Безопасность начинается с обучения сотрудников!

1 февраль, 2010 - 10:46Владимир Безмалый
Вроде очевидная фраза? Оказывается нет. На мой взгляд, основной проблемой безопасности являются:

·         Недоученные и высокомерные сотрудники ИТ и ИБ (информационная безопасность)

·         Безграмотные пользователи, особенно пользователи и ИТ с инициативой!

Почему? Да вроде бы все очевидно… Проблема недоученных ИТ в их высокомерно-снисходительном взгляде на проблемы пользователей. Все проблемы безопасности такие сотрудники будет решать исключительно техническими методами, а неграмотные сотрудники ИБ исключительно с помощью запрещающих бумаг и приказов, ведь они же уверены, что пользователи должны их бояться. Смешно? Было бы смешно, когда бы ни было так грустно!

Эффективность таких мероприятий приближается, на мой взгляд, к нулю! Почему? Потому что в этом случае недовольные пользователи, не понимая суть и смысл ограничений, более того, воспринимая это как бессмысленную попытку ограничения их свободы, начнут саботировать эти решения, пытаясь обойти их или даже жалуясь руководству компании. А если еще и руководство не до конца понимает цель принятия данных мер, то подобные начинания ИТ (ИБ) ждет полный провал!

Как же быть? На самом деле выход только один – обучать! Обучать пользователей, показывая им не столько выгоду компании от внедрения тех или иных ограничений для самих же пользователей, сколько выгоду конкретного сотрудника, объясняя им на конкретных примерах эту выгоду.

Возьмем конкретный пример. Парольная защита. Длина и сложность паролей.

Сколько раз всем нам приходилось говорить о необходимости создания сложных паролей? А толку? Как только усиливаются требования к паролям, они появляются на мониторах, клавиатурах, в столах…

Сколько раз всем нам приходилось слышать: «Маша, отправь мои данные (закрой счет) и т.д. Я на минутку на обед (в магазин) и т.д.» Я не прав? Прав! А в чем причина? Причина в том, что люди не осознают опасность, исходящую в данном случае от соседа! И убедить их в этом можно лишь на примере, пусть даже и придуманном! Вывод? Пользователей нужно учить! Раз в полгода проводить зачеты, раз в год – обучение. Естественно, это весьма приблизительный график, но согласитесь, это нужно. Причем привязывать итоги тестов к материальной заинтересованности (премии и т.д.). Сложно? Безусловно. Накладывает обязательства на ИБ (ИТ)? Безусловно.

Второй важный вопрос – нужно ли учить ИТ-персонал? Конечно нужно.

Необходимо даже, на мой взгляд, ввести некий внутренний форум (рассылку) по вопросам ИБ. Вместе с тем нужно понимать, что те вопросы, которые интересны и важны системному администратору, совершенно не интересны администратору баз данных или сотрудникам службы поддержки и наоборот. То есть, сотрудник ИБ, на которого возложен контроль вопросов, связанных с обучением, обязан учитывать подобные вопросы. Тяжело ли это? Безусловно. Однако всегда стоит понимать, что происшествий, возникших из-за незнания, будет гораздо больше, чем умышленных происшествий. Соответственно, если есть возможность их уменьшить – нужно уменьшать! Думаю, что с этим сложно не согласиться.

Поэтому рекомендую заранее продумать некий план мероприятий по обучению как ИТ, так и пользователей вопросам безопасности.

Как мне кажется, говоря о безопасности на предприятии, следует учитывать тот фактор, что большинство пользователей сегодня имеет ПК дома. И если служба ИБ будет это учитывать, например при объяснении тех же проблем аутентификации (необходимость сложных паролей при посещении сайтов социальных сетей, при пользовании электронной почтой), то пользователи запомнят это гораздо лучше. Будет ли нам с вами польза от такого подхода? Безусловно. И прежде всего в том, что пользователи наконец-то начнут доверять ИБ и понимать, что данная служба предназначена прежде всего для того чтобы им помочь, а не только приказать и наказать!

Мне очень хотелось бы услышать ваше мнение, уважаемые читатели.

Заранее благодарю.

С уважением Владимир Безмалый