{"id":14252,"url":"\/distributions\/14252\/click?bit=1&hash=6dd736497be6f4b5df84f9b826d7f3d8b3ea195a64e74fa302e414535ad9c574","title":"\u041c\u0430\u0442\u0435\u0440\u0438\u0430\u043b \u0434\u043b\u044f \u0442\u0435\u0445, \u043a\u043e\u043c\u0443 \u043d\u0430\u0434\u043e\u0435\u043b\u043e \u0441\u043b\u0443\u0448\u0430\u0442\u044c: \u00ab\u0410 \u0443 \u0432\u0430\u0441 \u0441\u0434\u0430\u0447\u0438 \u043d\u0435 \u0431\u0443\u0434\u0435\u0442\u00bb?","buttonText":"\u0427\u0438\u0442\u0430\u0442\u044c","imageUuid":"https:\/\/leonardo.osnova.io\/41ea37ba-b3c8-5bd8-9f5d-b05a52be8069\/"}

Positive Security Days вместе с “Максофт”: результативная кибербезопасность как тренд. ЧАСТЬ 1

Мероприятия PT всегда очень ценны для ибэшников, там инновации, Standoff, разбор продуктов, анонс разработок. В этот раз участники PSD из "Максофт" заметили смещение фокуса с темы защиты от недопустимых событий на результативную ИБ.

В чем суть?

Настоящий результативный подход говорит о том, что клиент должен платить за результат. Сейчас считается, что у построения системы ИБ нет цели, а только путь, как у самурая, что это бесконечный процесс, и мы отталкиваемся от снижения рисков недопустимых событий.

Безопасники оценивают инфраструктуру, подбирают СИЗы, внедряют, настраивают. А клиент приходит не за классно работающими железками и ПО, а за результатом. И именно этот результат мы ему должны дать: измеримый и понятный.

Специалисты должны гарантировать, что в течение обозначенного времени компания не столкнется с определенными угрозами, а если недопустимое событие все-таки наступило, то клиент имеет право не платить.

При таком подходе клиенты чувствуют себя защищенными, у них есть ощутимый результат, который стоит всех потраченных денег.

Самый высший уровень уверенности в своей экспертизе - bug bounty, когда независимые эксперты испытывают систему на прочность. Если построенная крепость устояла - значит, работа проделана хорошо. Конечный результат работы ИБэшника: сохранность активов и репутации компании, отлаженная система обнаружения угроз, соответствие требованиям законодательства и отсутствие проблем с регуляторами.

Как вам такой подход? Решились бы на bug bounty?
P.S. В следующем материале о новинках PT, которые анонсировали на Positive Security Days.

0
Комментарии
-3 комментариев
Раскрывать всегда