`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Алексей Дрозд

Бизнес-аналитики забыли про ИБ

+33
голоса

Ахилл бежал, а черепаха
Влекла его к земному краю.
Герой подумал не без страха:
«Я что-то тут не догоняю!»
Константин Ефетов

Этот забавный стишок в эпиграф вынесен не зря. Этот, с позволения сказать, мысленный эксперимент из эпохи Древней Греции напоминает мне развитие информационной безопасности. Все повторяется. В каждой сфере появляется что-то, что будет удобным и полезным, что повысит продуктивность тех, кто работает в ней. Это что-то становится популярным, и рано или поздно появляются те, кто хочет эксплуатировать эту популярность – с выгодой для себя, с ущербом для всех остальных.

За примерами, как говорится, далеко ходить не надо. Взять тот же интернет, который изначально задумывался для удобства ученых, и только с приходом популярности оказалось, что ему нужно больше безопасности. Мобильные телефоны, и особенно смартфоны – аналогично. Как мы буквально вчера говорили, теперь еще и GPS. Ну, а на очереди и системы бизнес-аналитики.

Использующиеся для бизнес-аналитики многомерные кубы данных подвержены атакам через язык запросов. Крупнейшие вендоры не задумываются о том, что с помощью атак этого класса злоумышленники могут получать доступ к файлам и удаленно исполнять код, считают эксперты по безопасности.

Подробнее

Настоятельно рекомендую, если вы еще не в курсе, ознакомиться с текстом по ссылке – судя по всему, это именно то, чем мы, ИБшники, будем заниматься уже буквально завтра.

Что мы видим? Вновь те же проблемы: сначала сделали, а потом задумались о безопасности. Возникает закономерный и наивный в своей простоте вопрос: почему бы не плясать от обратного, сначала хотя бы продумать варианты защиты, а затем разрабатывать?

На мой взгляд, ответ прост: дорого и невыгодно так поступать. Все системы проектируются без «запаса прочности», точно так же как в гражданской жизни вокзалы и аэропорты строятся без средств защиты от террористов. Все навешивается потом. Можно сказать, что тут еще и работает некомпетентность тех, кто разрабатывает это все, в сфере ИБ. А вы как думаете?

Бизнес-аналитики забыли про ИБ

+33
голоса

Напечатать Отправить другу

Читайте также

Как показывает практика, какой бы защищённой система не была, всегда найдётся узкое место, используя которое можно пострадать. Это паранойя, и степень параноидальности лишь делает эту систему менее полезной/удобной...
Безопасность - это компромисс между надёжностью и удобностью. Просто ИБшники тянут одеяло в свою сторону, а пользователи - в свою. А поскольку девелоперы - не ИБшники, то изначально продукт создаётся "ущербным" в плане ИБ.

Хороша в этом плане сетевая модель OSI - где каждый уровень отвечает за свои задачи: прикладной - за работу ПО, представительский - за шифрование, сеансовый - за тем как и куда направляются данные и т.д. Каждый должен заниматься свои делом, и делать это так чтоб не мешать другим. Девелопер - писать ПО, а ИБшники - обеспечивать защиту данных которыми оперирует ПО. Но условия, конечно неравные, если для тестирования перфоманса и корректности кода есть инструменты, их много, то с тестированием ИБ составляющей - дела обстоят не самым лучшим образом. ИМХО, из за энтропии рисков.

учите матчасть мистер ИБ, этим будут заниматься не только "буквально завтра", но уже занимались и вчера и позавчера: Database security решения живут и здравствуют уже очень долго

Отсылка к круговороту ИБ в природе как бы намекает на неуместность вашей критики.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT