Говорить о необходимости информационной безопасности, защиты персональных данных, поголовной установке DLP-систем сегодня становится хорошим тоном. Ни одна лента новостей не обходится так или иначе без подобной информации: то хакера поймали, но очередную дыру в популярном софте залатали, то снова оштрафовали за хищение сведений о пользователях Google. Который на завтра радостно сообщит, что нашел в Chromeновую уязвимость, устранил ее и теперь можно спать спокойно.
Конечно, призывы о необходимости вдумчивого и осторожного обращения с информацией важны. Вот только не кажется ли, что такое обилие сведений об этом просто-напросто рождает новый тренд – моду на информационную безопасность? А следование тренду, как известно, очень часто оказывается необдуманным и нелогичным. Что в сфере ИБ очень и очень плохо, и может серьезно навредить и финансовому положению компании и ее имиджу.
Предпосылок к этому предостаточно.
Во-первых, растрата финансов на ненужные меры безопасности. Мол, все солидные компании ставят себе DLP-системы, мы же не хуже, тоже поставим, утечек не будет, деньги сэкономим. И не важно, что в «солидной компании» в штате десять человек, а компьютеры для работы есть только у пяти. И ведь найдутся на просторах нашей необъятной родины разработчики и интеграторы, которые согласятся внедрить систему в такую фирму и потешить чувство гордости ее директора.
Впрочем, такой вариант еще не так уж и плох – DLP-то будет работать, и вреда (кроме потери честно заработанных денег, конечно) не нанесет. Намного хуже, когда в погоне за совершенной защитой страдает элементарная основа безопасности.Можно установить новейшие биометрические сканеры на каждую дверь, настроить двухэтапную аутентификацию для открытия каждого файла, навесить камеры на каждом углу, но забыть про банальный сетевой экран. И вот уже корпоративные сведения благополучно утекают в сеть Интернет к конкурентам, несмотря на все совершенные и дорогие защитные меры.
Безопасность всегда требовала вдумчивого аналитического подхода, а при наличии нынешнего арсенала защиты информации необходимость этих требований возрастает в несколько раз. Уже мало оценить, что и как необходимо защищать. Нужно больше – соотнести стоимость установки систем безопасности с возможной выгодой злоумышленника при хищении информации. И однозначного алгоритма, работающего во всех случаях, здесь нет. Нынешняя мода предъявляет к сотрудникам службы безопасности намного более высокие требования…
А между тем, только что одним постом по безопасности стало больше. Ну что ж, добро пожаловать в тренд, господа!
Александр Вашкевич