А что если?

А что если?
Есть в менеджменте один полезный инструмент - процесс моделирования оценки возможных альтернативных стратегий и рисков, с ними связанных, или, короче, анализ "что если" (what if). Причем это не гадание на кофейной гуще, а вполне себе адекватный метод прогнозирования, позволяющий определить возможный ход событий и разработать программу действий на случай, если прогноз сбудется.

Этот метод можно применять и в ИБ, причем он может стать хорошей альтернативой принятым сегодня подходам к выстраиванию деятельности службы ИБ. Аналогичный сценарий нередко используется в проектах по ПДн. Операторы, не имея возможности выполнить все параноидальные требования регуляторов, закрывают только те, на которые регуляторы обращают внимание в первую очередь. Метод "что если" построен по тому же принципу. Мы выписываем возможные сценарии в области ИБ, которые затем приоритезируем и готовим программу действий по нейтрализации сценария.

Чтобы я включил в список возможных сценариев "что если"? Сходу вырисовывается следующий список:
  • А что если завтра придет выездная проверка Роскомнадзора по линии персданных?
  • А что если завтра придет "письмо счастья" из Роскомнадзора (документарная проверка) по вопросам ПДн?
  • А что если завтра придет проверка ФСТЭК в части ТЗКИ?
  • А что если завтра придет проверка ФСБ в части шифрования?
  • А что если завтра в Интернете опубликуют сведения о произошедшеи у нас инциденте ИБ?
  • А что если завтра на нас проведут DDoS-атаку (или осуществят иные распространенные атаки)?
  • А что если завтра произойдет инцидент ИБ?
  • А что если завтра мой поставщик средств защиты и услуг ИБ обанкротится или мое начальство откажется с ними дальше работать?
  • А что если завтра производитель средств защиты будет куплен более крупным игроком рынка ИБ?
  • А что если завтра руководитель компании захочет сократить персонал службы ИБ?
  • А что если завтра CIO захочет перейти на облачные вычисления (или иные новомодные технологии)?
  • А что если завтра наша компания поглотит другую компанию?
Безусловно это далеко не полный список; скорее так, минутный мозговой штурм. Но он позволяет задуматься и найти пробелы в собственном плане обеспечения ИБ. А главное, что правильная реализация подхода "что если" позволяет не распыляться по мелочам, а закрывать только реальные риски, которые и могут стать причиной потенциальных, но серьезных проблем.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь