Комментарии 13
отсутствует мониторинг активности своих работников
Потому, что кто-то этим не озаботился.
Стремясь закрыть вакансии как можно быстрее, HR-службы порой пренебрегают тщательной проверкой биографии и послужного списка кандидатов.
И это косяк кого-то из HR.
почему сотрудники оказался в таком положении и почему организация не смогла его вовремя выявить и предотвратить?
Не организация, а кто-то в чьи обязанности это входит.
инженеров ИБ, аналитиков SOC-центров, экспертов по реагированию на инциденты
И это тоже тот самый "человеческий фактор".
Стремление HR и руководителей компаний
Опять проблема с людьми.
Получается, что все приведённые примеры подтверждают изначальную идею о человеческом факторе.
Просто в компании не выстроены зрелые процессы ИБ. Но вот пойдут ли сотрудники работать в компанию, где зрело выстроены процессы ИБ со всеми этими слежками, контролями рабочего времени, закручиванием гаек и прочим? Тем более, что при равных условиях рядом есть компании, где всё гораздо проще (я сейчас про выбор усредненного сотрудника конечно же).
И это косяк кого-то из HR
У них нет технической и юридической возможности чего то проверить. Кроме документов.
А почему никто из безопасников не задаётся вопросом о том, какова роль в обеспечении безопасности самой инфраструктуры?
Почему, вообще, можно получить какой-то доступ чему-то? Ведь, если Вы делаете систему, то Вы закладываете в неё определённые роли пользователей и соответствующие этим ролям действия. Как можно что-то похитить?
Хоть бы раз объяснили, чтобы стало понятно.
Если есть механизм ограничения доступа к чему-то, то есть хотя бы один человек, которому необходим этот доступ по своим обязанностям. Если такому сотруднику выдан доступ, значит компания доверяет этому сотруднику такие полномочия. Но что творится в голове самого сотрудника неизвестно и никакая предварительная проверка этого не выявит.
А идеальной защиты не бывает, тут баланс между стоимостью защищаемой информации и стоимостью её защиты.
Мой вопрос другого рода. Предположим, я — бухгалтер (это не так, это я ситуацию описываю). Что я могу сделать в системе? Выписать платёжку и отправить в банк. Правда, нужен документ, на основании которого это должно произойти. А кто Ваш сотрудник? Администратор сайта? Программист? Администратор хочет скопировать базу данных? А что случилось? В рамках какого санкционированного процесса? Просто так открыть файловую оболочку/FTP? А зачем программисту данные? Простите, но здесь вопрос в самой организации процесса. А её, получается, нет. Этой самой организации. была бы организация, то не было бы никакой возможности куда-то зайти и что-то эдакое сделать. Не было бы кнопки "скачать". Например.
Программист не должен работать с БД, содержащей "боевые данные". Для этого делают ландшафты DEV / QA / PrePROD / PROD.
Сейчас модный тренд - маскирование баз данных. Когда программисты работают на копии базы, где все имена, фамилии, адреса подменили на вымышленные.
Всегда ли виноват «Вася»: развеиваем мифы о человеческом факторе в ИБ