цена безопасности
Разное
Пока ехал вчера в метро с курсов по НПС, думал о дуализме роли Банка России в области информационной безопасности банковской среды. С одной стороны ЦБ нередко закручивает гайки в части установления требований по ИБ. «Хорошим» примером этого является п.2.13.1 положения 382-П Банка России, согласно которому кредитная организация обязана ежемесячно
Бизнес
В последнее время очень много говорится об ответственности бизнеса за надежность своей ИТ-инфраструктуры и ее безопасность. Мол, найдена уязвимость на сайте, надо срочно устранять, а то ай-яй-яй, какие последствия наступят! КАКИЕ? Это первый вопрос, который задает бизнес. При это любые глубокомысленные заявления о репутации, о серьезности ущерба, о важности последствий, фразы «
Стратегия
И вновь вернусь к одной из дискуссий, поднятых на форуме директоров ИБ. Была поднята тема измерения эффективности ИБ. Нередко упоминались метрики ИБ, KPI ИБ и т.д. Но… стоило копнуть глубже и тема сдувалась. Выступающие, как правило, приводили в пример простейшие метрики ИБ. Вроде времени реагирования на рассмотрение заявки на доступ к ресурсам. Правильная ли это […
Бизнес
Вчера, на форуме директоров по ИБ опять подняли тему оценки рисков. Традиционно. И опять ни к чему не пришли. Зрители в зале пытались получить серебряную пулю в виде конкретных рекомендаций, а выступающие отговаривались общими фразами про классическую формулу «риск = вероятность * ущерб». На вопрос про оценку ущерба ответ был предсказуем —
Считается, что здоровье не имеет цены и, следовательно, оценить ущерб от взлома медицинских систем очень сложно. Как оказалось это неверно. В презентациях по оценке ИБ я не раз приводил тезис о том, что самое важное в любом измерении — это определить объект измерения. Это половина успеха. В случае с ущербом медицинским системам ситуация аналогичная и […
Бизнес
В продолжение начатой сегодня темы про связь раскрытия информации об уязвимости и падением курса акции обратимся к теме, которая близка не только разработчикам софта, но и любому акционерному обществу (по крайней мере за пределами России). Насколько взлом компании влияет на курсовую стоимость ее акций? Существует 4 исследования на эту тему, которые
Бизнес
Тезис о том, что качественное и защищенное ПО лучше наколеночных и дырявых поделок мало у кого вызывает сомнение. Как минимум на уровне восприятия. А вот вопрос о раскрытии информации об уязвимостях в ПО (Vulnerability Disclosure) регулярно вызывает дискуссии на различных конференциях и страницах профессиональной прессы. Раскрывать или нет?
Давеча столкнулся с очередной версией проекта нового стандарта ISO 27016 по организационной экономике ИБ. Стандарт ну очень достойный и нестандартный в своей нетехнической направленности. Начинается он со слов: «Успешное управление ИБ требует строгого понимания взаимосвязи технических (например, баланс рисков и безопасности) и экономических (например
Бизнес
Согласно Experian Data Breach Resolution (исследование по США) утечка данных приводит, в среднем, к 12-типроцентному снижению стоимости бренда компании. В России, правда, посчитать стоимость бренда сложновато.
Разное
На прошлой неделе Брюс Шнайер дал ссылку на интересное исследование «Knowledge Sharing and Investment Decisions in Information Security«, которое продолжает тему инвестиций в ИБ. Я уже как-то обращался к этой теме и тогда мы говорили о применении теории игр в вопросах инвестирования в ИБ. В исследовании, на которое ссылается Шнайер, говорится еще обо одной задаче […