Хорошая тактика для каждого безопасника

Хорошая тактика для каждого безопасника
Чтение новостей о сильных мира сего в очередной раз натолкнуло на мысли о том, что нам всем тоже есть чему у них поучиться. На сей раз речь идет о выплатах наград за обнаружение уязвимостей в тех или иных популярных приложениях. "Ну а при чем тут мы?", спросите вы. На самом деле, на мой взгляд, подобная практика подходит не только крупным производителям разнообразного софта, но и любой компании, которая хочет усовершенствовать собственную систему обеспечения информационной безопасности.
 http://soft.mail.ru/Screens/news/2012/11/27/te_496960.jpg
Ведь как обычно бывает? Кто-то находит в корпоративной системе безопасности какое-то узкое место, служба безопасности, боясь получить за это по голове от руководства организации, всеми правдами и неправдами замалчивает информацию об этом, пытаясь нередко прямо-таки "утопить"  того, кто "имел наглость" найти, так сказать, уязвимость. Ну а сама уязвимость что? Прекрасно себе живет и существует. Иногда, правда, бывает несколько по-другому. Кто-то, найдя уязвимость, скажем, в корпоративном сайте, оставляет ненавязчиво на нём свой "автограф", после чего и подрядчику, выполнявшему сайт, и, зачастую, службе ИБ становится очень даже не весело.
Так вот, правильная цель любой организации в подобных ситуациях - это избавляться от всех возможных уязвимостей. Поэтому нужно, во-первых, отказаться от "пропесочивания" службы ИБ при их обнаружении (речь вовсе не только об уязвимостях корпоративного сайта - имеется в виду уязвимость в самом широком смысле этого слова). А для того,чтобы заинтересовать тех, кто способен находить уязвимости, нужно объявить награду за их обнаружение. Не обязательно, конечно, такую баснословную, как Microsoft за уязвимости Internet Explorer'а , но и не совсем копеечную. Ну и, конечно, нужно позаботиться о том, чтобы информация об уязвимостях использовалась по назначению.
А. Дрозд,
заместитель PR-директора компании SearchInform
уязвимости размышления А. Дрозд информационная безопасность работа безопасника
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.