)

1 комментарий:

  1. Полностью согласен с вышесказанным. Хотя "менталитет" скользкая штука со многими условностями.

    ОтветитьУдалить