Закончился первый день Russian CSO Summit II. Несмотря на сложную ситуацию зал конференции был полон, что не могло не радовать. Я выступал с докладом «Позиционирование ИБ в условияз кризиса». Презентация прилагается.
Security and Crisis
View more presentations from lukatsky.
Так удачно сложилось, что выступающий после нашей секции Харлан Волд, CSO Renaissance Capital практически полностью повторил то, что говорил я, но уже применительно к своему практическому опыту.
Эта презентация отчасти повторяет то, что я уже публиковал ранее. Но сейчас я систематизировал презентацию, удалил рекламу моей компании, добавил немного новой информации. В виде статьи эта тема была мной раскрыта в статье на bankir.ru.
Алексей, отличная презентация! На мой взгляд, вы выступили лучше всех сегодняшних докладчиков.
Жалко, что часть докладчиков откровенно рекламировали свои продукты и научные идеи. Иногда правда совсем неудачно…
Спасибо!
А гавань для утюгов — это не реклама?
Мне тоже очень понравилось, вообще нормальных презентаций на тему чем же ИБ может помочь бизнесу крайне мало.
Алексей, а у вас есть статьи по поводу оценки рисков? Интересно было бы почитать, мне кажется у нас взгляды во-многом совпадают.
Ригелю: Ты о какой гавани и каких утюгах?
Александру: У Харлана тоже был хороший доклад. Но как всегда бывает в презентациях с переводом качество итогового доклада падает. Потому что переводчик и переводит не всегда корректно, и хорошим спикером не является.
Денису: У меня предвзятое отношение к оценке рисков 😉 Точнее к ее количественной оценке. К качественной (экспертной) претензий нет. Но вот количественная… Нереально это в 99% компаний. Статистика отсутствует, оценка ущерба тоже. Как считают риски? Непонятно. А как сегодня Харлан заметил, да и мой опыт говорит о том же, руководство хочет видеть цифры, причем не высосанные из пальца.
Сколько я не пытался добиться ответа от наших интеграторов, как они численно считают риски, так никто и не сказал. Но все считают 😉
На bankir.ru по этому поводу уже неоднократно были дискуссии. Но единого мнения так и нет 😉
ЗЫ. А вообще я по жизни стал критиком 😉 Хорошо, что пока могу говорить то, что думаю 😉
ЗЗЫ. Меня еще улыбнул доклад человека из Уран-Медиа 😉 Он разбавил сухие презентации 😉
Я всегда считал, что в наших реалиях, самый лучший инструмент для оценки рисков — это простая табличка с цветными ячейками (красный, желтый, зеленый). К количественной оценке рисков у меня тоже предвзятый подход — профанация это все. Хотя знаю, что еще остались люди «старой школы», способные подвести мощную теоретическую базу именно под количественнную оценку.
Особенно удивляют продающиеся (новые версии появляются) программные продукты для количественных оценок рисков. А ведь все от того, что с помощью таких продуктов можно свою якобы огромную работу демонстрировать. Как это сегодня было? Инновации + 2 минуты через интернет. Ввел несколько ответов на простые вопросы, кнопочку нажал — и пожалуйста, 60 страниц отчета о рисках готово. Желающие могут попробовать http://mathmodels.net
Для А.Лукацкого:
Об Iron Port (видимо, зря я поленился регистр туда-обратно переключать).
Для Д.Муравьева:
Цветной способ хорош, когда оценка рисков является самоцелью. А если конечным результатом является обработка, то возникает проблема соотнесения полученных величин со стоимостью мер. Например, 0.4 миллиона — это допустимая жертва для перевода голубого в фиолетовый, или лучше принять к чертовой матери?
Ригелю: А-а-а. Я на мероприятии сказал, что в данном случае надо уходить от абстракций и на реальном примере показывать позиционирование для разных целевых аудиторий.
Презентация действительно хорошая!
А по поводу анализа рисков, руководство действительно хочет видеть цифры, таблички с цветовыми индикаторами вряд ли докажут необходимость финансовых вливаний в СЗИ.
Существуют же алгоритмы соотнесения количественных оценок с результатами тестов на проникновение..ну это уже на крайний случай!
Денису: Ну с цветными картинками тоже куча проблем. Я согласен с Ригелем — как соотнести тот или иной цвет с реальным ущербом и стоимостью мер борьбы с ним? Никак. И почему выбрано 3 градации? Не мало ли? Не гибко. А если делать больше, то в глазах рябит.
Что же касается цифровизации рисков, я все-таки скажу, что можно считать, но при условии наличия статистики (в течение не менее трех, а лучше пяти лет) и при умении считать ущерб. Первое сделать можно легко, но если начинать сейчас, то вся схема заработает лет через 5. Второе тоже решаемо — через BIA, AIE, iValue и других аналогичных методик. Да и обычная оценка нематериальных активов в бухгалтерии позволяет оценить стоимость потенциального ущерба. Вопрос только в том, что это мало кто делает.
Вот сейчас сижу на втором дне мероприятия 😉 Коллега из PwC говорит, что все написанное в презентации — фигня и руководитель службы ИБ не должен сам инициировать бизнес-проекты — мол, это не его задача.
Все-таки отечественный рынок ИБ (включая представителей многих западных компаний) находится в очень незрелом состоянии . И вся его проблема в том, что безопасники противопоставляют себя бизнесу ;-( Это просто в голове не укладывается — работать в компании и не считать себя ее составной частью. Бизнес отдельно, безопасность отдельно. А потом мы удивляемся, почему бизнес не видит ценности в ИБ. Да потому что сами безопасники не видят ценности в своей работе.
ЗЫ. А мнение отдельных представителей «большой четверки» о невозможности показать связь между бизнесом и ИБ меня удручает… Зато появляется возможность у российских компаний, предлагающих бизнес-консалтинг по ИБ.
Эх..на второй день попасть не удалось:(
Я думаю к коллеге из PwC было бы много вопросов по его взглядам!!!
Нет, не много 😉 У многих же такое же отношение к связи бизнеса и ИБ
Насчет цветных табличек для рисков. Подчеркиваю, что это — лучший, на мой взгляд, ИНСТРУМЕНТ, а не методика оценки.
Инструмент чего? Какую задачу я решаю с его помощью? Визуальная приоритезация рисков? Это важно. Но что потом? Как управлять этими рисками? Как понять, что снижать, что принимать, что переносить?..
Да, инструмент для визуальной приоритезации. Дальше конечно придется выбирать или разрабатывать подробную методику, что делать с этими рисками. Просто иногда руководство по-настоящему доверяет безопаснику, полагается на его мнение и не лезет реально глубоко в детали.
Посмотрели на «big picture», выделили бюджет.
Чтобы не разводить полемику отмечу только, что существует множество документов посвященных анализу и оценке рисков, например, OCTAVE, CRAMM и т.д. в которых все подробно описано и для больших и для маленьких компаний. Мне вот лично, австралийская серия рисковых стандартов нравится.
Мне тоже австралийские нравятся 😉
Алексей, а есть ли в свободном доступе австралийская серия рисковых стандартов и упомянутые методики BIA, AIE и iValue?
Если нет, то где и как их можно получить?
Все можно найти в Интернет (кроме может быть iValue — его я так и не нашел в открытом доступе). Если правильно искать.
BIA — это не методика. Это Business Impact Analysis — его все по разному делают.