Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор стандартов моделирования угроз

[fivehouse]

Скажите, если так все хорошо (на бумаге), то почему все так плохо (в реальности)?
А потому, что тотальное текущее состояние процесса планирования и внедрения новых бизнес процессов (и поддержки старых) в компаниях/корпорациях находится в ПОЛНОМ противоречии со всей этой простыней правильных и умных текстов в статье. И с каждым годом ситуация все хуже и хуже. Тот же феномен Сноудена есть прямая иллюстрация этого противоречия. И это в ЦРУ, где плохая безопасность может стоить жизни.
Пока безопасность не научится не мешать (эффективным с точки зрения локальных высших менеджеров) бизнес фантазерам фантазировать, они на безопасность буду плевать совершенно и сознательно. Или спихивать безопасность на IT, типа:
-А, копьютеры/программы? Это к программистам и админам — ко всем этим дармоедам снизу.

[imbasoft]

Скажите, если так все хорошо (на бумаге), то почему все так плохо (в реальности)?… И с каждым годом ситуация все хуже и хуже.

Информационная безопасность — это война, бесконечная война.
На ней бывают успехи, бывают неудачи. Когда люди долго занимаются одним и тем же, то многие вещи «замыливаются» и часто не хватает общего взгляда со стороны, для того чтобы объять всю проблему целиком.

Это исследование как раз и задумывалось, чтобы дать такой взгляд.

На ту проблему, что вы указали:

Пока безопасность не научится не мешать...

Это уже искусство. «Безопасникам» нужно научиться находить в защитных мерах баланс между достигаемых с их помощью безопасностью и создаваемыми от их реализации помехами в работе. Проблема усложнена тем, что многие специалисты, занимающиеся ИБ, подвержены догмам и пихают одни и те же подходы не учитывая специфики бизнеса, это и приводит к указанным вами конфликтам.