Photo Credit: @lattefarsan via Compfight cc
Плацебо је неуспешан третман за медицинско стање које се чини да је прави медицински третман. То може бити пилула или неки други тип третмана који у стварности је лажан. Шта све плацебо имају заједничко је да нема активна супстанца у њима која утиче или побољшава здравствено стање.
Размотримо пример где се нови лек користи за лечење мигрене и који је тестиран на 10 особа. У овом тесту, 5 људи добија праву пилулу (стварни третман) и преосталих 5 добија плацебо (лажни третман), неактивну супстанцу као шећер и дестилована вода помесани заједно. Свих 10 људи верују да су имали прави третман. По завршетку теста истраживачи онда могу упоредити ефикасност реалног лека и плацебо.
У неким случајевима пацијенти који су добили плацебо имају одговор на то у облику стварног побољшања њиховог здравственог стања. Ово се дешава због тога што та особа има очекивање да ће то бити корисно за тренутно здравствено стање. Овај феномен је познат као “плацебо ефекат.”
Дакле, што можемо, као безбедносни професионалаци, научити из плацебо ефекта? Типично организације спроводе одбрану-у-дубину – такође познато као слојевити безбедносни приступ – да побољшају своју безбедносну мрежу. Да би се успешно оствариле вишеструке линије одбране, солуције попут ИПС, ИДС и ДЛП се купују и конфигурирају. Многе организације верују да су сигурне јер су спровеле у дело горе наведене безбедносне солуције које су дизајниране да детектују и спрече сајбер-нападе. Реалност је да ове солуције омогућавају само безбедносне могућности, али без ичег осталог, ове солуције на крају не праве да ваша организација будe заиста сигурна. Ово је пример где многе организације доживљавају плацебо ефекат јер имају очекивања да ове солуције имају ту моћ да организација буде сигурна и (уз недостатак боље реци) “тотално сигурна.”
Свака недеља доноси нове вести о неком новом сајбер-нападу. Недавни високо-профилни напади на базе података доказују да чак и највеће корпорације нису имуне на сајбер-нападе. Већина ових организација су у складу са више регулаторних стандарда, али хакери су и поред тога успели украсти вазне дигиталне информације. Многе организације лажно верују да су сигурне јер су у складу са одређеним стандардима и прописима. Ово је још један пример где организације доживљавају плацебо ефекат: њихова очекивања и неразумевање да буде у складу са неком регуларношћу није једнако са секјурити. Реалност је да организација може бити усклађена са више регулаторних стандарда, али да и даље буде врло несигурна.
У данашњем дигиталном добу не можемо приуштити себи да доживимо плацебо ефекат у информационој безбедности. Хакери могу направити грешака колико год хоће, али безбедносни професионалци немају тај луксуз. Једна грешка може довести до компромиса целокупних података. Безбедносне солуције морају бити правилно подешенe и на редовној основи. Сигурносни процеси се морају развијати, а затим бити у току. У многим нападима хакера, процеси унутар сигурносног програма нису правилно препознали напад. Програм безбедоности информација је жива ствар- никада није завршен. У фокусу ваших напора мора бити безбедност и не усклађеност према стандардима, али безбедности напори могу увек да се упореде са стандардима да би задовољили одређене регулације.
Ваш укупни информациони сигурносни програм (слагалица) мора бити монтиран на прави начин како би био ефикасн и проактиван. Баш као што слагалица нема препознатљиву слику док не ставиш све коцкице заједно, програм безбедности информација није потпун и ефикасан све док немате сигурносно образовање, одговор на хакерске нападе, стандарде и процесе на правом месту. На крају крајева, можете имати све коцкице од слагалице пред собом, али још увек не видети праву слику. Гледајте свој безбедносни информативни програма из истог угла. Можете имати све безбедносне солуције реализоване, али и даље непрепознатљиву заштиту информација која је подложна плацебо ефекту и нападу хакера.
This is the Serbian Cyrillic analogy of an analogy originally published on 11 April, 2016, and is also available in English, Serbian, and Croatian:
