Pull to refresh

Comments 23

К сожалению очень много таких горе-безопасников, которые, в частности следуют антисоветам Не общайся с пользователями и Внедряй безопасность ради безопасности, отсюда и запрещенные социальные сети, и личный email на работе не посмотришь, и у разработчиков права не админские, и еще куча бреда.
Некоторые запреты могут быть вполне обоснованы логически, некоторые могут диктоваться законодательством.
Но в целом, да, я постоянно вижу чрезмерные и неадекватные запретительные меры которые никак не влияют на уровень ИБ, либо могут только снижать его.
Тот же доступ к соцсетям регулируется подходом к управлению кадрами, а не ИБ рисками. Можно запретить прямой доступ и пользователи будут искать анонимайзеры, которые принесут еще больше головной боли.
Есть одна проблема, которая несколько шире компетенции ИБ в чистом виде: желание сэкономить на персонале. Когда кто-то в компании решает, что можно набрать на рядовые должности ленивых и потенциально корыстных персонажей сравнительно низкой квалификации, а потом обложить их ограничениями и прочим, обеспечив и безопасность, и требуемую производительность. И часть этого чудесного плана, как правило, ложится именно на плечи службы ИБ, потому что именно ее запрягают внедрять все эти ограничения, СКУД со встроенным учетом рабочего времени и прочее.
Иногда такая политика прикрывается фразой, магически влияющей на кого угодно в руководстве: «А где я тебе найду нормальных?»
такое бывает, но чаще сотрудники ИБ выдумывают себе полномочия и сами задачи по контролю пользователей без указаний на то от руководства.
Ну, я вот наблюдал такое безобразие не в единственном месте. Специфика простая — места, куда можно «понабрать по объявлению». Тур. агентства, магазины и т.п.
офицер по ИБ — редкий гость в магазинах и турагентствах.
А вот обычные безопасники практически всегда больны синдромом вахтера и норовят контролировать абсолютно всё.
Турагентства бывают разные :) Например, такие, которые заполняют две трети рейсов на одном из основных курортных направлений.
может это тур.оператор?)
для 99% агентств масштабы деятельности не позволят транжирить деньги на зарплату безопасника)
Ну они себя называют агентством, по крайней мере :)
А строгое формальное отличие туроператора от агентства мне лично неизвестно.
Насколько я знаю, туроператор — это звено между отелем/курортом/перевозчиком и турагенством. Напрямую с конечными клиентами не работают. Чистый b 2 b
Турагенства — это вот все те каморки в торговых центрах «Горящие туры», «Отдых в Турции дешево» и т.д. Они лишь посредники при продаже путевок от туроператора конечному клиенту. То есть в основном b 2 c
А, ну тогда это контора, которая и то, и другое. Большая, да.
Надо подключать зомби технологии :)
Корпоративные гимны хором по утрам, портрет обожаемого директора на каждом углу…

Каждое утро в 8.30 все собирались в большом зале в главном офисе компании. Там на подиуме стоял пылесос, рядом лежал коврик и стояла доска. На доске были написаны фамилии сотрудников. Возле тех, кто продал пылесос, стоят галочки. Их все хором поздравляют, выкрикивая что-то вроде «эй-эй, молодец», — говорит бывший продавец. — Еще один обязательный пункт утренней программы – фирменная зарядка, выполняя которую сотрудники поют фирменную же песню

Ну и бежать скорее оттуда к более вменяемым работодателям.
Вот вы смеетесь, а гимны действительно помогают избавиться от малоквалифицированных и нелояльных — они обычно слишком циничны, чтобы это выдержать :)
Человек такое существо, что обязательно нарушит и преступит, если найдется достаточная мотивация.
Проводить обучения и инструктажи это жизненная необходимость, а вот доверять безоговорочно — нет.
Речь не о доверии, а о коммуникации. Если ты всегда готов объяснить и помочь, то твои же собственные меры безопасности будут приниматься с меньшим сопротивлением.
Ну вот, например, такая непопулярная у пользователей мера, как отключение usb-накопителей. Какое объяснение вы бы дали пользователям, чтобы встретить меньшее сопротивление.
Сказал бы правду, что это популярный канал заражения (описал последствия, с примерами). И что компания переживает, что таким образом могут уноситься конфиденциальные данные.
Думаете, что у пользователей будут какие-то доводы в пользу исключения? Эти доводы можно будет принять и таки дать доступ)
Уточню, что пока обсуждаем пункты 5 и 7 (где 6 кстати?)

Доводы бывают такого типа — «а мне так удобнее». Железный довод не правда ли?

Практически любая мера ИБ вызывает снижение комфорта пользователя и его недовольство. Это недовольство будет в любом случае присутствовать, хоть наизнанку вывернись.

И вот теперь интересный момент, нужно ли нам стремится к системе с упором на человека, или исключить «человеческий фактор» как можно более широко. И закрутить гайки невзирая на то доволен пользователь или не доволен.

Просто сейчас вижу 2 тенденции: Новаторскую и Старую (условно назовем ее так)

Новаторская — повернись лицом к пользователю, будь человеком, общайся. И тогда пользователи проникнутся духом безопасности. Смотри на всех с широкой улыбкой и принимай всех с распростертыми объятиями… Безопасник лучший друг пользователя, любим и уважаем.

Старая — изолируйся и распускай ореол ужаса и всеведения. Смотри проникновенно на всех, как будто видишь как на ладони все их грешки. Пара показательных порок закрепит твой имидж черного властелина. Пользователь должен боятся совершить противоправное деяние.

В обоих вариантах, пользователь при наличии должной мотивации (деньги, признание, власть...) все равно нарушит, сольет, обойдет и тд.

Но в каком варианте уровень этой мотивации должен быть выше, а в какой ниже? Как думаете?
Ну, внедрение IDM\SSO решений как раз может повысить комфорт пользователя, которому придется помнить меньшее количество паролей и меньше морочиться с правами в некоторых ситуациях).

Я вижу те же две тенденции)
Не думаю, что возможно на прямую сравнить мотивацию пользователя и сказать где она будет выше (думаю, что это индивидуально)
В первом подходе пользователь будет более информирован, и будет участвовать в твоей системе менеджмента
Во втором подходе пользователь будет мешать))

В то же время, быть «френдли» не значит позволять сотрудникам безнаказанно делать что им хочется. Показательные порки нужны, но надо не забывать про рациональность и риски. Я видел как уволили человека, который послал сам себе (между ящиками) прайс на телеком услуги провайдера, потому что ему было интересно посмотреть уровень цен и сервисы. Это рационально? Он ведь мог изойти на говно и на зло работодателю воспользоваться своими знаниями чтобы нанести ущерб репутации или инфраструктуре, например.

Из интернетов

Добрый день! Нам в ИТ отдел поступило распоряжение о реализации мер несанкционированного разглашения конфиденциальной информации.
Одним из пунктов является ограничение копирования пользователей 5 файлов в день на сменные носители и объем файлов не должен превышать 5 мегабайт
Каким образом это можно реализовать, есть у кого то свои соображения или практика по такому вопросу.


Вот это я понимаю сурово ))
Зато просто — заблокировать все традиционные методы и создать свой костыль =)
Но формулировка прекрасна: «распоряжение о реализации мер несанкционированного разглашения конфиденциальной информации». Т. е. меры должны приводить к разглашению информации =)
ад и израиль. У нас тоже всякие служебки встречаются, стыдно аж за людей, но это секретно))
Only those users with full accounts are able to leave comments. Log in, please.