Обращали ли вы внимание на интересную тенденцию, которая тихой сапой приходит на рынок информационной безопасности. Но не на рынок производителей средств защиты или поставщиков услуг (хотя к ним это тоже имеет отношение), а в деятельность корпоративных служб ИБ. Речь идет о стирании границы между двумя ранее независимыми направлениями - рынка корпоративных и потребительских технологий. Причем именно последние проникают в первые и это ставит новые вопросы перед службами ИБ. Вот несколько примеров:
В маркетинге есть модель, называемая кривой Роджерса или кривой восприятия инноваций. Суть ее проста - любая инновация воспринимается не сразу, а постепенно. Сначала ее начинают применять новаторы, потом ранние последователи, а уже за ними раннее и позднее большинство.
Так уж складывается, что к новаторам и ранним последователям в описанных выше областях нередко относятся либо руководители высшего или среднего звена, либо ключевые сотрудники, приносящие компании немалую прибыль. А следовательно их мнение и поведение надо учитывать. Пробовать упирать на требования запретительных политик ИБ можно, но вот вопрос "кто проиграет в этой войне" думаю будет не за службой ИБ ;-( И последние инциденты это демонстрируют с завидной регулярностью.
Пора пересматривать традиционные подходы в области обеспечения ИБ и учитывать набирающее силу влияние рядовых пользователей на применение технологий и новых методов работы. А уж регуляторам с их главенствующей методической ролью (как минимум в теории) и подавно стоит об этом подумать.
- Нежелание пользователей использовать выданную на работе оргтехнику по 4-5 лет. Как раз наоборот - пользователи хотят жить как в обычной жизни - устарел компьютер - поменял, понравилась новая модель смартфона - поменял и т.д. И они это начинают диктовать своему предприятию. На ИБ это влияет несильно, но жизненный цикл средств защиты уменьшается и это надо учитывать при бюджетировании и выработке стратегии тестирования и внедрения средств защиты (нужно ускоряться).
- Концепция BYOD, о которой не только уже все слышали, но и начинают использовать. Одно дело защищать корпоративные устройства и другое дело - личные, на которых может находиться (и находится) личная информация пользователя, его персональные данные, которые он не хотел бы делать достоянием если не гласности, то ИТ/ИБ-службы.
- За BYOD мягкой поступью идет BYOT, т.е. "принеси свою технологию", когда пользователь начинает приносить свои приложения, делающие их работу удобней и эффективней. А это приводит к тому, что стандартизация ПО, о которой так ратуют многие апологеты ИТ, уже не является панацеей. Нет стандарта на используемое ПО - специалистам по ИБ приходится расширять свои знания в части изучения нового софта, новых уязвимостей, новых угроз, новых каналов утечки и т.д. Это требует ресурсов, о выделении которых надо думать заранее.
- Размывание границы между личным и корпоративным не только в устройствах или технологиях, но и в действиях, которые пользователи осуществляют в рабочее время с личных устройств или с корпоративных устройств в нерабочее время. Не зря в развитых странах сейчас идет борьба не ИТ и ИБ, а ИБ и Privacy. Как совместить и то и другое? Как не нарушать конституционные права пользователя на частную жизнь и при этом обеспечивать эффективную работу сотрудника? Неоднократно поднимаемая тема контроля e-mail относится именно к этому направлению. Одно дело запретить заниматься личными делами на работе (нарушает ТК, но многие работодатели так делают) и совсем другое дело, когда такого запрета нет. В этих условиях службам ИБ приходится отходить от концепции "замкнутой среды" и придумывать что-то более гибкое.
- Приход новых вендоров, ранее на корпоративном рынке незамеченных, а следовательно и неучитывающих потребности корпоративных пользователей или учитывающих не в полной мере. Речь идет о Google, Apple, Dropbox и иже с ними. Загрузка корпоративных документов в iCloud, Google.Docs, Dropbox с их малокемчитаемыми политиками с одной стороны повышает надежность хранения, гибкость доступа и удобство обмена с коллегами, а с другой ставит кучу непонятно как разрешаемых задач перед службами ИБ. Причем именно перед безопасниками - айтишникам все эти сервисы никаких особых проблем не доставляют (если не вспоминать про синхронизацию).
- Использование социальных сетей для целей корпоративного маркетинга, привлечения новых клиентов, получения обратной связи от потребителя и т.д. С другой стороны социальные сети начинают использоваться для информационных войн (а кому с ними бороться как не безопасникам), слива (в т.ч. и случайного) конфиденциальной информации, нарушения этических норм и т.п. И обо всем этом тоже стоит задуматься ДО, а не ПОСЛЕ начала их активного использования.
В маркетинге есть модель, называемая кривой Роджерса или кривой восприятия инноваций. Суть ее проста - любая инновация воспринимается не сразу, а постепенно. Сначала ее начинают применять новаторы, потом ранние последователи, а уже за ними раннее и позднее большинство.
Так уж складывается, что к новаторам и ранним последователям в описанных выше областях нередко относятся либо руководители высшего или среднего звена, либо ключевые сотрудники, приносящие компании немалую прибыль. А следовательно их мнение и поведение надо учитывать. Пробовать упирать на требования запретительных политик ИБ можно, но вот вопрос "кто проиграет в этой войне" думаю будет не за службой ИБ ;-( И последние инциденты это демонстрируют с завидной регулярностью.
Пора пересматривать традиционные подходы в области обеспечения ИБ и учитывать набирающее силу влияние рядовых пользователей на применение технологий и новых методов работы. А уж регуляторам с их главенствующей методической ролью (как минимум в теории) и подавно стоит об этом подумать.
