Я съездил на QCON в Сан-Франциско и в очередной раз получил огромное интеллектуальное наслаждение от докладов участников и туториалов. Хочу поделиться своими впечатлениями в серии постов, надеюсь, что их будет больше одного. Начну с конспекта основных идей из выступления Брюса Шнайера, известного своим замечательным блогом "Schneier on Security".
Теперь изменим условия - предложим либо сразу отдать 1000 долларов, дибо бросить монету и если выпадет решка, то отдать 2000 долларов, если орел - то ничего не отдавать. Опять, мат. ожидание одинаково и равно -1000 долларов. Но в этом случае, 3/4 аудитории предпочтет второй вариант - т.е. в случае возможных потерь даже противники азартных игр предпочтут рискнуть и бросить монетку.
Продажи на рынке ИБ схожи со вторым экспериментом. Люди склонны не тратить деньги на ИБ - авось пронесет!
Безопасность = Защита + Обнаружение + Реагирование
Стратегически безопасность- это не продукт, а процесс. Тактически, это и то, и другое. Наибольшей проблемой для безопасности являются не дырки в программных продуктах, а люди. Соблазнительной идеей является вообще исключить людей из процесса безопасности, но однако это не сработает, так как любой инцидент очень быстро переходит из технической плоскости в организационную и политическую. Поэтому мы не можем заменить людей. Технологии должны делать людей более эффективными.
И здесь очень уместной является теория циклов OODA (Observe, Orient, Decide, Act) разработанная американским военным стратегом Джоном Бойдом. В соответствии с теорией Бойда, принятие решений происхожит в постоянно повторяющемся цикле наблюдение-ориентирование-решение-действие. Организация или человек, которые могут обрабатывать этот цикл быстрее, обозревая и реагируя на разворачивающуюся картину событий более оперативно, чем их оппоненты могут таким путем "попасть внутрь" цикла принятия решений противника и таким образом получить преимущество.
Для того, чтобы эффективно бороться с вызовами информационной безопасности, мы должны оснастить людей инструментами, помогающими на каждом участке OODA-цикла:
Учитывая перечисленные выше проблемы с продажей продуктов информационной безопасности, а также требования клиентов к этим продуктам можно утверждать, что для этого сегмента рынка не работает правило рынка для "лимонов", и качественные продукты и услуги здесь будут более востребованы чем просто красиво упакованные плохие.
На чем основан экономический успех лидеров отрасли информационных технологий?
- Сетевой эффект - чем больше пользователей платформы, тем больше функциональности может предложить платформа, тем более она становится привлекательной для новых пользователей. Получается система с положительной обратной связью.
- Предельные издержки ничтожны по сравнению с постоянными затратами - стоимость создания продукта в ИТ высока, но стоимость его воспроизведения является крайне низкой.
- Стоимость переключения очень высока, и игроки на этом рынке всеми способами стараются загнать потребителя в свои нестандартные экосистемы, для того, чтобы сделать экономически неэффективным переход в экосистему конкурента.
- Рынок для "лимонов" - на ИТ-рынке продавец знает о продукте значительно больше чем покупатель, что приводит к тому, что на рынке доминируют продукты среднего или плохого качества. Термин рынок для "лимонов" был введен в обиход нобелевским лауреатом в экономике George Akerlof в его статье 1970 года, в которой он проиллюстрировал проблемы качества продуктов на примере рынка подержаных машин.
Почему сложно продавать продукты информационной безопасности?
Проведем следующий эксперимент - предложим аудитории либо получить 1000 долларов сразу, либо бросить монету и если выпадет решка - то получить 2000 долларов, если орел - то ничего. Мат. ожидание в обоих вариантах одинаково и равно 1000 долларов. Однако, 3/4 аудитории выберет первый из предложенных вариантов.
Теперь изменим условия - предложим либо сразу отдать 1000 долларов, дибо бросить монету и если выпадет решка, то отдать 2000 долларов, если орел - то ничего не отдавать. Опять, мат. ожидание одинаково и равно -1000 долларов. Но в этом случае, 3/4 аудитории предпочтет второй вариант - т.е. в случае возможных потерь даже противники азартных игр предпочтут рискнуть и бросить монетку.
Продажи на рынке ИБ схожи со вторым экспериментом. Люди склонны не тратить деньги на ИБ - авось пронесет!
Безопасность = Защита + Обнаружение + Реагирование
Стратегически безопасность- это не продукт, а процесс. Тактически, это и то, и другое. Наибольшей проблемой для безопасности являются не дырки в программных продуктах, а люди. Соблазнительной идеей является вообще исключить людей из процесса безопасности, но однако это не сработает, так как любой инцидент очень быстро переходит из технической плоскости в организационную и политическую. Поэтому мы не можем заменить людей. Технологии должны делать людей более эффективными.
И здесь очень уместной является теория циклов OODA (Observe, Orient, Decide, Act) разработанная американским военным стратегом Джоном Бойдом. В соответствии с теорией Бойда, принятие решений происхожит в постоянно повторяющемся цикле наблюдение-ориентирование-решение-действие. Организация или человек, которые могут обрабатывать этот цикл быстрее, обозревая и реагируя на разворачивающуюся картину событий более оперативно, чем их оппоненты могут таким путем "попасть внутрь" цикла принятия решений противника и таким образом получить преимущество.
Для того, чтобы эффективно бороться с вызовами информационной безопасности, мы должны оснастить людей инструментами, помогающими на каждом участке OODA-цикла:
- Инструментами для мониторинга сетей
- Инструментами для сбора данных и анализа событий
- Инструментами для поддержки принятия решений
- Инструментами для реагирования на угрозы
Учитывая перечисленные выше проблемы с продажей продуктов информационной безопасности, а также требования клиентов к этим продуктам можно утверждать, что для этого сегмента рынка не работает правило рынка для "лимонов", и качественные продукты и услуги здесь будут более востребованы чем просто красиво упакованные плохие.
Good stuff will beat mediocre stuff in infosecurtiy industryДевяностые были десятилетием Защиты. Нулевые - десятилетием Обнаружения. Сейчас - десятилетие Реагирования.
