В рубрику "Управление" | К списку рубрик | К списку авторов | К списку публикаций
Разберем значение и природу самых популярных трендов.
Эта область нацелена на работу с ключевым звеном вашей системы обеспечения ИБ – человеком. Awareness как потребность проявляется в тот момент, когда технический специалист, живущий внутри каждого CISO, начинает взрослеть и диктовать необходимость расширения профессионального кругозора. Нахождение этого тренда на вершине рейтинга говорит о том, что профессионализм офицеров, ответственных за ИБ, заметно вырос.
Перевод мощностей к облачным провайдерам оказывается подходящим решением в условиях, когда инфраструктура должна становиться максимально быстро масштабируемой, но при этом оставаться управляемой и эффективной. Вслед за этим начинается и организация безопасности в облачном окружении. Катализатором движения в данном направлении является потребность в "домашних" разработках, крайне часто обсуждаемая в последнее время. Этот вектор поддерживается также процессами цифровизации и потребительским спросом на онлайн-сервисы.
Это одновременно поиск баланса между потребностями и рисками, с одной стороны, и установлением понятных и четких точек контроля, с другой. Чем разнообразнее новые законодательные инициативы, чем более зарегулированными становятся бизнес-области, тем более явной становится потребность в умном обеспечении соответствия.
Целью, конечно же, является снижение рисков для компании с одновременной минимизацией издержек для деловых процессов.
Стартапы столкнулись не только с необходимостью обслуживания деловых процессов своих клиентов, но и с реальным риском убытков из-за внешних угроз. Ответом может быть DevSecOps – направление и методология, нацеленные на непрерывное совершенствование стека технологий и процессов, использующихся для разработки ПО. Применение DevSecOps должно касаться всех стадий жизненного цикла инфраструктуры разработки, но при этом не снижать скорость доставки изменений.
Темы, упоминавшиеся в ответах, но не набравшие достаточного веса:
SDLC/SSDLC связано в большей степени с необходимостью повышения качества ПО на ранних стадиях. Такой подход в результате показывает большую эффективность. И обеспечение безопасности – только один из многих факторов, причем не самый значимый, хотя и стоит в аббревиатуре на первом месте. Зрелые производители осуществляют оценку своих процессов самостоятельно, появляется институт сертификации на соответствие надлежащим ГОСТ.
Кратко затрону другие актуальные темы:
Можно сделать вывод, что автоматически формируемые модели и мгновенное реагирование как тренд идут на спад. Причины кроются в ограниченности областей применения, в повышающихся требованиях к доступности сервисов и непрерывности процессов.
Их место занимают вопросы повышения качества (SSDLC, Governance, Awareness) и эффективности (Сloud Security, DevSecOps). Иначе говоря, скорость становится менее приоритетной характеристикой, чем достоверность и защищенность.
Отдельно стоит отметить, что тема SDLC/SSDLC поднялась так высоко и стала столь значимой в том числе и в свете ожидаемых изменений в области безопасности КИИ.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2020