Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Вера против нигилизма в Agile в программе Уральского Форума

Аватар пользователя Sedov
Автор: Седов Олег, главный редактор BISA

Верите ли вы в Agile так как верю в него я?

Если бы я был Agile-агностиком, то не стал бы предлагать главную тему BIS Summit 2016 посвятить Agile в Информационной Безопасности. С лёгкой руки Германа Грефа термин agile начал активно применяться не только в кругах специалистов по управлению проектами и разработчиками программного обеспечения, но и в бизнес-сообществе. Гибкий подход к проектированию и внедрению бизнес-процессов подразумевает отказ от долгосрочного планирования бизнес-систем в пользу постоянных небольших изменений под влияниям внешних и внутренних потребностей. А как следствие это влечет за собой обновленные компетенции как ИТ, так и ИБ служб.

Однако, я неоднократно замечал, чем дальше двигаться от бизнеса к ИБ, то и вера в Agile начинает слабеть. Сегодняшний, унаследованный еще из 20 вв. централизованный подход к построению бизнес-систем подразумевает долгосрочное планирование и длительное проектирование и реализацию всех слоёв бизнес-системы, в том числе и слоя информационной безопасности. Тогда можно было построить модель нарушителя и встроить противодействие опасным сценариям в процессы взаимодействия ИТ-систем и пользователей. Для подобного подхода традиционным решением является, так называемая «навесная» безопасность. То есть сначала разработчики строят бизнес-систему, а затем «навешивают» на неё системы безопасности, как информационной, так и противодействующей мошенничеству.

Даже Agile-нигилисты согласятся, что гипотетически каждое изменение бизнес-системы несёт в себе угрозы. Новые строчки кода могут нести в себе уязвимости или намеренные закладки. Новая учётная запись сотрудника во внутренней системе или клиента во внешней может быть создана с легко подбираемым паролем или с необоснованно высокими привилегиями. Также и новый процесс может содержать в себе возможности для мошенничества. Поэтому при «навесной» архитектуре безопасности каждое изменение в бизнес-системе должно вести к перенастройке системы защиты. Еще пять лет назад такой проблемы не было – изменения информационных систем проходили хорошо если раз в месяц, а чаще – раз в квартал, было время не спеша провести тестирование системы в лаборатории и обезопасить себя, заказав сторонний аудит безопасности. Сегодня в большинстве банковских систем изменения идут уже раз в 2-3 дня, в промышленности существенно реже, а в электронной коммерции наоборот, чаще. В этих условиях у служб, отвечающих за информационную безопасность теоретически есть возможность изучить новые функции и изменить настройки «навесных» систем защиты. Однако, что и как смогут сделать защитники информации с системами защиты, если изменения будут идти каждый час, каждую минуту? В чём смысл пентеста (от “penetration test”– “тест на проникновение”), если он длится неделю, а изменения идут ежедневно? О защищённости какой системы вы получите отчёт после пентеста?

И совсем самая скверная новость для Agile-атеистов от ИТ и ИБ служб, что при увеличении частоты изменений придётся сначала автоматизировать процесс исследования нового функционала и соответствующих перенастроек систем безопасности, а затем и встроить его непосредственно в разработку новых функций. Однако сказать это легче, чем сделать. У бизнеса нет и не будет денег и, главное, времени на то, чтобы построить рядом с текущими, нормально работающими централизованными системами новые идеальные, защищенные и гибкие системы. ИБ в условиях Agile придется обеспечивать буквально с колес.

Целый клубок противоречий и полярных взглядов, которые будут представлены на вечерних дебатах IX Уральского форума «Информационная безопасность финансовой сферы». В формате каждый против каждого, встретятся как сторонники так и противники Agile со своими аргументами. Но тема не будет полностью раскрыта, если в водопаде мнений не будет представлена позиция ИБ-вендора.

Для обсуждения, я как модератор, предлагаю вынести следующие вопросы:

- верите ли вы в Agile еще раз?

- где кончается вера в Agile и что может ее укрепить?

- как выглядит соперничество сторонников и противников Agile в рамках одной корпорации?

- как выглядит Agile ИБ с точки зрения разработки продуктов? На какие стадии производства решения это влияет и как ?

- с современной зарубежной прессе не так много внимания уделяют Agile. Одна из причин, он не показал свою эффективность, а где-то привел к конфликту с финансовым законодательством США. Нет ли риска в том, что нам навязывают морально устаревшую идеологию, чтобы заставить свернуть на тупиковый путь развития?

Эти и другие вопросы в первой части вечерних дебатов на Уральском форуме в среду, 15 февраля с 19 до 21 часа.. Но будет и вторая часть для дебатов. Для тех у кого стальные нервы и непоколебимая вера в учение от Доктора Хауса:

 

 Д-р Форман: Разве лечение пациентов не то, зачем мы стали врачами?

Д-р Хаус: Нет, лечение заболеваний — вот почему мы стали врачами.

 

К ИБ это правило должно иметь самое непосредственное отношение!

 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя riskmn

По сути:

1. Про "навесные" ИБ - в контексте статьи - других решений не будет никогда. В них нет ничего страшного и ущербного (опасного для бизнеса) , когда они лишь часть средств и методов обеспечения ИБ.

2. Для бизнеса страшнее "страшилки" типа :"Также и новый процесс может содержать в себе возможности для мошенничества". Может, но здесь стоит остановиться в глобализме. Такой путь - путь в никуда - это своего рода "гонка вооружений в ИБ" - очень затратная, которую может потянуть только......

3. ....О защищённости какой системы вы получите отчёт после пентеста?" - нет, они тоже отстанут....

4. Согласен с абзацем про затраты!!! это самая большая "болячка" и не только для ИБ.

Вывод - описан "типовой ит-взгляд" на проблемы ИБ (к несчастью он на сегодня единственный) и, как сейчас водится - "с одного ракурса - однобокий". Вот почему сегодня проблемы в отрасли. Приход в ИБ ит-ков "увел" (точка невозврата скорее всего уже пройдена)  сам процесс построения и обеспечения ИБ в финансовый тупик.

Теперь на вопросы:

- верите ли вы в Agile еще раз?

Это вариант грамотной организации команщдной работы. Если хотите добиваться успеха - это один из вариантов.

- где кончается вера в Agile и что может ее укрепить?

Вера кончается у тех, кто не понимает сути этого (в силу худогго образования или элементарного отсутствия умения понимать улышанное).

- как выглядит соперничество сторонников и противников Agile в рамках одной корпорации?

Как война с желающих процветания корпорации с невежеством.

- как выглядит Agile ИБ с точки зрения разработки продуктов? На какие стадии производства решения это влияет и как ?

Вопрос прост - как и в любой другой отрасли/ области. А влияет на всю компанию!!! От ГД до уборщицы.

- с современной зарубежной прессе не так много внимания уделяют Agile.......

up
24 users have voted.
Аватар пользователя riskmn

Странно - "хвост" ответа обрезали... Вот еще раз.

 

- с современной зарубежной прессе не так много внимания уделяют Agile.......

нет, это не зов в тупик - это один из вариантов улучшения качества продуктов.

up
29 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.