Индустрии по защите информации необходимо выйти за рамки "религиозной
безопасности" и перейти к научно-обоснованному подходу, который перенимает идеи
сражения и борьбы, если корпорации хотят опередить хакеров и при этом оставить
расходы на обеспечение безопасности на приемлимом уровне.
Джошуа Корман, директор обеспечения безопасности в Akamai, утверждает, что
несмотря на то, что практически каждое предприятие пытается улучшить показатели
безопасности, эти подходы больше похожи на "нумерологию", чем на точную науку.
По словам Кормана, в области информационной безопасности редко встречаются
исходные данные и цифры и, когда они есть, они, как правило, неправильно
цитируются или неправильно понимаются. Например, неверная цитата из отчёта
Verizon о проникновениях – "90% нарушений связаны с 18 исправленными
уязвимостями" – часто принимается за основу предприятиями для развития политики
безопасности. Еще одной проблемой является то, что советы, предназначенные для
решения основных недостатков безопасности в малом бизнесе, иногда неправильно
используются большими предприятиями. Согласно Корману, чистые данные о
происшествиях могут применяться для разработки актуарных таблиц в целях
страхования, но тот же подход не работает с информационной безопасностью.
"Сбор данных и цифр в попытке разработать актуарные таблицы для безопасности
не работает, поскольку предметная область просто не предназначена для этого", -
утверждает Корман. "Информационная безопасность в меньшей степени связана с
актуарными таблицами и в большей степени – с теорией игр".
"Предлагаемая поставщиками статистика часто вводит в заблуждение", - сказал
Корман. "Поставщики выдумывают цифры, которые поддержат их товар. Они используют
статистику, как пьяный использует фонарные столбы – больше для поддержки, чем
для освещения".
Вместо того, чтобы брать уроки из отраслевых обзоров, аналитических отчётов
или предлагаемых поставщиками доводов, менеджеры по безопасности должны
пользоваться опытом из военной доктрины. По словам Кормана, цикл "наблюдать,
ориентироваться, принимать решения и действовать" вполне может быть применён в
борьбе с киберпротивниками, как это происходит и на настоящем поле боя.