Блог компании Parallels
Информационная безопасность
Читальный зал
Комментарии 19
0
Решение подходит для любой технической проблемы, собственно.
0
Особенно в сфере IT:

Сисадмины/администраторы сетей и прочие часто сталкиваются с недостатком инвестиций в резервное копирование или инфраструктуру, но пока системы работают и приносят прибыль, всем наплевать. Кроме того, несмотря на то, что инфраструктуры приносят прибыль, IT по-прежнему рассматривают как «статью затрат». Менеджменту наплевать. Сейчас всё работает, а с проблемами мы разберемся позже.
Программистам приходится внедрять уродливые и дерьмовые хаки, потому что не было выделено достаточно времени, чтобы выпустить продукт, в котором разработчики были хотя бы относительно уверены с точки зрения тестирования и QA. Менеджменту всё равно, значение имеют только сроки выполнения проекта и выпуск любого дерьма, за которое будут платить покупатели.

Почему только менеджменту все равно? Манагеры такие недальновидные, а ай-ти специалистам лишь не хватает времени, инвестиций, ресурсов. И админам и инженерам и программистам тоже плевать. Не плевать, когда есть волшебные педели, и по карману тоже, и тех и других как за сами системы, так за и организацию работ (Где-то в сказочной стране).
-1
Манагеры такие недальновидные, а ай-ти специалистам лишь не хватает времени, инвестиций, ресурсов. И админам и инженерам и программистам тоже плевать.


Пока гром не грянет, мужик не перекреститься.
До того как грянет болезнь серьезная — люди, как правило, махают рукой на свое здоровье, «завтра-завтра».
Это особенность нашего мышления — то, что вне непосредственной нашей чувственной сферы нами не воспринимается живо.
Менеджеры не недальновидные. Просто для них это вообще не о чем. Раздражающие сигналы, обратную связь менеджер может получить только от инженера, а не непосрественно из командной строки, как это могут сделать инженеры.
И если менеджер не принимает решений о принятии мер — то в этом определенно есть большая вина инженера.
+2
Главная задача безопасников — защищать самих себя, чтобы потом, в день Д и час Ч, иметь возможность принимать решение влияющее на менеджмент или, проще говоря, принимать решения менеджмент уровня.
Второстепенные директивы: поддерживать свой скилл, создавать иллюзию защищенности компании, рисовать отчёты, пиариться на конференциях, получать зарплату.
+1

И как один из способов поведения — мешать работать другим топя их бюрократией при любых согласлваниях, причём часто кроме бумажек ни безопасности ни фактической ответственности "не наличиствует". Т.к. бумажки идеально выполняют только две роли — повышение уровня "безопасников" и прикрытие с тыла.

0
Все так. Как уже заметили не только в безопасности но и в других технических сферах.
Тут хотелось видеть расчет вероятности наступления события и стоимости его для компании. Менеджеры, принимающие решения принимают решения в денежном эквиваленте. Т.е. для обоснования инвестиций, в первом приближении, умножить вероятность наступления события на стоимость события для компании. Сравниваем эту стоимость со стоимостью превентивных мер. Получаем ответ о обоснованности превентивных мер.
+1
Все конечно плохо и печально, но давайте посмотрим на фразу

Ваша работа — запускать сканирование на уязвимости, убеждаться в том, что уязвимости с высоким риском устраняются во всей организации, и особенно в системах с выходом в интернет.… Вы рассказываете о своих выводах, планируете установку патча, пытаетесь выступить с инициативой на встрече по контролю изменений… и ничего не добиваетесь.

То есть некая компания внедрила подразделение контроля за уязвимостями, при этом в компании нет налаженных процедур, связанных с работой данного подразделения — работник сам должен в каждом конкретном случае проявить инициативу, добиться, чтобы кто-то взял ответственность за обновления.

Соответственно вопросы — кто создал такое подразделение, не прописав его функционал, обязанности сотрудников, процедуры взаимодействия и тд и тп? Почему в руководстве нет человека, в чьих обязанностях есть взаимодействие с ИБ? А не было ли создание подразделения писком моды и не более?
+2
Стандартный дурдом. Это везде так, работаю в сфере пожарной и охранной безопасности, обслуживаю кое-что, нигде не будут ценить, пока не грянет. Менеджеры они на то и менеджеры, меряют лишь бабло. Но, справедливости ради, скажу. что у компаний есть определенный бюджет, и его стараются тратить на разное. Вообще, спасибо, что хотя бы как есть тратят — надо сказать страховым компаниям, которые оценивают риски и проводят аудиты по безопасности. Автор правильно оценил всё — надо жить и учиться на это класть болт. Но, как и все остальное — в меру. В жизни людей все, как по законам физики. Не надо закидывать все дрова в печку, прогорят и ничего не останется, а основное вылетит в трубу, можно класть по чуть чуть, чтобы получать достаточно энергии для поддержания тепла и работы печи. Автор теперь не тратит сверхсилы, но научился тратить строго отведенное количество жизненных сил на поддержание необходимого уровня, чтобы в случае чего, если его знания понадобятся для решения срочной проблемы в наше время, быстро включиться в работу. Все правильно. Правда, это не просто нигилизм, это разумный нигилизм) Говоря проще, клади болт, но глазком поглядывай.
0
То самое чувство беспомощности, когда нужна новая железка, инструмент или модернизация, а ты не можешь обосновать, потому что руководство меряет всё на деньги, а не на эффективность и экономический эффект.
0
То самое чувство беспомощности, когда нужна новая железка, инструмент или модернизация, а ты не можешь обосновать, потому что руководство меряет всё на деньги, а не на эффективность и экономический эффект.


Они и не должны понимать технических аспектов.

Это твоя работа — разжевать им как технические аспекты превращаются в реальную эффективность. Строго говоря, тебя за тем и наняли, что они не понимают, а ты в технике понимаешь.

Изначально менеджер не заинтересован только экономить. Он заинтересован что предприятие работало эффективнее. При разумной экономии.

Но выбор степени этой разумности зависит от того, как ты сможешь презентовать и обосновать техническое решение и от неизвестных тебе финансовых приоритетов компании (может компания сейчас проводит дико дорогую рекламную кампанию и ни на что денег нет, а ты об этом не знаешь; может быть рассматривается перспектива закрытия филиала, а ты для этого филиала предлагаешь обновить парк компьютеров)
0
Согласен с этими прописными истинами, однако особенно в случае бюджетных учреждений это работает мало — всеобщее стремление сэкономить ведёт к нахождению средств не в тот момент когда всё работает, а технарь просит модернизацию, а в тот момент когда всё встаёт и на столе руководства лежат несколько служебок и докладных, о том что скоро наступит критический момент.
0
С бюджетными вообще интересно, там есть такие периоды, когда нужно срочно потратить деньги, а то в следующем году урежут бюджет. И быстро быстро покупают всяческую ненужную хрень.
0
Там еще интереснее. Есть такие периоды, когда многие не успели потратить средства, и теперь вышестоящая организация срочно ищет кто их может потратить иначе бюджет урежут уже ей. Мой дедушка, будучи директором ПТУ, именно вот так много чего в этом ПТУ отремонтировал…
+1
Типичная ситуация, однажды в <финансовая организация в долине> отрепортил, что внутренняя девелоперская сетка заражена, в логах внутренних записи от эксплойтов, их же IDS верещит не останавливаясь и вообще у меня есть сомнения в целостности кода, т.к. начинают творится явные чудеса при работе с гитом. Ответ был в духе «по… й, пляшем» — «это наверное наши безопасники что-то тестируют». Ну, пожелал им большой и толстой удачи. Насколько я знаю, после моего ухода это подразделение скончалось по другим причинам, но тоже связанным с пофигизмом.

Окончание статьи перекликается с выводом одного моего знакомого, отличного специалиста. «Работа это не мотиватор, а демотиватор, к ней нужно так относиться. А в приоритете жизнь и семья». Все еще не хочется верить, но иногда задумываешься. Многие знания — многая печаль ;)

Другое дело, что высокомотивированные и умные двигаются в карьере и жизни, так что стратегически это ИМХО неверный подход.

P.S. А, да, у меня таки бэкграунд был сисадмина и безопасника, там 100% червяк, все началось с того, что аппсервер начал сбрасывать в логи странные урлы источником которых была свежая виртуалка с виндой.
+1
Насколько я знаю, после моего ухода это подразделение скончалось по другим причинам


Все таки по другим.
Значит, они были правы со своим «пляшем».

У рядовых сотрудников частенько проявляется болезнь, при которой они считают себя умнее менеджеров. А это такие же люди как и они сами — не глупее, не умнее.

Но при этом рядовые технические сотрудники близки к технической проблеме и воспринимают ее как главную причину, не имея доступа к общекорпоративным решениям.

Загадка вашего случая может отгадываться просто: подразделение не приносило прибыли еще до «вируса», руководство компании на момент «вируса» уже раздумывало об его закрытии, потому и минимизировало дополнительные не нужные затраты для того, по ком уже заказан некролог.
0
>Ваши сканеры находят в популярной платформе для веб-приложений критическую уязвимость, в результате которой злоумышленник может получить доступ к ящику. Например, при удаленном выполнении кода. Или если для данной уязвимости существует эксплойт.

Хорошая статья, но дальше перевод не читал. Ребята, ну вы чего? Настоящий Смиркин в отпуске?
Только полноправные пользователи могут оставлять комментарии.  , пожалуйста.