Пожалуй, меньше всего любой компании хочется завалить аудит. Но это лишь по тому, что многие воспринимают проверку как главную цель существования программ по обеспечению безопасности. На самом же деле, проверка – это лишь средство выяснить, соответствуют ли меры, применяемые компанией, принятым нормам. В более широком смысле, однако, проверка – это способ научиться избегать взломов в "дружественной" обстановке, нежели в условиях реального мира. Если аудит воспринимать как стресс-тестирование твоей среды, которое помогает определить слабые места до момента реальной атаки, тогда желательно заваливать его постоянно. В конце концов, если ты удачно проходишь все проверки, на это может быть две причины:
- У тебя идеальная защита.
- Ты не очень стараешься.
Я никогда не встречал человека, связанного с безопасность, который бы заявлял, что у него с безопасностью все в порядке. Можно проиллюстрировать эту ситуацию изысканием компании Nemertess. Результаты исследования гласят, что за последние три года 36% компаний испытывали проблемы с безопасность, и только 15% компаний не прошли проверку. Вот если бы все было наоборот...
Компании должны заваливать проверки, будь они внутренние или внешние, гораздо чаще, чем страдать от киберпреступлений. Тот факт, что лишь немногие не проходят проверки, должен быть поводом для беспокойства, а не радости. Я бы начал праздновать, если бы ни одна компания не страдала от реальных нарушений, ведь тогда бы это значило, что проверки работают должным образом, т.е. выявляют проблемы и устраняют их до тех пор, пока кто-нибудь ими не воспользовался. Но, к сожалению, все вынуждает склоняться к тому, что проверки не достаточно глубоки, последовательны и "сложны".
Если принять, что целью внутреннего и внешнего аудита является не только доказательство наличия в твоей компании системы безопасности, но и ее улучшение, тогда нужно принять и то, что проверки должны подвергать компании такому давлению, которого достаточно, чтобы доказать их состоятельность в деле противостояния реальным угрозам.
Если ты не терпишь неудач в ходе проверок, значит, ты недостаточно стараешься. По статистике, большинство компаний испытывают небольшие проблемы с безопасность в среднем раз в год и страдают от серьезных нарушений примерно раз в три года. Следуя этой логике, можно предположить, что компании должны заваливать хотя бы внутренние проверки в среднем раз в три года или чаще.
Вероятно, если ты прошел проверку, но пострадал от взлома, значит дела у тебя идут хуже, чем у того, кто завалил проверку и пострадал от нарушения. Очевидно, что во втором случае у компании отстойная система безопасности и ей есть над чем работать, но она хотя бы знает об этом. В первом случае все совсем печально. Их безопасность на нуле, но они об этом даже не догадываются из-за плохо проведенной проверки. Или еще хуже: компания знает о своих проблемах, но жульничает во время аудита, словно для нее является самоцелью обмануть проверяющего.
Так что давай, заваливай проверки. А если ты их все проходишь как по маслу, то спроси себя, действительно ли твоя система безопасности так хороша, или же просто ты проходишь проверки спустя рукава? Не путаешь ли ты цель и средство, преуспевая во время аудита лишь для того, чтобы в скором времени потерпеть неудачу в реальной жизни?