Вредные советы: как НЕ надо строить безопасность в компании
У любого бизнеса компаний рано или поздно возникает вопрос: "Как построить действительно работающую систему безопасности?"
Есть разные подходы. По опыту реализации проектов и анализу инцидентов безопасности, которые мы встречали в разных компаниях, сформировался набор “вредных советов”, которые не укрепляют защиты, а создают иллюзию что данные и бизнес процессы на 100% под надежной защитой. Итак, поехали…
Первое обязательное действие, на которое необходимо идти всем «безопасникам» или самим собственникам - внедрить все известные системы защиты, которые на слуху: антивирусы, межсетевые экраны, антиспам, DLP, SIEM, VM, SOAR и другие. Они точно будут работать сразу после покупки и они все точно нужны - выделяем деньги и закупаем без сомнений - ведь все вокруг только и говорят о них!
Во-вторых, некоторые “недобросовестные” ИБшные интеграторы будут предлагать вам провести аудит безопасности (хотя бы предварительный). Ни в коем случае не соглашайтесь на эту услугу - она же платная! Такие компании просто хотят заработать на вас!
Это все равно, как покупать страховку на случай аварии - зачем она вам, если вы и ездите аккуратно и машина на парковке на улице стоит безопасно, никогда ничего не случается!
В-третьих, если все-таки захотите установить систему безопасности, то лучше не тратить денег на защиту - можно выбрать либо вообще бесплатные, либо самые дешевые решения: они тоже помогут “в случае чего”!
Не нужно проверять, какие системы уже есть в компании, что надо защитить, что есть из ландшафта решений на рынке - просто купите что-нибудь, оно того стоит, все равно лучше, чем ничего! Да и безопасность в компании какая-никакая уже появится!
В-четвертых, не обязательно беспокоиться о безопасности баз данных в ЦОД или защите “облачных” сервисов. Просто защитите компьютеры в офисе антивирусом и все будет хорошо - зачем хакерам эти облачные технологии и Интернет, они все равно умеют только вирусы на флешках подкидывать!
В-пятых, не стоит слушать советы аудиторов, читать практику по рынку, анализировать инциденты. Там обычно рассказывают про какие-то сложные замороченные штуки и советуют кучу дополнительных систем и услуг, которые вам точно не нужны. Лучше игнорируйте их!
Не нужно заморачиваться и тратить время на анализ бизнес-процессов и ИТ систем, планирование архитектуры системы защиты - ведь можно действовать наобум или более научно “по наитию”. Если что-то захотелось - просто купите все, что покажется важным (ну если, конечно, покажется… ведь безопасность - это вообще расходы, а кому они нужны)!
В-шестых, самое главное - не уделяйте внимание анализу бизнес-рисков, угрозам и сценариям атак. Просто не думайте об этом и все будет в порядке (даже психологи говорят, что если о чем-то думать, то мы это притягиваем: нет мыслей - нет проблем)!
P.S. Не забывайте, что в этой статье мы дали ВРЕДНЫЕ советы по построению системы информационной безопасности. В реальности поступать нужно с точностью наоборот. Например, аудит - важнейшая часть построения системы, он экономит ресурсы и помогает сделать систему эффективной, а не трендовой. Если нужна консультация - приходите, мы подскажем, как можно и сэкономить на безопасности, и на что обратить внимание в первую очередь!