Positive Security Days вместе с “Максофт”: результативная кибербезопасность как тренд. ЧАСТЬ 1

Мероприятия PT всегда очень ценны для ибэшников, там инновации, Standoff, разбор продуктов, анонс разработок. В этот раз участники PSD из "Максофт" заметили смещение фокуса с темы защиты от недопустимых событий на результативную ИБ.

Настоящий результативный подход говорит о том, что клиент должен платить за результат. Сейчас считается, что у построения системы ИБ нет цели, а только путь, как у самурая, что это бесконечный процесс, и мы отталкиваемся от снижения рисков недопустимых событий.

Безопасники оценивают инфраструктуру, подбирают СИЗы, внедряют, настраивают. А клиент приходит не за классно работающими железками и ПО, а за результатом. И именно этот результат мы ему должны дать: измеримый и понятный.

Специалисты должны гарантировать, что в течение обозначенного времени компания не столкнется с определенными угрозами, а если недопустимое событие все-таки наступило, то клиент имеет право не платить.

При таком подходе клиенты чувствуют себя защищенными, у них есть ощутимый результат, который стоит всех потраченных денег.

Самый высший уровень уверенности в своей экспертизе - bug bounty, когда независимые эксперты испытывают систему на прочность. Если построенная крепость устояла - значит, работа проделана хорошо. Конечный результат работы ИБэшника: сохранность активов и репутации компании, отлаженная система обнаружения угроз, соответствие требованиям законодательства и отсутствие проблем с регуляторами.

Как вам такой подход? Решились бы на bug bounty?
P.S. В следующем материале о новинках PT, которые анонсировали на Positive Security Days.