www.mfisoft.ru

Независимый блог об информационной безопасности

четверг, 3 декабря 2015 г.

Anamnesis vitae. Безопасность.


У сотрудников служб безопасности много дел: и от хакеров оградиться, и восстановление с резервной копии в случае форс-мажора организовать, и документы по информационной безопасности разработать, а также внедрить и проконтролировать их выполнение. И именно с последним обстоятельством связаны основные сложности: положения и инструкции по ИБ иногда попросту не читают, а если читают, то не рассматривают, как руководство к действию, и игнорируют все рекомендации безопасника. 

Если же игнорировать не получается (например, в организации существует ограничение доступа к определенным сайтам), то изобретают множество способов обхода таких ограничений. 

Традиционно подобное отношение к инструкциям считается следствием низкой ИТ-грамотности и отсутствием понимания последствий пренебрежения правилами ИБ. Поэтому до сих пор и пишут пароли на стикерах, отправляют на личную почту документы с целью поработать дома, скачивают с непонятных сайтов файлы вида muzika_relax.mp3.exe, помогают нигерийским принцам получить наследство (добрые у нас люди) и с готовностью диктуют по телефону свои пароли любому, кто представится системным администратором.
Бороться с этим обычно предлагается путем повышения осведомленности сотрудников в области ИБ. Вот и борются безопасники, повышают осведомленность, но помогает плохо. Точно также в свое время боролся и я, объяснял и писал бесконечные памятки, вешал никому, по сути, не нужные плакаты, с такими же результатами - неудовлетворительными. 

Почему так происходит –
было много догадок, но небольшой эпизод из жизни очень быстро расставил все на свои места. Однажды, пообещав подвезти домой коллегу, я подошел к нему и увидел как тот удаляет антивирус с личного ноутбука. На мое негодование я получил обескураживающий ответ – «мешает работать, ничего не случится, я же не хожу по плохим сайтам». Промолчал, садимся в машину, трогаемся. Слышу сигнал о не пристегнутом ремне на сиденье пассажира – и снова получаю схожий с предыдущим случаем ответ – «мешает, ничего не случится, мы же в городе не быстро едем». 

После этого случая я уже стал задавать целенаправленные вопросы людям, у которых больше всего проблем с безопасностью. Угадайте, где хранит ключи от дачи товарищ, приклеивший стикер с паролем к монитору? Правильно, под ковриком. Друг, постоянно приносящий компьютер «с зоопарком», переходит дорогу не там, где положено, а там, где хочет. У хорошей знакомой постоянно «уводят» аккаунты в соцсетях и кошельки из сумочки. Похоже, проблема кроется не в плоскости ИБ, а в отношении людей к жизни. Получается, что некоторые люди не приучены обеспечивать свою безопасность в целом, и информационную - в том числе. За них это приходится делать безопасникам, хотя бы в рамках обеспечения ИБ на работе, методом повышенного внимания (контроля) к таким людям.

Комментариев нет:

Отправить комментарий