Просто в компании не выстроены зрелые процессы ИБ. Но вот пойдут ли сотрудники работать в компанию, где зрело выстроены процессы ИБ со всеми этими слежками, контролями рабочего времени, закручиванием гаек и прочим? Тем более, что при равных условиях рядом есть компании, где всё гораздо проще (я сейчас про выбор усредненного сотрудника конечно же).

muxa_ru 12 сен в 20:27

И даже в Вашем варианте во всём виноваты люди. :)

Shaman_RSHU 12 сен в 20:42

Человек становится виноватым после доказательства факта нарушения.

Это как в детстве: не "Ингуршка сломалась", а "Я сломал игрушку" :)

randomsimplenumber 13 сен в 21:02

И это косяк кого-то из HR

У них нет технической и юридической возможности чего то проверить. Кроме документов.

muxa_ru 29 сен в 01:39

У них нет технической и юридической возможности чего то проверить. Кроме документов.

А причём тут проверка документов, если речь об обучении сотрудников?

OlegZH 12 сен в 19:47

А почему никто из безопасников не задаётся вопросом о том, какова роль в обеспечении безопасности самой инфраструктуры?

Почему, вообще, можно получить какой-то доступ чему-то? Ведь, если Вы делаете систему, то Вы закладываете в неё определённые роли пользователей и соответствующие этим ролям действия. Как можно что-то похитить?

Хоть бы раз объяснили, чтобы стало понятно.

Shaman_RSHU 12 сен в 20:26

Если есть механизм ограничения доступа к чему-то, то есть хотя бы один человек, которому необходим этот доступ по своим обязанностям. Если такому сотруднику выдан доступ, значит компания доверяет этому сотруднику такие полномочия. Но что творится в голове самого сотрудника неизвестно и никакая предварительная проверка этого не выявит.

А идеальной защиты не бывает, тут баланс между стоимостью защищаемой информации и стоимостью её защиты.

OlegZH 12 сен в 21:11

Мой вопрос другого рода. Предположим, я — бухгалтер (это не так, это я ситуацию описываю). Что я могу сделать в системе? Выписать платёжку и отправить в банк. Правда, нужен документ, на основании которого это должно произойти. А кто Ваш сотрудник? Администратор сайта? Программист? Администратор хочет скопировать базу данных? А что случилось? В рамках какого санкционированного процесса? Просто так открыть файловую оболочку/FTP? А зачем программисту данные? Простите, но здесь вопрос в самой организации процесса. А её, получается, нет. Этой самой организации. была бы организация, то не было бы никакой возможности куда-то зайти и что-то эдакое сделать. Не было бы кнопки "скачать". Например.

Shaman_RSHU 12 сен в 21:26

Программист не должен работать с БД, содержащей "боевые данные". Для этого делают ландшафты DEV / QA / PrePROD / PROD.

OlegZH 12 сен в 21:27

А как же утечки происходят?

Shaman_RSHU 13 сен в 18:04

Я описал идеальный вариант. На практике в большинстве компаний используют кусок боевой базы или вообще ее копию (и не надо говорить, что у вас это не так. Как опычно, быстрее, быстрее, оп, оп и в релиз :)

ksiva 24 сен в 08:48

Сейчас модный тренд - маскирование баз данных. Когда программисты работают на копии базы, где все имена, фамилии, адреса подменили на вымышленные.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий