Вынужденно смотрю много детских мультов, в частности "Маленькое королевство Бена и Холли". Понравилась одна серия про принятие риска ТОПом. Распространенный финт в Управлении Уязвимостями и в ИБ вообще. Посмотрите, всего 10 минут.
Серия называется Банти 2. Сюжет следующий. Мистер Эльф строит лодку Банти 2. Почему 2? Потому что первую лодку Банти съела рыба Большой-злой-Барри. Лодка идеально подходит для круиза по тропическим морям. Но как защитить её от Большого-злого-Барри? У Мистера Эльфа есть решение - "Банти 2 никогда не спустится на воду".
Защищаем уязвимый актив через ограничение (сетевого) доступа. Как это часто бывает с компенсационными мерами, выглядит это довольно по-дурацки, но задачу решает. 🙂 Почему не рассмотрели внедрение средств обнаружения и защиты история умалчивает. Можно предположить, что на это не было бюджета. Поэтому вот так.
Король Чертополох заявляет, что это нелепо и у него есть идея. Он заявляет Мистеру Эльфу:
- Как король я приказываю тебе спустить Банти 2 на воду и отправиться в тропический круиз.
- Но как же Большой-злой-Барри?
- Не бойся, если Барри съест Банти 2 я возьму ответственность на себя
- Что это значит?
- Будешь винить во всем меня
- Но, но…
- Чудно, тогда решено, мы едем в отпуск!
- Лаадно…
Т.е. ТОП пушит принятие решения по небезопасной эксплуатации актива, владельцем которого он не является. Владелец актива прогибается, при этом у него на руках нет ничего кроме расплывчатой устной договоренности.
Далее Банти 2 успешно уплывает от Большого-злого-Барри, но в итоге её съедает Гигантский Осьминог. Происходит диалог:
- Ааа! Моя лодка съедена, я же говорил вам!
- Нет, ты говорил, что её съест Большой-злой-Барри, но её съел Гигантский Осьминог.
- Это катастрофа…
- Не волнуйся, я обещал взять ответственность на себя и я возьму.
- И?
- И всё, я взял ответственность на себя.
Ущерб нанесен, никакого возмещения с ТОПа истребовать теперь невозможно. Крайним оказывается владелец актива. Чтобы было совсем по классике по итогам должно быть что-то от ТОПа: "Когда я говорил, что принимаю риск, я не понимал всей опасности, ведь не я же профессионал в этом, а вы! Это ваш актив! Зачем вы меня слушали? Это ваша вина!" Крыть такое особенно нечем. 🙂
Мораль для реальной жизни?
1. Не ведитесь на "я принимаю риск", "ответственность на мне".
2. Моделируйте что будет в случае реализации риска. Возможный ущерб лучше переводить в деньги.
3. Аккуратно фиксируйте договоренности, слова к делу не пришьешь. Предложение написать заявление по собственному с открытой датой на случай реализации риска обычно заставляет человека задуматься, а стоит ли упорствовать.
4. Подумайте что вы будете делать, если завтра этот ТОП сам уволится, а наследовать этот риск никто не захочет, не окажитесь ли вы при этом крайним.
5. Информируйте о происходящем CEO/Board. Возможно они вообще не в курсе и их точка зрения будет гораздо ближе к вашей, чем вы думаете.
6. Старайтесь не работать с чудаками.
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте.
And I invite all English-speaking people to another telegram channel @avleonovcom.