Вы знаете, почему пираты часто носили повязку на глаз? Существует версия, что таким образом они мгновенно адаптировались к темноте во время боя в трюме и на верхней палубе, когда им приходилось перемещаться между ними. Быстрая смена темного помещения и освещенного приводила к временному ухудшению зрения, что могло дорого обойтись в бою. Повязка же позволяла не теряя времени взглянуть на бой другим глазом. Правда это или вымысел не знает никто, но в учебниках для военных летчиков и гражданских пилотов есть схожая рекомендация — закрывать один глаз при резкой смене освещенности и не быть «слепым» в течение нескольких минут. К чему это я и причем тут кибербезопасность?
На самом деле аналогия с пиратской повязкой и возможностью взглянуть на ситуацию то одним, то другим глазом, навела меня на мысль о том, с чем мало когда сталкиваются специалисты по ИБ. Согласно опросу по зарплатам, который я проводил осенью, 95% респондентов работают «на дядю», то есть не имеют своего бизнеса. При этом почти на любом мероприятии всплывает тема «бизнес не понимает ИБ» или «ИБ не умеет говорить на языке бизнеса». Я долгие годы был на стороне этих 95%; да и сейчас остаюсь на этой стороне баррикад, но… запустив свой сайт (именно сайт, а не блог), я ощутил доселе незнакомые мне чувства 🙂 А именно частично встал на позицию бизнеса, так как раньше за безопасность блога отвечал не я, а Google (ну да я про это уже писал). Когда же я запустил сайт и стал целиком отвечать за вопросы его доступности, работоспособности и безопасности, картина поменялась. Да, я по-прежнему считаю безопасность сайта важной его составляющей, но теперь я трачу на нее свои деньги и с советами, которые дает одна сторона моей натуры, сторона ИБшника, начинает спорить с другой стороной, стороной бизнесовой.
И это, скажу я вам, битвы те еще. Один мой глаз смотрит на всякие плагины по безопасности и оценивает их возможности, а другой смотрит на их стоимость и соотношение стоимость/функциональность. Один мой глаз бросает взгляды в сторону различных сервисов по сканированию уязвимостей или анализу вредоносных файлов, а другой начинает считать деньги, выглядя скопидомом в глазах своего «коллеги». Эти два голоса, ведущие внутри меня свой постоянный разговор, живо напомнили мне редкие дискуссии на конференциях по ИБ, на которых удается собрать в одном зале бизнесменов и безопасников. Я прямо узнаю доводы обеих сторон, так как сам внутри себя привожу их же, пытаясь встать на ту или иную сторону. И не могу сказать, что специалист по ИБ всегда берет верх; скорее наоборот 🙂
Я не раскрою сейчас каких-либо секретов — все-таки сайту всего полтора месяца. Но многие свои же рекомендации сейчас пересматриваю с высоты нового опыта, который уже позволяет смотреть на все двумя взглядами — безопасника и псевдо-бизнесмена. А коллегам-блогерам могу порекомендовать посмотреть в сторону своего сайта. Это интересный опыт. Интересен он еще и с точки зрения нормативки, так как на сайт теоретически распространяется не только закон о персональных данных (если есть комментарии, а то и система регистрации), но и, возможно, ряд других норм, например, законодательства об организаторах распространения информации, а также иных НПА. Но это тоже интереснейший опыт, когда ты начинаешь смотреть на свои же рекомендации по регуляторике и возможность их преломления на свой сайт.
Собственный сайт — интересный опыт не только с точки зрения практической ИБ, но и с точки зрения бизнес-ориентированности. И самое главное, это не дорого за такой ценный опыт!
Свой сайт — это еще и практический опыт, связанный с созданием, эксплуатацией, обновлением, поддержкой и мониторингом системы защиты web-ресурса. Так что тоже штука интересная.
Со статьей согласен, но не всегда есть время, работая на дядю, заниматься своими проектами.
Вообще бест-практикс зарубежные гласят, что у ИБшников должно быть мнение обо всем вокруг и значит они должны все пощупать своими щупальцами. Например, должен быть телефон и на iOS, и на Android. Тоже самое с ОС (Linux/windows/mac etc.).
Такой подход, каким бы тривиальным он не казался, реально расширяет кругозор.
Согласен про расширение кругозора. Но и свои проекты тоже бывают разные. Сайт — это не так уж и затратно по времени.
Разве закон о персональных данных распространяется на сайт только если есть там комментарии, а то и система регистрации. Я вот под именем Иван оставил комментарий и при регистрации на сайте указать любые вымышленные данные.
А если не вымышленные?
Алексей, по поводу сайта/блога.
Вы же, следуя своим всегдашним рекомендациям, прежде всего оценили риски, причем с точки зрения бизнес-цели, так?
Прежде чем выбирать «всякие плагины по безопасности» ))
Думаю многим было бы интересно увидеть правильный подход к этой задаче.
Мне сходу видятся пожалуй только два основных риска
— репутационный. Многие захотят проверить «бумажного безопасника» ))
— комплайнс. Тут скорее зависит от количества посетителей как оценки степени влияния. Какая-то градация вроде была у РКН по этому поводу?
Ну и если начнете продавать что-то, стандартные риски интернет-магазина. Майки, футболки, книжки с подписью и прочая атрибутика )).
Да, оценивал, конечно. Но не формально, как это рекомендуется в «умных книжках», а по понятиям. Все-таки, мне чуть проще договариваться с самим собой 🙂