O autorze
Krzysztof Surgut – były CEO firmy Data Space, rozwijającej systemy bezpieczeństwa IT, m.in. usługę Anty DDoS. Ekspert systemów teleinformatycznych (xDSL, DWDM, PON, IPTV, rozsiewczych systemów radiowych, technologii mobilnych oraz sieci IP), autor książki „VoIP – tania telefonia internetowa” (Helion), współautor strategii technologicznej dla Telefonii Dialog na lata 2000 – 2005, współautor strategii technologicznej dla HAWE S.A. na lata 2007 - 2010 podczas debiutu na GPW oraz główny architekt systemów wykorzystywanych w ogólnopolskiej sieci światłowodowej HAWE (teletransmisja, IP, IPTV, zarządzanie i utrzymanie). Szef zespołów budujących ważne węzły teleinformatyczne oraz data center w Polsce, specjalista od uzgodnień międzyoperatorskich.

Strategia Miyamoto

Strategia Miyamoto to bardzo popularna strategia w polskich przedsiębiorstwach, między innymi w zakresie cyberbezpieczeństwa. Choć tak wiele zarządów firm ją stosuje, to większość nie zdaje sobie sprawy z jej konsekwencji.

Wpisanie w Google pojęcia "Strategia Miyamoto" nie doprowadzi do żadnego linku z tym pojęciem. Pojęcie to jest wynikiem moich spostrzeżeń podczas dziesiątków spotkań z różnymi firmami.
W większości z tych rozmów tematem było cyberbezpieczeństwo oraz przyjęte przez firmy standardy.
W efekcie powstała w mojej głowie "Strategia Miyamoto", o której za chwilę.

Kto to jest Miyamoto?
Aby zrozumieć Strategię Miyamoto potrzebna jest podstawowa wiedza o Musashi Miyamoto - to legendarny, japoński bohater narodowy.
Postać jak najbardziej autentyczna, która żyła w czasach średniowiecza. Musashi Miyamoto był niezwykłym samurajem, który samotnie przemierzał Japonię i walczył z bandami, grasującymi na drogach kraju Kwitnącej Wiśni.

Potrafił walczyć z wieloma przeciwnikami jednocześnie, a swoją sztukę walki udoskonalił tak bardzo, że stworzył szkołę walki dwoma samurajskimi mieczami (styl niten'ichi-ryū , czyli "dwa nieba jako jedność").

Jednak olbrzymia biegłość Miyamoto w sztuce walki dwoma mieczami na pewno wystarczała na bandy napadające na ludzi, jednak nie dawała mu żadnych szans w starciu np. z konnym wojskiem czy też w walce z zastępem wytrenowanych łuczników.
Mówiąc krótko, jego sztuka walki była piekielnie skuteczna, lecz wyłącznie w starciu ze specyficznym przeciwnikiem i w specyficznych warunkach.


Współczesny Miyamoto
Obecnie obserwuję istnienie współczesnych Miyamoto, w różnego typu organizacjach czy firmach. Najczęściej jest to Pan Zbyszek, który w swojej firmie uchodzi za eksperta ds. informatyki.

Bardzo często jest to osoba zajmująca się cyberbezpieczeństwem z racji swojej pasji, a nie tylko zakresu obowiązków.
Pomimo skąpego, firmowego budżetu - wykorzystuje różny open source lub też "wróży" z różnego rodzaju darmowych wersji systemów ochronnych, plugin'ów, skryptów czy innych programików z Internetu - aby monitorować i chronić firmowe zasoby przed zakusami hakerów.

W chwilach wolnych Pan Zbyszek samodoskonali swoje umiejętności, aktywnie zdobywa wiedzę, szuka sposobów reagowania na cyberataki, weryfikuje podatności firmowych systemów na cyberataki, uczy się monitorowania i wykrywania incydentów.

Pan Zbyszek ma tylko jeden zasadniczy problem, jest praktycznie nieskuteczny w walce z zarządem o pozycje w firmowym budżecie wydatków i nakładów, a to oznacza dla niego brak dostępu do zaawansowanych narzędzi, profesjonalnych szkoleń czy usług.

Taki współczesny Miyamoto jest najczęściej samotnikiem, który nie jest specjalnie wspierany przez zarząd firmy, a co ciekawe wykształca wokół siebie aurę niepokonanego "bezpiecznika".

Ta aura jest zgubna zarówno dla Pana Zbyszka jak i dla zarządu firmy. Dlaczego?

Większość firm w Polsce nie inwestuje w systemy czy procesy bezpieczeństwa informatycznego, bo Pan Zbyszek zawsze potrafi wykazać się "smykałką", a poza tym pada sakramentalne stwierdzenie Zarządu:

"....dotychczas nie było poważnych INCYDENTÓW (!!!)"

Tym samym zarząd firmy, co najwyżej, pozwala na zakup firewalla (i najlepiej w jak najniższej cenie) albo też zgodzi się na uczestnictwo Pana Zbyszka w darmowej konferencji o cyberbezpieczeństwie.

Jednak zakup zaawansowanych narzędzi czy usług z zakresu cyberbezpieczeństwa jest dla zarządu ... zbędnym wydatkiem.

Gdzie jest problem?
Załóżmy, że Pan Zbyszek jest ekspertem w swoim fachu - co nie jest (!) standardem w polskich realiach.
Wydawać by się mogło, ze posiadanie w firmowym zespole IT pasjonata ds. cyberbezpieczeństwa niesie ze sobą same korzyści dla firmy i rozwiązuje problem bezpieczeństwa. Czy aby na pewno tak jest?

W końcu Pan Zbyszek zna się na systemach informatycznych, potrafi identyfikować zagrożenia, posiada wiedzę o atakach, podatnościach, lukach, itd.

Jednakże:

* Pan Zbyszek kiedyś musi spać!
* Pan Zbyszek kiedyś musi iść na urlop!
* Pan Zbyszek musi czasami wyzdrowieć!
* Pan Zbyszek kiedyś musi się doszkolić!

Spełnienie któregokolwiek z powyższych musi sprawia, że firma w tym czasie jest BEZBRONNA.

Nawet najlepszy, firmowy Miyamoto nie ma najmniejszych szans, kiedy na jego wirtualnej drodze stanie odpowiednio wyspecjalizowana i wytrenowana drużyna hakerów. Pomijam kwestię różnicy czasu - haker w Brazylii czy Chinach jest aktywny w czasie, gdy większość ludzi w Polsce śpi.

W bardzo wielu polskich firmach sporo jest współczesnych Miyamoto.
Stoją na straży firmowych danych, samodoskonalą swój warsztat, jednak w praktyce są samotnikami zdanymi wyłącznie na własne umiejętności i praktykę.
Z minimalnym budżetem, z maksymalną odpowiedzialnością.

A co najważniejsze, ....

...nie jest ważne z ilu pojedynków wyjdą zwycięsko - ważne, że gdy choć jeden z tych pojedynków przegrają, to chronione, firmowe dane popłyną w świat lub zostaną zakodowane....

.... wtedy w firmie wszyscy mają pretensje do Pana Zbyszka. A co w takim wypadku Pan Zbyszek może powiedzieć na swoją obronę?

Przecież dotychczas nie było żadnych poważnych incydentów!

Tylko czy o to chodzi?
Trwa ładowanie komentarzy...