Вы знаете, почему пираты часто носили повязку на глаз? Существует версия, что таким образом они мгновенно адаптировались к темноте во время боя в трюме и на верхней палубе, когда им приходилось перемещаться между ними.

Быстрая смена темного помещения и освещенного приводила к временному ухудшению зрения, что могло дорого обойтись в бою. Повязка же позволяла, не теряя времени, взглянуть на бой другим глазом. Правда это или вымысел не знает никто, но в учебниках для военных летчиков и гражданских пилотов есть схожая рекомендация — закрывать один глаз при резкой смене освещенности и не быть «слепым» в течение нескольких минут. К чему это я и причем тут кибербезопасность?

На самом деле аналогия с пиратской повязкой и возможностью взглянуть на ситуацию то одним, то другим глазом, навела меня на мысль о том, с чем мало когда сталкиваются специалисты по ИБ. Согласно опросу по зарплатам, который я проводил осенью, 95% респондентов работают «на дядю», то есть не имеют своего бизнеса. При этом почти на любом мероприятии всплывает тема «бизнес не понимает ИБ» или «ИБ не умеет говорить на языке бизнеса». Я долгие годы был на стороне этих 95%; да и сейчас остаюсь на этой стороне баррикад, но… запустив свой сайт (именно сайт, а не блог), я ощутил доселе незнакомые мне чувства.

А именно частично встал на позицию бизнеса, так как раньше за безопасность блога отвечал не я, а Google (ну да я про это уже писал). Когда же я запустил сайт и стал целиком отвечать за вопросы его доступности, работоспособности и безопасности, картина поменялась. Да, я по-прежнему считаю безопасность сайта важной его составляющей, но теперь я трачу на нее свои деньги и с советами, которые дает одна сторона моей натуры, сторона ИБ-шника, начинает спорить с другой стороной, стороной бизнесовой.

И это, скажу я вам, битвы те еще. Один мой глаз смотрит на всякие плагины по безопасности и оценивает их возможности, а другой смотрит на их стоимость и соотношение стоимость/функциональность. Один мой глаз бросает взгляды в сторону различных сервисов по сканированию уязвимостей или анализу вредоносных файлов, а другой начинает считать деньги, выглядя скопидомом в глазах своего «коллеги». Эти два голоса, ведущие внутри меня свой постоянный разговор, живо напомнили мне редкие дискуссии на конференциях по ИБ, на которых удается собрать в одном зале бизнесменов и безопасников. Я прямо узнаю доводы обеих сторон, так как сам внутри себя привожу их же, пытаясь встать на ту или иную сторону. И не могу сказать, что специалист по ИБ всегда берет верх; скорее наоборот.

Я не раскрою сейчас каких-либо секретов — все-таки сайту всего полтора месяца. Но многие свои же рекомендации сейчас пересматриваю с высоты нового опыта, который уже позволяет смотреть на все двумя взглядами — безопасника и псевдо-бизнесмена. А коллегам-блогерам могу порекомендовать посмотреть в сторону своего сайта. Это интересный опыт. Интересен он еще и с точки зрения нормативки, так как на сайт теоретически распространяется не только закон о персональных данных (если есть комментарии, а то и система регистрации), но и, возможно, ряд других норм, например, законодательства об организаторах распространения информации, а также иных НПА. Но это тоже интереснейший опыт, когда ты начинаешь смотреть на свои же рекомендации по регуляторике и возможность их преломления на свой сайт.

Собственный сайт — интересный опыт не только с точки зрения практической ИБ, но и с точки зрения бизнес-ориентированности. И самое главное, это не дорого за такой ценный опыт!

Свой сайт — это еще и практический опыт, связанный с созданием, эксплуатацией, обновлением, поддержкой и мониторингом системы защиты web-ресурса. Так что тоже штука интересная.

Источник: Сайт Алексей Лукацкого «Бизнес без опасности»