Comments | klink0v: Трагедия некомпетентного заказчика

klink0v

Трагедия некомпетентного заказчика

Apr 30, 2024 22:28

Я чё-то погрузился в очередную волну размышлений.

Почему все эти "безопасники" такие мудаки в большинстве своём? По-видимому, ответ кроется в том, кто является заказчиком / потребителем их услуг.

Мелкие фирмульки не могут себе позволить лишнее рыло на зарплате. Поэтому в них функции безопасности обычно перекладывают на админов / QAшников / ( Read more... )

размышления

Comments 9

mindfactor April 30 2024, 20:53:09 UTC

Это продлится до тех пор, пока безопасникам не навесят реальную ответственность.

Ну вот хотябы за утечку персданных.

klink0v April 30 2024, 20:58:53 UTC

ИМХО, при таком раскладе дрочерство только кратно усилится.

mindfactor April 30 2024, 21:47:36 UTC

Сейчас бизнес не понимает ценность ИБ.
Как только появится ответственность - станет понятна и ценность и бизнес начнёт оценивать пользу и вред от ИБ.

dn54 May 1 2024, 06:43:44 UTC

Не знаю, как в других крупных конторах, но в одной конкретной безопасники в том числе (а исторически - в первую очередь) отвечали за физическую безопасность. Ну вот, про что я слышал/видел: предотвратили попытку спиздить цистерну топлива, поймали несуна с медью, сбили летающий над территорией квадрокоптер - ну, вот это вот всё. И вот в какой-то момент на них же повесили ИБ. С одной стороны: "а на кого ещё?" С другой стороны: "а кто и как будет оценивать эффективность их работы по новому направлению?".

klink0v May 1 2024, 07:07:40 UTC

В околоITшных конторах, с которыми сталкивался я, обычные сценарии примерно такие.

- Вот, у нас тут хранятся чувствительные данные, поэтому мы будем применять меры A, B, C.
- А с чего вдруг эти данные стали чувствительными?
* Нет ответа *
- Вот, мы защищаемся от угроз X, Y, Z.
- Окей, вот реализовалась угроза X, что дальше?
* Нет ответа *

Стандартная ситуация.

dn54 May 1 2024, 07:30:41 UTC

Я тут осознал, что могу добавить к своему каменту: если рассматриваем физическое производство, и у безопасников ИБ - одно из десяти направлений, то, наверное, за всякую тупость в ИБ их можно понять и простить.

Но если контора в первую очередь айтишная, и ИБ - главное (или вообще единственное) направление, то понять и простить уже нельзя, это однозначная профнепригодность.

stils May 2 2024, 08:50:04 UTC

Все делается по шаблону который спускается сверху и закрывается все по максимуму, чато даже то что и не нужно.

stils May 2 2024, 08:47:16 UTC

По моему именно бизнес должен задавать критерии ИТ безопасности. На мой взгляд глупо закрывать миллионными бюджетами то что может привести к убыткам на несколько тысяч.

А в гос и около гос конторах 99% безопасников именно описанные персонажи к сожалению. И там их вред часто просто зашкаливает.

burbilog May 14 2024, 12:02:40 UTC

Бывает даже в крупных конторах чаще всего по-другому - "безопасность? а что это такое!?"

С одной стороны, сидишь, с людьми лаешься, три раза в день доказываешь, что низзя. Времени тратится прорва. С другой стороны, не дай бог приведут "безопасника" и все станет в порядки хуже.