Інтерв'ю c директором компанії Canon: як не ступити на протоптану доріжку в сфері забезпечення інформаційної безпеки

У червні 2014 компанія Canon придбала найбільшого в світі постачальника програмного забезпечення для управління відео - Milestone Systems. Потім в лютому 2015 року було оголошено, що компанія збирається купити Axis Communications - найбільшого в світі постачальника мережевих відеокамер спостереження.

Ми поговорили з Квентіном Тейлором, директором з питань інформаційної безпеки підрозділу компанії Canon в Європі, на Близькому Сході і Африці напередодні його виступу на виставці Interop в Лондоні. Він пояснив, чому слідування за натовпом не завжди є правильним рішенням, коли маєш справу з загрозами кібер безпеки.

Квентін, ви директор з інформаційної безпеки в компанії Canon. Що виділяє вас серед інших керівників відділів інформаційної безпеки?

Чим я відрізняюся від багатьох інших директорів щодо забезпечення інформаційної безпеки - так це тим, що я також відповідаю за більшу частину безпеки продукції, крім того я на стороні клієнта.

Ми не є безпосередньою частиною команди продажів, але якщо клієнт має питання з безпеки або вимоги до безпеки в рамках тендеру, в якийсь момент часу в кінцевому підсумку він виявиться у нас, і ми будемо відповідати безпосередньо йому. Це означає, що внутрішня служба безпеки має зовнішню спрямованість, що відрізняє її від більшості сучасних команд по забезпеченню безпеки. Якщо у кого-небудь виникне проблема або питання, ми першими будемо говорити з ними безпосередньо.

Як ви вписуєтесь в індустрію забезпечення інформаційної безпеки? Коли чуєш "Canon", то відразу думаєш про фотокамери і принтери, а не про безпеку.

Це дійсно так, і це проблема. Якщо ви подумаєте про те, що проходить через ваш принтер або про те, що проходить через ваш комп'ютер, то виявиться що це найбільш важливі документи. Це не сміття, найчастіше це найважливіші частини вашої роботи. Очевидно, що практично всі принтери в ці дні не є автономними; більшість великих корпорацій працюють з печаткою в мережі, за допомогою якого-небудь програмного забезпечення для управління печаткою. Всі ці дані витають навколо, і багато хто може просто не знати, де ці дані насправді знаходяться.

Подумайте і про більш практичні речі - ви коли-небудь підходили до принтеру і знаходили там велику купу важливих документів? У Великобританії, наприклад, при неналежному захисті інформації компаніям приходили величезні штрафи в десятки і десятки тисяч фунтів від організації ICO, яка створена для захисту інформації. Існують реальні наслідки щодо порушення безпеки друкованої інформації.

Добре, але сьогодні, коли люди мають справу з мега-загрозами кібер-тероризму і державного шпигунства, чи дійсно так важлива безпека друку?

Саме так. Всі чули про кібер-шпигунство і кібер-війни, для більшості людей ці речі цікаві, але тільки в якості розваги. Фокусування на більш приземлених речах - набагато, набагато більш актуальне завдання для команд інформаційної безпеки та ІТ-відділів.

Ваш виступ на Interop називається "Чи небезпечно слідувати за натовпом або це перевага в світі інформаційної безпеки?" Дозвольте мені задати це питання вам.

В душі я біолог, а не технолог. Якщо ми подивимося на людські спільноти, що займаються питаннями інформаційної безпеки, то легко побачимо стадну поведінку. Люди люблять слідувати за іншими людьми. Такі конференції - прекрасна можливість побачити цю стадну поведінку. Хтось скаже зі сцени промову, а багато хто буде говорити: "Так, відмінна ідея. Ми якраз про це і думали".

Однак, стадна поведінка може бути як великою перевагою, так і проблемою, якщо ви не знаєте, що перебуваєте в стаді, і де саме ви знаходитеся в стаді, і що це стадо робить. Я говорю про самостійне мислення, про те, що в будь-якій ситуації важливо подумати: "Чи вважаю я, що це важливо? Все, що ми всі тут робимо, це те про що мені потрібно думати? Чи здійснять ці речі вплив на мою компанію?"

Як я згадав раніше, про всі ці кібер-війни і т.д. - про це дуже цікаво читати, але це певний напрям, в якому нас підштовхують. Для переважної більшості кібер-війни взагалі не проблема, але при цьому вони забувають про базові речі. Вони забувають про пресу, вони забувають про антивіруси, вони забувають про політику; вони забувають про шляхи безпеки їх бізнесу. Якщо ми в стаді, ми використовуємо одні й ті ж елементи управління і засоби управління, які вважаються кращими.

Є факти, які говорять про позитивні сторони стадної поведінки. Колективний розум, наприклад. Якщо 500 зебр, перебираючись через річку, зроблять перерву в один і той же час, виживе більше, ніж якби вони здійснювали цей же шлях окремо.

Я згоден з вами, стадна поведінка може бути необхідною. Але вся справа в тому, що потрібно питати себе: "Де ми в цьому стаді і чому ми в цьому стаді? Чи добре мені в цьому стаді". Тому що іноді прекрасно, що ми в цьому мілководді разом, так безпечніше. Старий жарт про те, що "мені не потрібно, щоб мій будинок був більш безпечним; мені просто потрібно, щоб мій будинок був більш безпечним, ніж будинок мого сусіда" - дуже добре підходить до опису світу інформаційної безпеки.

Поставте під сумнів загальноприйняті уявлення; не робіть що-небудь лише тому, що всі інші так роблять. Є певні технології в світі інформаційної безпеки, які всі ми робимо тільки для того, щоб на питання "У вас є X?" відповісти: "Так, у мене є X". Це цілком прийнятно, але прийнятно тільки в тому випадку, якщо ви знаєте, чому ви це зробили.

Таким чином, ви пропонуєте професіоналам інформаційної безпеки перестати звертати увагу на тенденції і мати більш інтроспективний погляд на повсякденні реалії. Правильно?

І так і ні. Насамперед я пропоную їм задати собі таке питання: "Що я можу зробити, щоб бути корисним для компанії, яка мені платить?". Повертаючись в питання стадного почуття хочу зазначити, що ми можемо подумати і сказати: "Ми повинні бути там, це правильно,", але ми також можемо сказати: "Насправді, мені потрібно вчинити зовсім інакше". Це все - про розуміння своєї позиції в стаді.

Джерело www.ifsecglobal.com. Переклад статті виконала адміністратор сайту Олена Пономаренко