Нам без устали забивают в голову стереотипы, что безопасность несовместима с удобством использования, что за безопасность нужно платить функциональностью, трудоемкостью, производительностью, пропускной способностью и т.д. и т.п. Если даже самую чушь повторить многократно, в какой-то момент времени она начнет считаться "нормальностью", тем более, если предмет не совсем чушь и содержит долю правды, или непрост для понимания. В итоге, все эти "нормальности", типа "безопасность - это всегда неудобно" приводят к прегибам и служит оправданием для подразделений ИБ своего бездействия в части поиска безопасных и удобных решений. В этой заметке постараюсь донести почему "закручивание гаек" непременно будет приводить к "срыву резьбы" и неизбежно ухудшать общее состояние защищенности. Мой опыт показывает что обучение несравненно более эффективно, когда учащийся доходит до понимания проблематики самостоятельно, поэтому в этой заметке я лишь накидаю тезисов и предоставлю читателю самостоятельно сформировать свое понимание. В этой заметке позвольте мне себя олицетворять с подразделением ИБ, и использовать местоимение "мы". Итак, поехали.
Безопасность - всегда прикладная, она не имеет смысла без защищаемого бизнес-процесса: если нет процесса, то и безопасность ему не требуется (зато, отсутствующий процесс - абсолютно безопасен, как, вероятно, и несуществующий человек тоже абсолютно здоров). Это банально, но не стоит забывать, что доступность - это тоже характеристика безопасности, поэтому, если работа процесса деградирует (== он начинает работать неэффективно) - результат эквивалентен атаке отказа в обслуживании, и, в целом, конечному потребителю не принципиально что стало причиной этой деградации - усилия злоумышленника, или работы по повышению безопасности.
Если в существующий бизнес-процесс мы поставили контроли безопасности, которые приводят к значительной деградации процесса, то это непременно приведет к созданию неконтролируемых обходов, что увеличит поверхность атаки. Людям надо работать, никто не снимал с них обязательства по их производительности труда, поэтому они будут обречены страдать креативностью и заниматься изобретательством, тогда как креативную изобретательность надо бы проявлять нам, безопасникам, и не перекладывать наши обязанности на хрупкие плечи пользователей, в целом, в меньшей степени профессионалов в обеспечении ИБ. Принцип "строгость закона компенсируется его опциональностью" здесь неприменим! Пользователи не должны рассматривать придуманные нами контроли безопасности, как препятствия, которые нужно обходить, пользователи должны стремиться выполнять требования безопасности. Если пользователи стремятся обойти контроли безопасности и\или не выполняют требования ИБ - это наша с вами проблема! Наша задачи не только придумать контроли, а именно обеспечить их выполнение! Причем, последнее несравненно важнее, так как определяет конечный результат нашей с вами работы.
Мой опыт показывает, что лучше иметь контролируемую "небезопасность", чем неконтролируемую безопасность, которая существует только на бумаге, а по факту процессы работают иначе. Потемкинским деревням здесь не место!. На примере контроля доступа: лучше поддержать менее безопасный сценарий доступа, который гарантировано не будет провоцировать обходы, и обвесить его компенсирующими контролями, типа аудита и мониторинга, чем иметь супер-безопасный, но никем не используемый из-за неудобства, вынуждающий пользователей изобретать неконтролируемые обходные пути.
Возможно, где-то стоит изменить процесс, но если это не ведет к невозможности его функциоирования с необходимыми показателями эффективности, и не провоцирует пользователей искать обходные пути. Современные технологии позволяют существующие бизнес-процессы без значительного их изменения обвесить контролями ИБ, сделав их практически безопасными, без ухудшения пользовательских сценариев.
Безопасность - это всегда компромисс, и наша с вами работа - поиск этих компромиссов, поиск сценариев обеспечения ИБ, без ощутимого негативного влияния на бизнес-процессы, мы - сервис Бизнеса, Бизнес нас кормит, поэтому ухудшать его работу не в наших с вами интересах. Заявляя о преимуществе безопасности над удобством фактически означает наше нежелание разбираться в бизнес-процессах и находить компромиссные решения, в буквальном смысле, наше нежелание работать.
Наиболее эффективная безопасность - интегрированная, интегрированная в бизнес-процессы, выполняемая как на уровне ИТ-инфраструктуры, так и на уровне бизнес-приложений, бизнес-процессов и пользовательских сценариев. Но это не означает, что интеграция безопасности должна приводить к перализации работы всех этих компонент - инфраструктуры, приложений и работы пользователей. Чтобы этого добиться, необходимо глубоко погрузиться в бизнес-процесс и его автоматизацию - "плясать" лучше от бизнес-рисков и спускаться на системы ИТ. Только глубокое погружение в защищаемые бизнес-процессы позволит спроектировать не только эффективные контроли ИБ, адресующие действительно материальные риски, но и удобные с точки зрения пользовательских сценариев, а попытки затащить всех в "типовое решение" без должного погружения, могут иметь полостью отрицательный эффект: бизнес-риски не будут управляться, а пользовательские сценарии в значительной степени деградируют.
Я ни в коем случае не пытаюсь оспаривать, что любые усилия чего-то стоят и за все надо платить, в том числе и за безопасность, однако, не стоит этим увлекаться и терять гибкость, адптивность, надо стремиться разобраться в вопросе и быть готовым предложить лучшее. Наша с вами задача не добиться упрощения (очевидно, чем сложнее, тем небезопаснее), чтобы упростить и подходы к защите (даже ценой деградации бизнес-процессов), а найти компромисс (безопасность - это именно компромисс!), причем, при прочих равных, преимущество следует сохранять за эффективностью бизнес-процесса, а не за безопасностью, ибо апофеозом "тотальной безопасности" можно считать отсутствие бизнес-процесса, действительно, несуществующий процесс нельзя скомпрометировать (он абсолютно безопасен), но это едва ли то, чего мы с вами желаем добиться, вряд ли мы с вами будем после этого нужны.