вторник, 24 марта 2009 г.

CSO Summit II

Закончился Russian CSO Summit II (Второй Съезд директоров по информационной безопасности) http://www.cso-summit.ru/.
В этом году визуально было меньше участников. Видимо, сказалось пересечение по времени с другими меропрятиями.

В целом были все прошло достаточно динамично, с присущими этому меропрятию баталиями и спорами. В узком кругу коллег CSO и CIO явно чуствуют себя свободнее и не стесняются поднимать острые и щекотливые темы.

Презентации участников:
http://www.cso-summit.ru/?page=program


В рамках дискуссии «Реальная» и «бумажная» безопасность: как найти золотую середину? делал доклад по теме Compliance Management. Живой отклик вызвала "страшилочная" часть, в ходе которой комментировалась "почти реальная история pentest'а некой компании".



Из зала прозвучал достаточно типичный комментарий "Мы тоже делаем пентесты, и они успешны на 100% (99%, 83,463%)"

Зачастую такую фразу можно услышать на выступлениях или в кулуарах. Если понимать под "успехом” пентеста непосредственно "взлом", то тогда в качестве достоверной может быть выбрана любая из приведенных цифр. Но при такой постановке задачи гораздо проще воспользоваться ”сервисом" Брюса Шнаера, предлагающего любому желающему бесплатный пентест: "Вы уязвимы"... Если измерять пользу услуги, то она должна отталкиваться от того, что она принесла заказчику. Например, было продемострированно (не)соответсвие требованиям стандартов, внедрены Web Application Firewall, запущенна программа повышения осведомленности в вопросах ИБ, достигнуто понимание между ИТ и ИБ подразделением. Только в этом случае пентест может считаться действительно успешным.

Планирую подробнее обсудить эту тему в рамках Рускрипто:
http://www.securitylab.ru/news/370275.php

Комментариев нет: