Трудная дорога в "облака". Часть 2: ущерб.

Смысл любой безопасности, ее высшая и единственная цель заключается в предотвращении ущерба. Понятно, что эта цель недостижима в своем абсолютном выражении и тот, кто задумывается о безопасности, всегда идет на компромисс, защищая самое важное - то, на что хватает ресурсов. Ошибки выбора вектора приложения усилий и распределения ресурсов приводят к тому, что безопасность становится неэффективной: она не предотвращает ущерб, полностью или частично. Отношение предотвращенного ущерба к затратам на безопасность - единственный объективный критерий ее эффективности. Отношение предотвращенного ущерба к прогнозируемому - единственный объективный критерий эффективности "безопасников".

"Нематериальный" характер защищаемого объекта является причиной того, что в информационной безопасности и числитель, и знаменатель в последней дроби - величины почти всегда субъективные. Отсюда и трудности с подсчетом ущерба, особенно в результате разглашения или утечки чего-нибудь "конфиденциального", и с переводом размера ущерба в денежный эквивалент, и с его компенсацией. Эти вопросы регулируются законодательством и договором между обладателем информации и потенциальным "ущербоприносителем", поэтому, как вы помните из предыдущей части, тексты последних я и запросил.

Трудная дорога в "облака". Часть 1: паранойя.

Об использовании "облачных технологий", о великом будущем давно известной старушки-виртуализации, одетой ИТ-маркетологами в новую обертку и распиаренную с оглушительным масштабом, о выгодах, benefits и value, которые чудесным образом появляются везде, где есть возможность приладить "облако" - обо всем этом не говорит сейчас только ленивый вендор или интегратор. Маркетинг напирает и, наверное, уже не осталось ни одного заказчика, который бы хоть раз не читал продактшит или вайтпапер с броским словом "cloud" в заголовке. "Заказчик" - понятие собирательное, и каждая элементарная частица этого "сборища" воспринимает и реагирует на входящую информацию по разному: практичный бизнес и прогрессивный ИТ считают value, а ретроград-"безопасник" со всей своей подозрительностью зарывается в детали и, как правило, в них же и погибает.

Не миновали "облака" и автора этого блога: только за последний год я участвовал в рассмотрении почти двух десятков практических кейсов, связанных с переносом различных частей ИТ-инфраструктуры из "внутреннего" облака во "внешнее", интеграцией "частного" облака с другими такими же или передачей некоторых ИТ-сервисов во внешнее "облако" с различными моделями обслуживания. Так же, как и многие из вас, я изучал маркетинговые материалы и вникал в детали предложений - долго и дотошно. Когда предложения стали расти словно грибы после дождя, а бизнес стал требовать немедленной их оценки - время на анализ резко сократилось и возникла острая необходимость выработки критериев, отработав которые можно было бы вынести вердикт. Оказалось, что задачка эта с большим "подвохом"...