Как стать автором
Обновить

Комментарии 22

Но это всё проблемы безопасников. Какое дело обычным сотрудникам до проблем безопасников? Да пусть хоть на головах ходят, лишь бы работать не мешали.


Намёк понятен?

А где разместить на хабре пост про проблемы безопасников? Может быть в хабе «Информационная безопасность»?

Я не про то, куда это писать. Я про то, что главная проблема с таким подходом к безопасности, что всем (кроме безопасников) пофигу. И сколько бы вы тренингов не делали, всем всё равно будет пофигу.


Как сделать, чтобы было не пофигу? Вот это правильный вопрос.

Подчёркивайте общность целей. Если аудитория не понимает, зачем ей нужно то, про что вы говорите, надеяться на её согласие – верх оптимизма. Только избегайте клише. Где-то недалеко уже разжигают костёр под котлом для тех, кто использует «мы все с вами в одной лодке».

Хотя, конечно, в статье о риторике от спеца ИБ можно было бы конкретных примеров

Даю подсказку. Пентест с опубликованными результатами даёт больше мотивации, чем 100500 мотивационных рассказов о важности переиспользования простых паролей на сайтах.

Пентест с опубликованными результатам — это может быть хорошим мотиватором для ИТ/ИБ оценить, где же они провалились. А потом может оказаться, что провалились они, на пример, в части обучения пользователей основам «цифровой гигиены». И тут уже придется писать письма и готовить учебные материалы. Увы и ах, еще не видел ни одной компании, где все решалось бы техническими мерами.

Кроме того, есть еще всякие переговоры и встречи (даже внутри компании), где умение говорить и доносить свою точку зрения еще никому не помешало. Но это уже не ИБ-специфичная проблема.

Не, вы не понимаете. Вы публикуете результаты пентеста внутри компании:


Иванов И. И. использовал простой пароль и хаккер смог опубликовать зарплату Инанова И.И. на корпоративном портале.
Сидоров С.С. запустил исполняемый файл из вложения и злой хаккер сбил расположение всех иконок на рабочем столе (и делает это каждые два дня!).

В частности, через аналогию с туалетом давит на совесть, добросовестность.

То, как это сформулировано в статье, вызывает только абсолютно обратные чувства, чувства брезгливости. Хочется сразу бежать мыть руки, чувство неприязни к написавшему, словно он подглядывает по туалетам, ну уж никак не желание бежать к принтеру!


А тут не поспоришь:


Фальшь распознаётся моментально, а потерять «кредит доверия» на порядок легче, чем его заработать.
Может, там весь коллектив так шутит, и подобная подача воспринимается благосклонно.

Ну и в каком-то роде иллюстрация принципа из самой статьи:
Главное, не перебарщивать и не «петросянить».

Безопасники, как правило, люди из определённых структур. Мышление и риторика у них соответствуюшая. Как и Логос. Это в тех самых структурах какой-нибудь квадратно-гнездовой метод инструктажа прокатывает. Там нет необходимости заинтересовывать. Там — приказной порядок. И вот они, со своими годами опыта приходят в контору к гражданским. Учиться они не хотят и не будут. А все попытки "донести" будут встречать либо отторжение либо игнор.

Тема хорошая. С чем встречаюсь часто — жалобы бизнес нас не слушает при полном неумении презентовать нужный ИТ или ИБ проект
НЛО прилетело и опубликовало эту надпись здесь
И самое грустное, что админ сказал надо, ему отказали, проблема произошла… Кто виноват? Админ. Хотя ответственность на том, кто отказал
НЛО прилетело и опубликовало эту надпись здесь
Приоритеты разные. Безопасность в коммерческих структурах (по моему опыту в РФ) это от рейдеров, силовиков, бандитов, воровства. ИБ — довеском.
НЛО прилетело и опубликовало эту надпись здесь
… или всесторонне одаренные люди предпочитают более легкие пути заработка, или я смотрю не туда и по-настоящему хорошие безопасники не палятся, или же СНГ-реалии в принципе не дают в одном человеке совместить взаимоисключающие качества
Почему ИЛИ?
Добавим сюда еще фразы про «особый менталитет» или «страну хакеров», где все с ранних лет приспосабливаются постоянно проверять границы дозволенного и норовят взломать систему. Или «строгость законов компенсируется необязательностью выполнения», наконец.

Может хватит уже статей про ковид19?

Где вы тут умудрились эту тему найти? О_о
Напоминаю, что недопустимо оставлять распечатанные документы в принтере. Уборщица их потом читает и зарабатывает миллионы на инсайдерской информации.


После этого абзаца никто читать не будет, потому, что во первых это и есть петросянство, а во вторых «кого интересует наш инсайд».

Примеры должны быть реальные и желательно произошедшие в этой же компании или компании из той же сферы.
Шутки «петросянство», в рассылке всем действительно неуместны. Скорее цепляют примеры применимые в личной жизни.
«Хакеры ломают нашу корпорацию, отдельные сотрудники обращались за помощью с подозрением на атаки личных пк, применяйте защитные меры для корпоративных ресурсов, не забывайте про защиту личного пространства
Список рекомендаций:
»
Тогда уж, желательно, не «обратились с подозрениями», а «были взломаны». Или «зафиксированы атаки на пк сотрудников, не были успешны благодаря соблюдению сотрудниками правил, все соблюдайте правила!».
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории