Продавцы страха

Нет врага, нет угроз, нет уязвимостей, нет рисков — нет продаж безопасности

Один из основных вопросов, долго и неустанно терзающих умы безопасников, — как перед бизнесом обосновать расходы на ИБ? Копий тут сломано немало, поэтому я не стану повторяться и попытаюсь посмотреть на проблему под иным углом зрения. Но прежде давайте немного поговорим про общеизвестные вещи и вспомним азы.

Итак, первое, что не дает покоя профессионалам, — то, что безопасность всегда (или практически всегда, если быть совершенно точным) часть сугубо расходная. Напрямую она не дает бизнесу ничего. Здесь, в отличие от ИТ, невозможно сказать, что внедрение конкретной системы позволит оптимизировать бизнес-процессы настолько-то, и подсчитать эффективность внедрения. Положа руку на сердце, это и в ИТ сделать не всегда просто, а уж в ИБ и подавно. Вот и мы, безопасники, крутимся как можем, придумывая различные доводы, почему мы нужны, при этом зачастую выдвигая и совершенно бредовые аргументы, но эффективные в данной конкретной ситуации, а значит, работающие в одном случае и совершенно не работающие в другом. И главный парадокс тут в том, что даже в одной и той же компании, с одними и теми же лицами, «принимающими решение», одни и те же аргументы в разные моменты времени могут приводить к различным результатам. Я абсолютно убежден, и весь наш опыт это точно подтверждает, что здесь не бывает «серебрянной пули» и в каждом конкретном случае и даже в каждый конкретный момент времени аргументы могут быть свои. Даже, казалось бы, абсолютно железные аргументы в виде демонстрации видеозаписи реальной атаки на банк с переводом денег со счетов всех пользователей через найденные в процессе аудита уязвимости работают далеко не всегда.

Паутина страха

Одно совершенно точно, и не стоит строить иллюзий, стыдливо пряча глаза: любая индустрия любой безопасности всегда основана на страхе. Это аксиома. Нет врага, нет угроз, нет уязвимостей, нет рисков — нет продаж безопасности. Третьего тут не дано.

Какими же традиционными методами безопасность пытается убедить бизнес выделить для себя бюджет? Здесь мы не будем говорить о случаях, когда необходим формальный, навязанный сверху комплаенс — вопрос обоснования бюджета в данном случае не стоит. Не будем вдаваться в подробности, а просто легкими штрихами наметим проблему, кратко выделив основное и ни в коем случае не претендуя на полноту или, не дай бог, глубину.

Инциденты

Самый любимый и, как ни странно, самый сложно реализуемый на практике метод. Я постоянно слышу от коллег жалобы, что, дескать, ну не хватает у нас реальных инцидентов, не хватает. И это правда. Уязвимостей масса, а инцидентов мало. Парадокс? Отнюдь. Во-первых, огласке придаются сотые доли процентов реальных инцидентов — лишь тогда, когда масштаб произошедшего никак не позволяет его скрыть. Во-вторых, латентность преступлений в области ИБ такова, что вы можете годами не подозревать, что у вас в системе орудует целая преступная группа — и подобных историй масса. Поэтому в данном случае наличие или отсутствие реальных инцидентов не дает нам практически ничего и попытка обосновывать необходимость выделения бюджета, базируясь на этом параметре, далеко не всегда адекватна. Хотя, бывает, и срабатывает.

Анализ рисков

Возможно, я для кого-то сейчас открою Самую Страшную Тайну всех безопасников: анализ рисков — это одно из главных шаманств в ИБ. Впрочем, на данную тему надо писать отдельную большую статью. Если кратко, то статистические методы, на которых великолепно работает анализ рисков, например, в автостраховании, совершенно неприменимы для ИБ. Мало того, что инцидентов нет или число их чересчур незначительно, так еще и ущерб толком подсчитать не может никто. И что, раз так, то вообще не заниматься безопасностью и оставить дверь открытой? Но бывает, финансисты, привыкшие к классическому риск-менеджменту, требуют выкладок с данными, и бедным безопасникам приходится брать в руки шаманский бубен и на основе экспертных оценок придумывать страшные цифры рисков. Но и это иногда работает...

Процент от бюджета

Самый простой способ, который очень легко укладывается в чьей угодно голове, — сколько процентов от стоимости того, что ты хочешь защитить, логично потратить на обеспечение безопасности. В жизни мы с вами постоянно используем данный способ, страхуя машины, устанавливая сигнализации и т. д. Правда, применяем еще и анализ рисков (но без всякого шаманства), основываясь на простой житейской логике, и это нормально — ведь для максимального эффекта лучше применить комбинацию традиционных методов. Понимание того, что как ни крути, а безопасностью надо заниматься, плюс годы сопоставления бюджетов на ИТ и ИБ показывают, что на безопасность тратится от 1 до 10% бюджета ИТ. Поэтому данный порог иногда бывает полезен при грубой верхней оценке стоимости проекта по ИБ.

Гениальные сейлы

Наивная вера в суперсейла и евангелиста в одном флаконе, который способен продать что угодно и кому угодно, резко, одним ловким ударом переломив любую негативную ситуацию и обосновав при этом любую сумму, как ни странно до сих пор существует даже в профессиональной среде. Надежда, что придет кто-то и разными хитрыми пассами, манипуляциями вперемешку с аргументами, НЛП и баней немедленно убедит руководство потратить деньги (в данном случае) на безопасность, очень прочно сидит в умах даже достаточно зрелых менеджеров. Наивная вера в супермена не дает человеку почувствовать себя стариком, и хорошо — верить нужно. Тем более что, правда, иногда и срабатывает, подкрепляя ореол веры. Особенно если не видеть случаев, когда это не сработало.

Под другим углом

Хватит уже основ — давайте посмотрим на проблему обоснования бюджета под обещанным иным углом зрения, хотя кому-то и это может и должно показаться базовыми банальностями.

Безопасность по умолчанию

Зададимся вопросом: какие продукты по ИБ покупают прежде всего и почему? Для начала обратимся к статистике и посмотрим, какие специализированные ИБ компании котируются на бирже, оставаясь при этом независимыми. Скажу сразу: их всего 13 (да, так мало!). Из них всего две имеют капитализацию более $10 млрд: Symantec ($15,3 млрд) и Check Point ($12 млрд). Еще восемь с капитализацией свыше $1 млрд, из них одна антивирусная Trend Micro ($4,7 млрд) и пять компаний, специализирующихся, как и Check Point, на сетевой безопасности. Какой вывод? А вывод прост: самые богатые ИБ-компании те, которые продают антивирусы и сетевую безопасность, — это неоспоримый факт. Почему? А потому что на самом деле сегодня безопасность воспринимается бизнесом прежде всего как некий базовый санитарный фактор. Как чистка зубов перед сном: ты не задумываешься, надо или нет, — ты просто чистишь. Так и эти два направления в безопасности стали базовыми — они почти не требуют обоснования, они нужны по умолчанию. Отсюда и термин, описывающий целый класс продуктов, — «безопасность по умолчанию». И если ты делаешь продукты или продаешь услуги, то чем ты ближе в понимании масс находишься к зоне by default — тем проще обосновывать на них бюджет.

«Дайте мне точку опоры, и я переверну весь мир»

В продолжение тезиса о суперсейле, который может убедить кого угодно в чем угодно. Не может. Или может, но далеко не всегда. Ведь если по каким-то причинам человек не хочет чего-либо, он никогда это не купит, даже при наличии железных аргументов. Давайте рассмотрим гораздо более сложный и близкий лично мне случай вывода на рынок совершенного нового нишевого продукта или услуги. Здесь бесполезно пытаться продавать наскоком: вначале тебе предстоит долгий и тернистый путь преодоления, а затем и формирования общественного мнения и нового рынка. Зачастую нужно потратить годы, чтобы убедить рынок в актуальности продукта или услуги. Если взять за основу стандартные стадии примирения с неизбежным и попытаться спроецировать их на процесс вывода на рынок нового продукта/услуги, то мы получим такие этапы в прямой временной последовательности:

• Отрицание

• Раздражение

• Колебание

• Принятие

Каждая из этих стадий занимает определенное время, и пока они все не будут пройдены подавляющим большинством заказчиков — результата не будет даже у гениального сейла-супермена, которые бывают обычно, как это и присуще настоящим суперменам, только в комиксах.

***

В заключение я бы хотел еще раз подчеркнуть, что процесс обоснования бюджета на продукты или услуги по безопасности всегда является делом крайне непростым. Поэтому практика показывает, что наибольшего успеха достигают люди творческие, способные, с одной стороны, тонко чувствовать и постоянно адаптироваться под наш быстро меняющийся мир, а с другой — не боящиеся пытаться «выгибать» этот мир под себя. Не правда ли, в этом заключается один из главных человеческих парадоксов, который описывает многих успешных личностей: конформизм, замешанный на бунтарстве, довольно взрывоопасная смесь.

Журнал IT Manager

Опубликовано 24.02.2014

Безопасность Внешние угрозы

Предыдущая
Удаленный доступ: пароль или двухфакторная авторизация?

Следующая
Кибербезопасность сегодня: чего нужно бояться

Новостная лента

Главное за неделю

Нажимая на кнопку, я принимаю условия соглашения.

Соглашение об использовании сайта

Внимательно прочитайте настоящее Соглашение, прежде чем начать пользоваться Сайтом. Вы обязаны соблюдать условия настоящего Соглашения, заходя на Сайт и используя сервисы, предлагаемые на Сайте. В случае, если Вы не согласны с условиями Соглашения, Вы не можете пользоваться Сайтом или использовать любые сервисы, предлагаемые на Сайте, а также посещать страницы, размещенные в доменной зоне Сайта. Начало использования Сайта означает надлежащее заключение настоящего Соглашения и Ваше полное согласие со всеми его условиями.

1. Термины и определения

1.1. Компания - Общество с ограниченной ответственностью «ИТ Медиа» (ООО «ИТ Медиа»).

1.2. Пользователь - лицо, получающее доступ к сервисам и информации, размещенным на Сайте.

1.3. Сайт – веб-сайт Компании, размещенный в сети Интернет по адресу https://www.it-world.ru.

1.4. Соглашение - настоящее Соглашение между Пользователем и Компанией, устанавливающее правила использования Сайта, включая графические изображения, элементы дизайна и средства индивидуализации, текстовую информацию и документацию, программы для ЭВМ и файлы для скачивания, любые иные произведения, объекты и материалы Сайта, а также условия и правила размещения Пользователем информации и материалов в соответствующих открытых разделах Сайта.

2. Общие положения и условия

2.1. Любые материалы, файлы и сервисы, содержащиеся на Сайте, не могут быть воспроизведены в какой-либо форме, каким-либо способом, полностью или частично без предварительного письменного разрешения Компании, за исключением случаев, указанных в настоящем Соглашении. При воспроизведении Пользователем материалов Сайта ссылка на Сайт обязательна, при этом текст указанной ссылки не должен содержать ложную, вводящую в заблуждение, уничижительную или оскорбительную информацию. Перевод, переработка (модификация), любое изменение материалов Сайта, а также любые иные действия, в том числе удаление, изменение малозаметной информации и сведений об авторских правах и правообладателях, не допускается.

2.2. Действующая редакция настоящего Соглашения размещена в сети Интернет на Сайте по адресу: https://www.it-world.ru/about/agreement.php. Компания вправе в любое время в одностороннем порядке изменять условия настоящего Соглашения. Такие изменения вступают в силу по истечении 2 (двух) дней с момента размещения новой версии Соглашения в сети Интернет на Сайте. При несогласии Пользователя с внесенными изменениями он обязан удалить все имеющиеся у него материалы Сайта, после чего прекратить использование материалов и сервисов Сайта. Ваше регулярное посещение данного Сайта считается вашим убедительным принятием измененного соглашения, поэтому Вы обязаны регулярно просматривать настоящее Соглашение и дополнительные условия или уведомления, размещенные на Сайте.

3. Обязательства Пользователя

3.1. Пользователь обязуется не предпринимать действий, которые могут рассматриваться как нарушающие российское законодательство или нормы международного права, в том числе в сфере интеллектуальной собственности, авторских и/или смежных правах, а также любых действий, которые приводят или могут привести к нарушению нормальной работы Сайта и сервисов Сайта.

3.2. Любые средства индивидуализации, в том числе товарные знаки и знаки обслуживания, а равно логотипы и эмблемы, содержащиеся на страницах Сайта, являются интеллектуальной собственностью их правообладателей. Пользователю Сайта запрещено воспроизводить или иным способом использовать указанные средства индивидуализации и/или их элементы без предварительного письменного разрешения соответствующих правообладателей.

3.3. Компания стремится обеспечить, однако не контролирует и не гарантирует конфиденциальность и охрану любой информации, размещенной на Сайте или полученной с Сайта. Компания принимает разумные меры в целях недопущения несанкционированного разглашения размещенной Пользователем на Сайте информации третьим лицам, однако не несет ответственность в случае, если такое разглашение было допущено. В этой связи, передача информации на Сайт означает согласие Пользователя на любое воспроизведение, распространение, раскрытие и иное использование такой информации. Размещая информацию и материалы, включая, фотографии и изображения, Пользователь также гарантирует, что обладает всеми правами и полномочиями, необходимыми для этого, с учетом условий настоящего Соглашения и что такое размещение не нарушает охраняемые законом права и интересы третьих лиц, международные договоры и действующее законодательство Российской Федерации.

3.4. Пользователь самостоятельно несет ответственность за любую информацию и материалы, размещенные им на Сайте. Компания не инициирует размещение указанной информации, не выбирает получателей информации, не влияет на содержание и целостность размещаемой информации, а также в момент размещения Пользователем информации на Сайте не знает и не может знать, нарушает ли такое размещение действующее законодательство Российской Федерации, однако Компания вправе отслеживать, просматривать и/или удалять любую информацию и материалы, размещенные Пользователем на Сайте. При размещении любой информации и материалов Пользователь не становится соавтором Сайта и отказывается от каких-либо претензий на такое авторство в будущем. Компания не выплачивает Пользователю авторского или любого иного вознаграждения, как в период, так и по истечении срока действия настоящего Соглашения.

3.5. В случае предъявления третьими лицами претензий Компании, связанных с нарушением Пользователем условий настоящего Соглашения, а равно с размещенной Пользователем информацией на Сайте, указанный Пользователь обязуется самостоятельно урегулировать такие претензии, а также возместить Компании все понесенные убытки и потери, включая возмещение штрафов, судебных расходов, издержек и компенсаций.

3.6. Компания не несет ответственности за посещение Пользователем, а также любое использование им внешних ресурсов (сайтов третьих лиц), ссылки на которые могут содержаться на Сайте. Компания не несет ответственности за точность, надежность, достоверность и безопасность любой информации, материалов, рекомендаций и сервисов, размещенных на внешних ресурсах. Использование внешних ресурсов осуществляется Пользователем добровольно, исключительно по собственному усмотрению и на свой риск.

3.7. Компания стремится к обеспечению достоверности информации, размещенной на Сайте, однако не несет ответственности за любые неточности и/или недостоверность информации, а равно сбои в работе предоставляемых через Сайт сервисов. Пользователь согласен с тем, что Компания не несет ответственность и не имеет прямых или косвенных обязательств перед Пользователем в связи с любыми возможными или возникшими потерями, или убытками, связанными с любым содержанием Сайта, интеллектуальной собственностью, товарами или услугами, доступными на нем или полученными через внешние сайты или ресурсы либо иные ожидания Пользователя, которые возникли в связи с использованием размещенной на Сайте информации или ссылки на внешние ресурсы. Ни при каких условиях, включая, но не ограничиваясь невнимательностью или небрежностью Пользователя, Компания не несет ответственности за любой ущерб (прямой или косвенный, случайный или закономерный), включая, но не ограничиваясь потерей данных или прибылей, связанной с использованием или невозможностью использования Сайта, информации, файлов или материалов на нем, даже если Компания или ее представители были предупреждены о возможности такой потери. В случае, если использование Сайта приведёт к необходимости дополнительного обслуживания, исправления или ремонта любого оборудования, а равно восстановления данных, все связанные с этим затраты оплачиваются Пользователем самостоятельно.

3.8. Вся представленная на Сайте информация предоставляется «как есть», без каких-либо гарантий, явных или подразумеваемых. Компания полностью, в той мере, в какой это разрешено законом, отказывается от какой-либо ответственности, явной или подразумеваемой, включая, но не ограничиваясь неявными гарантиями пригодности к использованию, а также гарантиями законности любой информации, продукта или услуги, полученной или приобретенной с помощью этого Сайта.

3.9. Пользователь согласен, что все материалы и сервисы Сайта или любая их часть могут сопровождаться рекламой. Пользователь согласен с тем, что Компания не несет какой-либо ответственности и не имеет каких-либо обязательств в связи с такой рекламой.

4. Условия обработки и использования персональных данных. Принимая условия настоящего Соглашения Пользователь выражает свое согласие на:

4.1. Предоставление своих персональных данных, включающих имя, номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) своей волей и в своем интересе.

4.2. Цель обработки персональных данных:

предоставление Пользователю услуг Сайта;
направление уведомлений, касающихся услуг Сайта;
подготовка и направление ответов на запросы Пользователя;
выполнение регулярной информационной рассылки;
направление информации о продуктах и услугах Компании, а также рекламно-информационных сообщений, касающихся продукции и услуг Компании и ее партнеров.

4.3. Перечень действий с персональными данными, на которые Пользователь выражает свое согласие:

сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, передача третьим лицам для указанных выше целей, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.

4.4. Компания обязуется принимать все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа или раскрытия.

4.5. Настоящее согласие действует до момента его отзыва Пользователем путем направления соответствующего уведомления заказным письмо с уведомлением на адрес Компании.

5. Прочие положения

5.1. Использование материалов и сервисов Сайта, а равно размещение на нем материалов Пользователя, регулируется нормами действующего законодательства Российской Федерации. Все возможные споры, вытекающие из настоящего Соглашения или связанные с ним, подлежат разрешению в соответствии с действующим законодательством Российской Федерации по месту нахождения Компании.

5.2. Признание судом какого-либо положения Соглашения недействительным или не подлежащим принудительному исполнению не влечет недействительности иных положений Соглашения.

5.4. Бездействие со стороны Компании в случае нарушения кем-либо из Пользователей положений Соглашения не лишает Компанию права предпринять соответствующие действия в защиту своих интересов и защиту авторских прав на охраняемые в соответствии с законодательством материалы Сайта позднее.

Пользователь подтверждает, что ознакомлен со всеми пунктами настоящего Соглашения и безоговорочно принимает их.

По всем вопросам, связанным с нарушением авторских прав Компании, незаконного использования материалов Сайта или размещением ложной, вводящей в заблуждение информации о Компании, просим обращаться по  следующим контактным данным:

ООО «ИТ Медиа» ИНН 7802426999, КПП 781301001,
Санкт-Петербург, ул Большая монетная, 16 / К. 30 литера А, пом. 14-Н №30

Игорь Лим: Передовые технологии защиты от дронов. Cloud Networks против беспилотников

Игорь Лим, руководитель группы Управления ИБ АСУ ТП Cloud Networks, который не только возглавляет проекты по защите промышленных объектов от атак беспилотников и промышленного шпионажа, но и принимает непосредственное участие в установке, настройке оборудования и обучении персонала, ответил на вопросы IT Manager.

07.04.24

Исследование российского киберландшафта: что с безопасностью?

Вчера компания BI.ZONE представила Threat Zone – годовое исследование российского сегмента. Эта работа - результат аналитической обработки данных, собранных экспертами BI.ZONE из команд реагирования на инциденты, центра мониторинга и киберразведки.

Андрей Виноградов05.04.24

«Центр расследований InfoWatch»: инновационный подход к защите данных

ГК InfoWatch представила новую собственную разработку «Центр расследований». Речь идет не просто о расширении функционала в области ИБ, уверены в компании, но и о переходе на качественно новый уровень. «Центр расследований» избавляет от необходимости консолидировать данные от различных систем ИБ, а время расследования инцидентов сокращается примерно в 3 раза.

Наталья Соловьева29.03.24

Как данные корпоративной почты утекают в сеть?

Данные корпоративной почты утекают у каждого 19-го сотрудника российских компаний. Причина этого в использовании корпоративных email-адресов для регистрации на популярных ресурсах.

21.02.24

Загрузить ещё »» Следующая →