Защо киберсигурността е трудна за обяснение

Като човек, работил много години в сферата на киберсигурността, ми е неудобно да призная, колко объркани, недоумяващи или смутени погледи съм виждал в практиката си.

Why is it so hard to explain cybersecurity?

Защо киберсигурността е трудна за обяснение?

Като човек, работил много години в сферата на киберсигурността, ми е неудобно да призная, колко объркани, недоумяващи или смутени погледи съм виждал в практиката си. Почти винаги ми задават елементарни въпроси като "В какво се състои работата ви?" или "Как ще направите XYZ по-сигурен?" А напоследък чувам много въпроси, свързани с пробиви в сигурността като: "Защо постоянно има новини за пробиви в сигурността?"  Щом почна да им обяснявам, те бързо губят интерес и аз забелязвам онези поледи, за които споменах по-горе. Киберсигурността не е трудна за обяснение, но в повечето случи не е така. Като практикуващи сигурност, ние винаги сме готови за различни сценарии. Да кажем например - изберете си любимо място - замък, банков трезор, на бойното поле, и т.н., но тя не винаги е подходяща за запознаване на широката публика с киберсигурността.

Някои въпроси са преобладаващи спрямо други, а съм сигурен, че във вашата компания често получавате въпроси от бизнес партнорите и колегите ви. На първо място е "Защо е толкова трудно да се предпазим от лошите?" Такъв въпрос е напълно уместен, но не е лесно да се опише с прости думи, без използването на технически жаргони. Друг често задаван въпрос е "Как стават пробивите във сигурността?" Отново, без формални обяснения, най-вероятно ще трябва да обяснявате как човек може да проникне в дома ви или в бизнес сградата ви. На слушателя може да му стане ясно, но след края на разговора той няма да е по-образован в справянето с проблеми свързани с технологичната сигурност. Следват въпроси като "Какво е уязвимост и защо не можем да я отстраним?" И "Защо екипа по сигурността не е видял какво се случва?" В такъв момент, ако се опитате да избегнете въпроса на объркания слушател, разговорът бързо ще стане безсмислен. Накрая раговорът стига до основния въпрос: "Как фирмите биха могли да подобрят киберсигурността си?" Тук вече обясненията за дълбоката защита, събития и анализ на пакети, както и други компоненти на една добре проектираната и ефективна система за сигурност, често оставят питащия объркан и разочарован.

Лесен метод за обяснение на отговара е ръчно нарисувана скица. В конферентна зала, хубавата, висяща на стената, бяла дъска те подканва с чистата си и лъсквава повърхност да опишеш своя отговор. Иначе ще трябва да пишете с молив на лист хартия като в доброто старо училище. Изображенията са мост към слушателите, но също им дават и място за размисъл, анализ и задаване на въпроси. Тук вече минахме от „преподаване" на „учене", и ето в края на разговора питащия наистина е по-запознат по темата отколкотв в началото на разговора. Това става като намерим лесен начин да обсъдим тези проблеми с бизнес сътрудниците ви - с ясна бизнес терминология за подобряване на разбирането им за киберсигурността и с открито общуване към партньорите за намиране на решения.

Източник: http://www.isaca.org; "Why is it so hard to explain cybersecurity?” 21 октомври 2014 http://www.isaca.org/Knowledge-Center/Blog/Lists/Posts/Post.aspx?ID=451